设为首页
收藏本站
开启辅助访问
切换到窄版
登录
立即注册
中问网首页
我的收藏
站长博客
搜索
搜索
本版
帖子
用户
第一问答网
»
论坛
›
中问网
›
问答
›
svchost问题
返回列表
发新帖
svchost问题
[复制链接]
11
|
2
|
2011-8-19 05:07:12
|
显示全部楼层
|
阅读模式
电脑反应突然变慢svchost.exe文件在不同路径各有一个用tasklist命令svchost进程没有暂缺请问是否中毒
回复
使用道具
举报
千问
|
2011-8-19 05:07:12
|
显示全部楼层
图1数量众多的SVCHOST进程
大嘴过来后还没看电脑,就先告诉小菜,系统中的Svchost.exe进程是正常系统进程,不是病毒,不仅仅是你,其他朋友一看到系统中这么多的Svchost.exe进程,第一反应也感觉它是病毒,虽然系统中有多个Svchost.exe进程是正常的,但也不保证都是正常的。听起来似乎有些矛盾?这让小菜更有些迷糊,大嘴坐下后给小菜详细讲了起来。
二、松了口气:Svchost.exe是台“CD机”
1.服务装在“CD机”里
Svchost.exe是NT内核*作系统(Windows2000/XP/2003都属于NT内核*作系统)独有的进程,“Svchost”其实就是“ServiceHost”(服务宿主)的缩写。微软官方对它的定义是:Svchost.exe是从动态链接库(DLL)中运行的服务的通用主机进程名称,通俗讲,它就是一个服务装载器。大家可以把每个服务想象成一张音乐CD,而Svchost.exe就是用来播放这种CD的CD机。
2.为什么用“CD机”装服务
由于Windows2000/XP系统服务越来越多,以EXE单独进程的形式启动所有服务会大大增加系统负担,为节省系统资源,微软将一些系统服务以动态链接库(DLL)形式实现,而Svchost.exe就是用来装载这些DLL文件以启动系统服务的程序。没有人会为了发行一张CD而制作一台专用播放此CD的CD机,微软也一样。
3.系统里有几台这样的“CD机”
那为什么系统进程列表中的Svchost.exe会有多个呢?微软为了让系统能更好地进行服务控制,就允许多个Svchost.exe进程同时运行,每个Svchost.exe进程可以包含一组服务,想像一下可以同时容纳3张甚至更多CD的多碟CD机。打开注册表[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\WindowsNT\\CurrentVersion\\Svchost]主键,在窗口右侧可以看到许多键值,这里的每个键值都代表一组服务,键值数据则包含了该组服务下面运行的服务名称列表,每组服务启动时都会通过单独的Svchost.exe进程来装载。WindowsXP中默认共有六组服务(见图2),其中imgsvc、NetworkService、rpcss、termsvcs四个组,它们都只有一个服务运行,这些服务启动后的Svchost.exe进程用户名为“SYSTEM”。而LocalService和netsvcs组都启动了多个服务,它们的Svchost.exe进程用户名分别为“LOCALSERVICE”和“NETWORDSERVICE”,从图1中可以看到这种区别。
图2众多svchost进程的区别
当然了,这六组服务通常并不都是启动状态的,根据系统启动的服务不同,反映在系统进程列表中的Svchost.exe进程数量也是不同的,WindowsXP会有四个到六个Svchost.exe进程,而Windows2000通常则会有两个Svchost.exe进程。
小提示:点击“开始→运行”,在运行框中输入“CMD”回车,然后在打开的命令行窗口中输入“Tasklist/svc”(不含引号)命令,可以更直观地看到每个Svchost.exe进程装载的服务名称列表(见图3)。
图3查看svchost进程装载的服务名称
4.获取每张“CD”的详细信息
如果想更进一步了解Svchost.exe装载的这些服务都是什么功能,可以记下键值数据中的服务名称,例如“RpcSs”,接着打开注册表的[HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services],再打开下面的“RpcSs”子键,在右边的“Description”键值中就可以看到该服务的描述,而在“ImagePath”键值数据中则可以看到这个服务的运行命令正是“%SystemRoot%\\system32\\svchost-krpcss”(见图4)。而在“RpcSs”子键下还有一个“Parameters”(参数)子键,其右边的“ServiceDll”键值数据“%SystemRoot%\\system32\\rpcss.dll”则表明了RpcSs服务启动时调用的是系统目录下的“Rpcss.dll”文件,这就好像你原来只知道CD中歌曲的歌名,现在又让你能够查到这首歌的演唱者。
图4查看svchost的具体功能
如果觉得通过注册表查询服务名称了解其属性不太方便,也可以使用“全能助手用Windows服务管理专家”(以下简称“服务管理专家”)来查询,运行软件后单击“AllWin32Services”分支,在右侧服务列表中根据服务名称索引即可快速找到要查询的服务,单击服务名称,即可看到该服务的启动命令以及调用的DLL文件等相关信息(见图5)。同时软件还专门设计了SvchostGroup分支,可以快速查询LocalService和netsvcs组中的服务详细信息。
图5用工具查看svchost的情况
全能助手Windows服务管理专家小档案
软件名称:全能助手Windows服务管理专家
软件版本:1.02
软件大小:67KB
软件授权:免费
适用平台:Windows2000/XP
下载地址:点击这里下载
三、危机仍在:小心病毒的骗局
由于Svchost.exe进程的特殊性,它隐藏了真正运行的程序的名称,在表面看到的只是Svchost.exe进程,这个特性同时也让许多病毒、木马有空可钻,企图以此迷惑用户。那么如何判断系统中的多个Svchost.exe进程是否正常呢?下面针对这类病毒常用的几种欺骗手法来进行分析。
骗局1:利用假冒Svchost.exe名称的病毒程序
火眼金睛:这种方式运行的病毒并没有直接利用真正的Svchost.exe进程,而是启动了另外一个名称同样是Svchost.exe的病毒进程,由于这个假冒的病毒进程并没有加载系统服务,它和真正的Svchost.exe进程是不同的,只需在命令行窗口中运行一下“Tasklist/svc”,如果看到哪个Svchost.exe进程后面提示的服务信息是“暂缺”(见图6),而不是一个具体的服务名,那么它就是病毒进程了,记下这个病毒进程对应的PID数值(进程标识符),即可在任务管理器的进程列表中找到它,结束进程后,在C盘搜索Svchost.exe文件,也可以用第三方进程工具直接查看该进程的路径,正常的Svchost.exe文件是位于%systemroot%\\System32目录中的,而假冒的Svchost.exe病毒或木马文件则会在其他目录,例如“w32.welchina.worm”病毒假冒的Svchost.exe就隐藏在Windows\\System32\\Wins目录中,将其删除,并彻底清除病毒的其他数据即可。
图6查看可疑svchost进程
骗局2:一些高级病毒则采用类似系统服务启动的方式,通过真正的Svchost.exe进程加载病毒程序,而Svchost.exe是通过注册表数据来决定要装载的服务列表的,所以病毒通常会在注册表中采用以下方法进行加载:
添加一个新的服务组,在组里添加病毒服务名
在现有的服务组里直接添加病毒服务名
修改现有服务组里的现有服务属性,修改其“ServiceDll”键值指向病毒程序
判断方法:病毒程序要通过真正的Svchost.exe进程加载,就必须要修改相关的注册表数据,可以打开[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\WindowsNT\\CurrentVersion\\Svchost],观察有没有增加新的服务组,同时要留意服务组中的服务列表,观察有没有可疑的服务名称,通常来说,病毒不会在只有一个服务名称的组中添加,往往会选择LocalService和netsvcs这两个加载服务较多的组,以干扰分析,还有通过修改服务属性指向病毒程序的,通过注册表判断起来都比较困难,这时可以利用前面介绍的服务管理专家,分别打开LocalService和netsvcs分支,逐个检查右边服务列表中的服务属性,尤其要注意服务描述信息全部为英文的,很可能是第三方安装的服务,同时要结合它的文件描述、版本、公司等相关信息,进行综合判断。例如这个名为PortLessBackDoor的木马程序,在服务列表中可以看到它的服务描述为“IntranetServices”,而它的文件版本、公司、描述信息更全部为空(见图7),如果是微软的系统服务程序是绝对不可能出现这种现象的。从启动信息“C:\\WINDOWS\\System32\\svchost.exe-knetsvcs”中可以看出这是一款典型的利用Svchost.exe进程加载运行的木马,知道了其原理,清除方法也很简单了:先用服务管理专家停止该服务的运行,然后运行regedit.exe打开“注册表编辑器”,删除[HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\IPRIP]主键,重新启动计算机,再删除%systemroot%\\System32目录中的木马源程序“svchostdll.dll”,通过按时间排序,又发现了时间完全相同的木马安装程序“PortlessInst.exe”,一并删除即可。
回复
使用道具
举报
千问
|
2011-8-19 05:07:12
|
显示全部楼层
同时按CTRLALTDEL看下svchost是否是大写,如果是小写那么你的电脑中毒额,是大写的话,一切正常
回复
使用道具
举报
返回列表
发新帖
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
回帖后跳转到最后一页
千问
主题
0
回帖
4882万
积分
论坛元老
论坛元老, 积分 48824836, 距离下一级还需 -38824837 积分
论坛元老, 积分 48824836, 距离下一级还需 -38824837 积分
积分
48824836
加好友
发消息
回复楼主
返回列表
问答
热门排行
1
请教大家:学校隔壁就是加油站,算不算安全隐患?
2
VB upated sqlite速度太慢,请纠正哪里不对!
3
vb如何统计Excel指定的列的行数
4
我如何才能投诉这个警察
5
VB如何快速实现如Excel里面的VLOOKUP函数的功能
6
不知道有多少中国移动被这样的扣费了
7
用VB程序生成的图形如何控制图形像素大小
8
福安供电公司的服务态度实在是无法忍受
9
vb6 WebBrowser显示网站问题
10
麻烦各位朋友帮我看看这个功能怎么实现
11
如何利用vba将excel生成xml文件
12
vb中文件拷贝问题
13
求助论坛各位大侠,vb实用于EXCEL
14
如何保证所有种类语言在编码中不被混淆
15
[求助] 怎么用VBA把WORD文档的表格中所有的姓名前加上特定的内容
16
土豆网是不是被封了?
17
A机器上运行MySQL5.7,想把它的binlog文件,实时(注意:是实时)同步到B机器上,需要怎么做?想用rsync
18
MySQL 什么时候建立外键?
19
sybase 12.5 执行动态SQL并取得结果,如何处理?
20
物价疯涨,爱何时涨?
21
SybaseASE SybaseIQ client端安装及配置问题
22
odbc sybase12.5.4 提示could not load code page for requested charset
23
java如何实时捕获sybase存储过程中print信息
24
关于mariadb数据库中文分词的问题
25
Neo4j 多层查询结果使用VIS.js展示问题求教
26
谁给孩子一个家
27
请教:多表查询方法, (一个字段多个字符串)
28
MySQL中怎样检查系统中是否已有同名的光标
29
请求大神,多谢!
30
IDEA链接MongoDB数据库只能用插件吗?
31
mysql,求教数据分组后取第一条的问题
32
关于win10mongoDB启动服务100错误码问题
33
中邮集团,你们为何如此垃圾?
34
o(︶︿︶)o 唉,无奈,谁能帮忙解答??
35
优化代码,不知道怎么写。
36
移动公司 到底谁欠谁的?
37
蛀虫还有多少?(转载)
38
MYSQL 8.0.15,net start mysql提示启动成功,
39
单线程会出现幻读吗?
40
不知道这个要如何写了,最后的数据都不对
41
九十六评:怎么就这点觉悟(五十四致高勇院长的信)
42
刚刚开车把车轮给开爆了,新手女司机求指导求安慰~
43
DB2连接问题请教
44
你们觉得《云中歌》播了以后,AB继续会圈饭吗???
45
mysql查询语句的结果能不能当成另一个表的字段名
46
帮忙给起名字啦,男娃,姓申,要叫申什么生,取中间字,生是辈。
47
LOAD DATA LOCAL INFILE从txt文档导数据到mysql的疑问
48
如何成长为高级MySQL DBA?
49
看明星怀孕怎么穿,大量图,这绝对是个长知识贴
50
我寡姐来上海啦?喜大普奔变5终于开拍啦!(转载)
51
MySql ifnull 语句问题
52
为什么有些无父无母没有子女的喜欢去兄弟姐妹家蹭饭吃?
53
一万个不相信,好声音收视率能超过爸哪三
54
求助!pgAdmin4 socket连接失败
55
小白安装Mysql求助~QAQ
56
工作中遇到的问题,请经验丰富的人指导
57
如何将ACCESS中将多个查询结果导入到同一张Excel的不同Sheet中?
58
请求!jdbc连接mysql数据库出现“Communications link failure.The last packet sent…”(附源码及错误信息)
59
求大神帮我把这个在自拍的大叔P掉去
60
最优化软件都有哪些,对于非线性优化哪些优化软件比较好呢?其中lingo可以优化部分非线性规划,其他不能优化的有什么?
61
谁在为骗子提供平台(淘宝为骗子提供平台
62
DB2数据库下,如何使用update语句中嵌套使用inner join进行更新。
63
如何将Datasnap做得更安全些?
64
求pHash算法的DELPHI版本。
65
Dephi10.1 编写Service Application服务,无法弹窗显示
66
我用 IdMappedPortTCP1 做了端口映射加密处理传输,就是大数据包的时候出现卡顿,怎么解决
67
大神们,求救,HTTP POST 提交 请问以后功能我需要怎么谢
68
Delphi在沿海城市大概是多少一个月?
69
色卡质检系统设计思路求教,涉及图像比对,
70
有没有知道会长说的是谁>o<
71
求助天涯人民!!有没有在日本的留学生!!
72
delphi chart控件求问
73
如何操作cxGrid过滤出来的数据集?
74
求之前很火的一则关于考公经验的帖子
75
从火锅店事件看,大家有没有发现一旦涉及到男女双方,舆论就会偏向男性?
76
delphi通过OPC server与西门子300通信的问题
77
请大家评下理,我与老公谁对谁错,现在我们争个不停,决定听大家的意见
78
火锅烫泼人泼出新高度!这次怨谁??????
79
Delphi2010中"Unable to Locate file *.pas "的问题
80
如果学习数据挖掘?
81
~~~求教一个C++代码转换delphiXE的语法~~~
82
有没有做hr的妹纸,我这种情况应该怎么办?
83
SynEdit使用的两个问题(注释和多语句执行SQL查询)
84
被自己练的字丑哭了有没有!
85
PivotGridEh输出excel问题
86
谁能帮我把这个计算TLV长度的JAVA方法改成DELPHI,先谢谢了
87
delphi2010初始化ivms7200 sdk的libPPVClient2.dll问题
88
筒子们,现在有什么技术可以让眉毛变美吗。。。
89
谁给我88配音演员“陈红”啊`````~~
90
Delphi 用的是RealThinClient 做的后端 前端是HTML jquery怎么批量上传文件
91
有人认识央视的配音演员陈红吗?认识的乱进啊~~~
92
谁有公马,贡献我一只~~~~
93
Delphi7+Codesoft6标签打印问题
94
楼主想做个调查,毕业三年到底月入多少算混的不错的?月入十二万的都不要进了吧!
95
为什么CCTV8海外剧场那么DJ配音演员陈红啊
96
关于 delphi 7 以上版本的 IDE 和 编译后的 exe 问题。您一定也有这样的问题!!
97
关于StringGrid单元格内容滚动的问题
98
delphi怎么使用SFTP传输文件?有没有SFTP控件?
99
爸哪的黑帖撕×帖那么多,我觉得主要有这么几个原因