关于冲击波的鉴定
XP   sp2的系统，打开任务管理器查看发现有5个Svchost.exe进程,
杀掉其中一个时会出现：
关机由NT   authority\system   初始的，消息：Remote   procedure   call(RPC)服务意外终止   Windows必须立即重新启动。然后过1分钟就重新启动了。
我搜索了整个硬盘发现只有C:\Windows\System中及其中一个文件夹中有Svchost.exe
文件，请问结束正常Svchost进程会出现以上重启的情况吗？两个Svchost.exe有问题吗？

------解决方案--------------------
没有问题。多个svhost完全是正常的。你关闭一个进程肯定会重启的。这也是冲击波的致病原理吧。
------解决方案--------------------
5-6个均为正常，注意该进程正确的写法是svchost，而不是svch0st，0和O是有区别的。
------解决方案--------------------
问结束正常Svchost进程会出现以上重启的情况吗
---------------------------
会的 冲击波本来就是调用 svhost进程的
------解决方案--------------------
xp 和 2000 不同的

xp的svhost进程多一点

Service Host Process 是一个标准的动态连接库主机处理服务。Svchost.exe 文件对那些从动态连接库(DLL)中运行的服务来说是一个普通的主机进程名。Svchost.exe 程序位于系统目录中。在启动的时候，Svchost.exe 检查注册表中的位置来构建需要加载的服务列表。这就会使多个 Svchost.exe 在同一时间运行，Windows 2000 一般有 2 个 Svchost.exe 进程，一个是 RPCSS (Remote Procedure Call) 服务进程，另外一个则是由很多服务共享的一个 Svchost.exe；而在 Windows XP 中，则一般有 4 个以上的 Svchost.exe 服务进程；Windows 2003 中则更多。但要注意，若发现 Svchost.exe 进程的路径不在 System32 文件夹中，或其所属用户名为普通登陆名(即非系统进程或服务进程)，则其极可能是是病毒程序。

参考 ：http://www.pcsky123.cn/d/zailinwuguanliqilifaxianwuliugansvhostexedejinche.html