首先，大家先找到svchost.exe进程，按"ctrl+alt+del"键打开任务管理器，在"进程"标签中看到svchost进程。一般来说，win2000有2个svchost进程，winxp中则有4个或4个以上的svchost进程，win2003 server中更多。所以任务管理器中有几个svchost进程，不一定是中了病毒。
下面，让我们看看svchost进程提供的服务，在win 2000下的命令提示符中输入命令"tlist -s"，在win xp下的命令提示符输入"tasklist /svc"命令，会显示进程提供的服务，如图。

svchost作为windows系统的共享进程，很多系统服务为了节省系统资源都是作为共享方式交给svchost.exe来启动，svchost.exe本身不提供任何服务，他通过在注册表中的参数来调用动态链接库也就是.dll文件来启动服务的。

下面我举一个例子，在控制面板中打开管理工具的服务，右键打开刚才在命令提示符下查找到的svchost进程提供的服务rpcss的属性，如图。可以看到rpcss服务的可执行文件的路径为"C:\WINDOWS\system32\svchost -k rpcss"，这说明rpcss服务是依靠svchost来实现的。在运行对话框中输入"regedit.exe"，打开注册表编辑器，找到[hkey_local_machine/system/currentcontrolset/services/rpcss]项，可以看到键"ImagePath"的键值为%SystemRoot%\system32\svchost -k rpcss"，还可以在"parameters"子项中找到名为"servicedll"的键，键值就是该服务启动时所需要的动态链接库文件的位置。