帮你转到电脑技术板块了，希望能得到满意的答案

由于Svchost.exe进程的特殊性，它隐藏了真正运行的程序的名称，在表面看到的只是Svchost.exe进程，这个特性同时也让许多病毒、木马有空可钻，企图以此迷惑我们。那么如何判断系统中的多个Svchost.exe进程是否正常呢？下面针对这类病毒常用的几种欺骗手法来进行分析。
骗局1:利用假冒Svchost.exe名称的病毒程序
火眼金睛:这种方式运行的病毒并没有直接利用真正的Svchost.exe进程，而是启动了另外一个名称同样是Svchost.exe的病毒进程，由于这个假冒的病毒进程并没有加载系统服务，它和真正的Svchost.exe进程是不同的，我们只需在命令行窗口中运行一下“Tasklist/svc”，如果看到哪个Svchost.exe进程后面提示的服务信息是“暂缺”，而不是一个具体的服务名，那么它就是病毒进程了，记下这个病毒进程对应的PID数值(进程标识符)，即可在任务管理器的进程列表中找到它，结束进程后，在C盘搜索Svchost.exe文件，也可以用第三方进程工具直接查看该进程的路径，正常的Svchost.exe文件是位于%systemroot%\System32目录中的，而假冒的Svchost.exe病毒或木马文件则会在其他目录，例如“w32.welchina.worm”病毒假冒的Svchost.exe就隐藏在Windows\System32\Wi 目录中，将其删除，并彻底清除病毒的其他数据即可。

骗局2:一些高级病毒则采用类似系统服务启动的方式，通过真正的Svchost.exe进程加载病毒程序，而Svchost.exe是通过注册表数据来决定要装载的服务列表的，所以病毒通常会在注册表中采用以下方法进行加载:
·添加一个新的服务组，在组里添加病毒服务名
·在现有的服务组里直接添加病毒服务名
·修改现有服务组里的现有服务属性，修改其&ldquo erviceDll”键值指向病毒程序
判断方法:病毒程序要通过真正的Svchost.exe进程加载，就必须要修改相关的注册表数据，我们可以打开[HKEY_LOCAL_MACHINE\Software\Microsoft\Window T\CurrentVersion\Svchost]，观察有没有增加新的服务组，同时要留意服务组中的服务列表，观察有没有可疑的服务名称，通常来说，病毒不会在只有一个服务名称的组中添加，往往会选择LocalService和netsvcs这两个加载服务较多的组，以干扰我们的分析，还有通过修改服务属性指向病毒程序的，通过注册表判断起来都比较困难，这时我们可以利用前面介绍的服务管理专家，分别打开LocalService和netsvcs分支，逐个检查右边服务列表中的服务属性，尤其要注意服务描述信息全部为英文的，很可能是第三方安装的服务，同时要结合它的文件描述、版本、公司等相关信息，进行综合判断。例如这个名为PortLe ackDoor的木马程序，我们在服务列表中可以看到它的服务描述为“IntranetService rdquo;，而它的文件版本、公司、描述信息更全部为空，如果是微软的系统服务程序是绝对不可能出现这种现象的。从启动信息“C:\WINDOWS\System32\svchost.exe -knetsvc rdquo;中可以看出这是一款典型的利用Svchost.exe进程加载运行的木马，知道了其原理，清除方法也很简单了:先用服务管理专家停止该服务的运行，然后运行regedit.exe打开“注册表编辑器”，删除[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPRIP]主键，重新启动计算机，再删除%systemroot%\System32目录中的木马源程序&ldquo vchostdll.dll”，通过按时间排序，又发现了时间完全相同的木马安装程序&ldquo ortle I t.exe”，一并删除即可.

真的很感谢<sp51086462>,我还是查不出来,但在windows\frefetch下有一个,是pf文件,请问是不是病毒?它不具有"骗局1的特征,还望高人判别一下,
还有一件事:就是前几天,在c盘下的备份文件System Volume Information它怎么变成"拒绝访问"?我在安全模式下也打不开,,而且它的属性是0kb,空文件夹,但是这文件夹下是有文件的,我以前是打开过的,在它下面有备好的备份文件,能打开其它盘的System Volume Information,就是打不开c 盘的
还望高人给解释一下,我对电脑不是很懂
谢谢

这些本来就是些系统的备份文件，打开它不打开它没有什么实际意义，如果说拒绝访问，一种可能是安着杀毒软件，杀毒软件检测到这是一个存在安全隐患的文件夹，极有可能感染病毒，所以为了保护电脑数据，就拒绝访问了。还有一种可能是这些系统备份文件在原来的系统里是可以打开的，但你重装系统后由于系统和用户变了，就无法以原来的身份登录了，所以有些备份文件就打不开了，也是一种自我保护性质的。

谢谢<wby_0001>
杀毒软件阻止了?不可能的,我已经停止杀毒软件保护后才去打开的,而且在它里面藏了病毒,杀毒软件杀不了,我想用手工杀,可就是打不开
我就纳闷,它怎么就成空文件夹了?？?？

会不会里面的毒攻得太深了，攻得太狠了
所以把它的属性更改变成＜０kb,０个字节，０个文件，拒绝访问＞？

一般杀毒软件能杀掉的病毒就杀掉了，不能杀的就隔离了，隔离后就的文件夹就无法访问！

谢谢<wby_0001>

Prefetch文件夹是Windows XP自动创建的，主要用于加快系统启动的速度。正常运行的情况下，windows XP会自动记录下启动时运行的每一个程序，并建立一个资料索引以加快下一次启动的时间。而当运行的程序重名时，系统会自动在程序名的后面添加一个“后缀”，随着使用时间的变长，Prefetch文件夹内会堆放许多垃圾，反而会拖慢系统，所以如果你有精力的话，还是建议对其进行定期删除。
－－－－－－－－－－－
在windows XP及其以后的操作系统中，增加了预读取功能(也可以理解为“预先装载”)，该功能可以提高系统的性能，加快系统的启动、文件读取的速度，这些预读文件保存在％systemroot％\Prefetch目录中，以*.pf为扩展名，这些*.pf文件包括了载入文件的详细信息和载入顺序。　　

每一个应用程序，包括windows XP的启动过程，都会在PrefetCh目录下留下相应的预读取文件，预读取文件描述了应用程序或启动时各个模块的装载顺序，其命名方式是以应用程序的可执行文件的名字为基础，加上一个“-”和描述执行文件完整路径的十六进制值，再加上文件扩展名.pf，例如QQ.EX-0065A2A1.pf。每当用户启动一个程序，会自动在Prefetch目录中对应的*.pf文件中留下一条记录。不过，windows XP启动的预读取文件总是同一个名称，即NTOSBOOT-B00DFAAD.PF，其中包含着启动时载入文件的记录。　　

当下一次启动系统或运行某个程序时，Windows会参考相应的*.pf文件，将其中记录的所有文件载入内存，而不是象以往一项一项依指令逐个载入文件。另外，windows会利用启动程序或程序的*.pf文件制订一个最优化的磁盘分配方案，这个方案的相关信息存储在Lyaout.ini文件中。

C:\Windows\Prefetch\是Windows XP的预读文件夹，windows XP将频繁使用的数据存放在预读文件夹中，需要再次使用这些数据时可以大大加快读取速度，但随着时间的增长，这个文件夹的个头会变得越来越大，而且可能会存在一些死链文件，此时如果执行碎片整理，就有可能出现上面提到的错误，解决的办法是清空这个文件夹，然后整理碎片。

其实最简单的方法就是把C:\Windows\Prefetch文件夹整个删除，就OK了！对系统不会有任何影响的。