经验：快速杀掉 svchost.exe 进程

IsaacZ

昨天帮一位朋友远程杀毒，任务管理器里面有两个用户进程 svchost.exe 十分顽固，互相响应，杀掉其中一个，另一个马上又启动，数量不变，老是两个。

于是用附件里面的系统工具>系统信息查知它们两个的PID数值（一个2038，一个976），然后编了个DOS批处理文件：

1. ntsd -c q -p 2038
   
2. ntsd -c q -p 976
   

复制代码

保存成 kill.bat 后运行之，两个svchost.exe 从进程列表中消失。

原理：利用XP内置的调试工具 NTSD.EXE 调出两个进程进行调试，则退出 NTSD 时，被调试程序亦同时退出。因为是使用批处理，两个调试过程无缝连接，大大高于病毒程序的呼应速度，所以能成功中止病毒进程。

shihmei

svchost.exe 這不是系統進程嗎?
我一開機就有6個在進行
那也是病毒嗎?
抱歉~我是電腦學幼稚園班生
也許問的有點愚蠢.請勿見笑!

IsaacZ

顶楼上说的 svchost.exe 是“用户进程”，也就是任务管理器中对应用户名是当前用户，这是不正常的。

正常的 svchost.exe 一般是服务进程或系统进程。如果 svchost.exe 在任务管理器中对应的用户名是 LOCAL SERVICE、NETWORK SERVICE 或 SYSTEM 的话，通常没有问题。如果你中止一个 SYSTEM (系统)进程，最多有两个后果，一是拒绝访问，二是电脑崩溃，导致重启，不会像顶楼的案例那样中止了又出现，两个 svchost.exe 互相呼应。

shihmei

喔~對對對
我忽略了"進程用戶名稱
呼~嚇死我了
自己疏忽嚇死活該啦

謝謝管理員提醒!

桂林过客

管理员的注释消除了我的疑问。不然我还真纳闷?