Svchost.exe占用CPU100%全面解析与进程说明.
发布:爱在成都 浏览2817次(2006/8/20)
在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。
a/��.�U�'�N;L����L9NSq)�?���@�
�[M��a"�AFUd7�^gw!�� @B�x
18et|^~'�WCeB��PMO8
在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。 0�d
$�|m($$\F*
P�T�"6VY8�Q
Nene_ �K2�M[�`.nAK�S�hz�
在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer 键值改为Explorer=“C:\WINDOWS\expiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能,最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马该病毒也称为“Code Red II(红色代码2)”病毒,与早先在西方英文系统下流行“红色代码”病毒有点相反,在国际上被称为VirtualRoot(虚拟目录)病毒。该蠕虫病毒利用Microsoft已知的溢出漏洞,通过80端口来传播到其它的Web页服务器上。受感染的机器可由黑客们通过Http Get的请求运行scripts/root.exe来获得对受感染机器的完全控制权。 O(�
�hj=V��4[^AL-:Y��DS�Pq��;MGE�]�Tj%W��Bc_a3� �:Y
当感染一台服务器成功了以后,如果受感染的机器是中文的系统后,该程序会休眠2天,别的机器休眠1天。当休眠的时间到了以后,该蠕虫程序会使得机器重新启动。该蠕虫也会检查机器的月份是否是10月或者年份是否是2002年,如果是,受感染的服务器也会重新启动。当Windows NT系统启动时,NT系统会自动搜索C盘根目录下的文件explorer.exe,受该网络蠕虫程序感染的服务器上的文件explorer.exe也就是该网络蠕虫程序本身。该文件的大小是8192字节,VirtualRoot网络蠕虫程序就是通过该程序来执行的。同时,VirtualRoot网络蠕虫程序还将cmd.exe的文件从Windows NT的system目录拷贝到别的目录,给黑客的入侵敞开了大门。它还会修改系统的注册表项目,通过该注册表项目的修改,该蠕虫程序可以建立虚拟的目录C或者D,病毒名由此而来。值得一提的是,该网络蠕虫程序除了文件explorer.exe外,其余的操作不是基于文件的,而是直接在内存中来进行感染、传播的,这就给捕捉带来了较大难度。 "lZ���|���3/?��9�oT�*�9tKF�m(ra�Qn#9I=0D4z�&*d��,�y
”程序的文件名,再在整个注册表中搜索即可。 }0v;�[^lWKdu��g&d3CRF|;� .�1k�w��GF
Dt|W?�|9�=,exC
我们先看看微软是怎样描述Svchost.exe的。在微软知识库314056中对Svchost.exe有如下描述:Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。 $T?,��l��i�"9b��rlyuS�0Mqk@�ekQQl#_",m -�D�V[?4�-/N
其实Svchost.exe是Windows XP系统的一个核心进程。Svchost.exe不单单只出现在Windows XP中,在使用NT内核的Windows系统中都会有Svchost.exe的存在。一般在Windows 2000中Svchost.exe进程的数目为2个,而在Windows XP中Svchost.exe进程的数目就上升到了4个及4个以上。所以看到系统的进程列表中有几个Svchost.exe不用那么担心。 �bT:kb9}j*/M�mgBqV()Zh0ui�(R"�@XH jYkN2X�7:�ikRLm�6
Svchost.exe到底是做什么用的呢? p1\c3-6��{;TzJKM1`{
4H�~S�+�_j|��H2�&vxn�)���v-qe^+
首先我们要了解一点那就是Windows系统的中的进程分为:独立进程和共享进程这两种。由于Windows系统中的服务越来越多,为了节约有限的系统资源微软把很多的系统服务做成了共享模式。那Svchost.exe在这中间是担任怎样一个角色呢? vut=q$*otb;��3/h/�L3|?TS�"3J�y$*�d;�0,}�75([���"4k
Svchost.exe的工作就是作为这些服务的宿主,即由Svchost.exe来启动这些服务。Svchost.exe只是负责为这些服务提供启动的条件,其自身并不能实现任何服务的功能,也不能为用户提供任何服务。Svchost.exe通过为这些系统服务调用动态链接库(DLL)的方式来启动系统服务。 7UrR@&[ `MvF)Y8l�0�4�'B,{=`Q*s�?=F�u�LGD9l�X7�_Ge�
那Svchost.exe是病毒这种说法是任何产生的呢? W�jgt{7�-1�@hb{�=)x?dB�)ChyA�\��'�
�`-;*-n$�:)h�;._
因为Svchost.exe可以作为服务的宿主来启动服务,所以病毒、木马的编写者也挖空心思的要利用Svchost.exe的这个特性来迷惑用户达到入侵、破坏计算机的目的。 (R~QK�*SYZV=p:_E�E�?qd%mj�����n5ecr�!v�x/ 9G9$VE^w6
如何才能辨别哪些是正常的Svchost.exe进程,而哪些是病毒进程呢? 5f��4-/;^3.,Zk!�PeE�&s�+�w.BUJ��xG�cQuv��S0{l?��|}
Svchost.exe的键值是在“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost”。 'u"nH^%I,o[�6K��Oy&7o]I|:T~/DiISq5�L|S�-��S"�R;w���
微软还为我们提供了一种察看系统正在运行在Svchost.exe列表中的服务的方法。以Windows XP为例:在“运行”中输入:cmd,然后在命令行模式中输入:tasklist /svc。系统列出如图2所示的服务列表。图2中红框包围起来的区域就是Svchost.exe启动的服务列表。如果使用的是Windows 2000系统则把前面的“tasklist /svc”命令替换为:“tlist -s”即可。如果你怀疑计算机有可能被病毒感染,Svchost.exe的服务出现异常的话通过搜索Svchost.exe文件就可以发现异常情况。一般只会找到一个在:“C:\Windows\System32”目录下的Svchost.exe程序。如果你在其他目录下发现Svchost.exe程序的话,那很可能就是中毒了。 G�/.@�ku�?�Zzh�=b)~x8'+!OL�Ln-\�x
pc5su4?�[U�N;!�SS
还有一种确认Svchost.exe是否中毒的方法是在任务管理器中察看进程的执行路径。但是由于在Windows系统自带的任务管理器不能察看进程路径,所以要使用第三方的进程察看工具。 �|,"*mI�Y�U�Y�4��o*& ��d]�ii��~FS�f�QO�K�~Sfs� �M�y
上面简单的介绍了Svchost.exe进程的相关情况。总而言之,Svchost.exe是一个系统的核心进程,并不是病毒进程。但由于Svchost.exe进程的特殊性,所以病毒也会千方百计的入侵Svchost.exe。通过察看Svchost.exe进程的执行路径可以确认是否中毒。 1�9����|O�;-K���E{K=�s?k�9�S\J~"K�0EX"SK `xdVVp
Y�3
&|P-�U��)�I�/��Ir�_&)2�I��
注:希望广大朋友不要进行非法用途,在这里解密木马捆绑是希望大家了解其原理。 =uHlb6� Qf'|k'U?b,)=��r�)[Pf|
e\�[(�{�Wf�#���zZ7_�L
今天看到许多朋友求救,把自己对电脑病毒的一些知识共享给大家~~~希望大家支持! o-V*Z~N z3�n�V;8VylwF= �Jjwo?J0H"k&h#j@s� Ay��="_
☆★☆★看后回复一下,以便让下一位朋友可以看到,不至于沉下去!希望大家支持!★☆★☆R�1�dA(S)9�}y�0)�KjNRM�P�$�?s]9(M$��(��A;k:
K�( ��
如今网络上病毒肆虐,让电脑用户在应付病毒上花费了不少精力。当你使用杀毒软件查杀病毒时,是否遇到查出了病毒,但是杀不掉的情况,原因何在?该如何处理呢?以下笔者对此略作介绍。 C|4�{���HfN�zLI02�4vv�W]mJ&t;OjIw� �G1qn��"B
1YB@�X
:7Qi(-K~z!Pr3T?0|�[t��?w�L
◆系统还原文件
%)Qt��sX-��-\%a�g~�P0/m=�b&:9}� �M/�r^��+jZ:glO �R
_restore文件夹是Windows Me/XP系统特有的系统还原文件夹,隐藏在该文件夹中的病毒是不能直接清除的。当然这些病毒也不能直接发挥作用。要清除这些病毒,可以关闭Windows系统的“系统还原”功能,清理系统还原点,或者直接删除_restore文件夹的内容。 !,wKD42C���iXrDiC
~=exh�!t��g�u� �e�9n37InAy]G�ac�+
◆疑似电脑病毒 V2=��8^@�=�K�T`n)b.A"G37P*c=�a$mQ|)q(r}u?f�EZ�A�3S8
有时杀毒软件会出现提示:unknown.com.tsr.virus。该提示中,unknown是“不明的”意思,tsr是内存驻留的意思,本信息一般提示的是纯DOS环境下的可执行文件,表明杀毒软件在该文件中发现了可疑代码,类似病毒,但是没有确定是什么病毒。 �iSmi�S�\w�98RX�%R%U %u$�/+,!S�PUoA#Kgm�/]IZ�{Y�hm#
如果疑似病毒提示涉及Type-Win32代码,则表示可疑的32位代码的意思,是指Windows环境下可疑的可执行代码。对于疑似病毒,可以直接删除该文件,或者将这些“疑似”的病毒文件发送给反病毒软件公司,请求帮助。 i6n~\w~u$3.Y;D�eWPo
�h/[
9q��o^A?)=���,E-0h�=�I��nN
◆ex_文件感染病毒 Al;Q�NWX�?m�SWo6On+�lM�%m�mf�K�*#h](`*NT�o�O-:z}?Qh
以.ex_为扩展名称的文件是软件安装程序的部分文件,其中的病毒不能直接清除。只有在软件完全安装成功后,方可清除。这有点类似于在COPY文件时发现了病毒的处理方法。 2A�; n��Q[�B%FC��{!� aa!�"i@6yv�S�\28.k-p�jad=B]�@8
◆在DOS下清除病毒 ��HV?G�h3���,bAUcUAlx':Sg��'#O�sR-L�"?1=I
���D�sC�=
对于在引导区发现的病毒,如POLYBOOT/WYX.b病毒,请使用干净的系统盘启动系统到DOS,然后在DOS下杀毒即可清除。如果可感染引导区的病毒存在于文件中,可以直接删除该文件。 X#Y�SI?w8�_�U5d�^�cqius.��\d:Fm1qejQn{!c7?�Yc5e}y��
◆系统初始文件中引用病毒 �s*[Zb���0a07}o?s'qWsj|]�!GRQ'�F
]^i3H @JW�q_?x;?��
杀毒时出现如下提示:�=�s���]P�-�K�,�AO��S�3*U?{2C��yPPzZ�C;l�VPf�rc��Bd
n6�W�bOa�a�*y�9w�AX+g0��Z�
QUOTE:5pG?���voD}ELu8L5c�`�#|WJ:
C:\Windows\brasil.pif worm.win32.opasoft.a病毒 已删除 �l�WPNQ*oF�a���C]�4fg;q��i
C:\Windows\instit.bat worm.win32.opasoft.a病毒 已删除 ��#GN69��ag�m�eF8�{� ���(
C:\Windows\alevir.exe worm.win32.opasoft.a病毒 已删除 BD�W%r�M/%&S6khw0ddn-mm�ch
C:\Windows\marco.scr worm.win32.opasoft.a病毒 已删除 DJd(X/oz+zaOR3F��D�V?,cXb`
C:\Windows\SCRSVR.exe worm.win32.opasoft.a病毒 已删除 �3zB�a|8U��n�q1(�S4@
}g?pM
杀毒后,重启动电脑时出现很多找不到文件的信息,而且再次杀毒时提示依旧,病毒还是存在。这些顽固病毒的引用应该是在win.ini文件中,请单击“开始→运行”,键入“sysedit”,按下回车键,编辑win.ini,删除对病毒的引用行。 c-�JB�juQ:$3t[E^c_d i�.S;r��u_�!01?�@�tr
�e��I/�B?O
◆病毒最新变种 DF�/zD\J�)my�/D`3�;r4�� ��@ 5,�Z,yBn 5/a&�UfP�II�B�
杀毒软件查出的是其病毒库中不存在的新型病毒,请将杀毒软件的病毒库升级到最新,然后再查杀。 ���X_x��r\5{s
?L[[K?V�4TCf
-------------------- v��#(c+b./UaW[t1~EAO0(K:zI
$O3-B��V@Sc-Tl8pm�W- sp�
一款好的防火墙并不能发现所有病毒;一个好的杀毒软件并不能歼灭所有的带毒程序!遇到这些情况我们该做何处理呢?很简单——手工杀毒。而要论到手工杀毒,就不能不提到系统进程的妙用了。 !�'!BG3T:F&PkfI}@s"�:n�1&z"�mbP}�E&��cR�n�j�4yLB�]#
进程、病毒? R8I�MoG@%�]'�i4*�Gbk�$V�
?cjXzek]q�Vx,X6Lm{;�'*7'�V
书上说:“进程为应用程序的运行实例,是应用程序的一次动态执行。”看似高深,我们可以简单地理解为:它是操作系统当前运行的执行程序。在系统当前运行的执行程序里包括:系统管理计算机个体和完成各种操作所必需的程序;用
