|
htysm
高级用户
积分 866
发帖 415
注册 2005-12-4
状态 离线
|
『楼 主』:
进程中为何有6个svchost.exe?
如图:请高手解释一下是什么原因,不会是病毒吧?
附件
1:  pross.JPG (2006-6-29 08:26, 53.8 K, 下载附件所需积分 1 点
,下载次数: 2)
|
|
 2006-6-29 08:26 |
|
|
雨露
管理员
DOS非常爱好者
积分 6209
发帖 2598
注册 2006-1-20
状态 离线
|
 『第
2 楼』:
好像没问题!
在微软知识库314056中对Svchost.exe有如下描述:Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。
其实Svchost.exe是Windows XP系统的一个核心进程。Svchost.exe不单单只出现在Windows XP中,在使用NT内核的Windows系统中都会有Svchost.exe的存在。一般在Windows 2000中Svchost.exe进程的数目为2个,而在Windows XP中Svchost.exe进程的数目就上升到了4个及4个以上。所以看到系统的进程列表中有几个Svchost.exe不用那么担心。
Svchost.exe到底是做什么用的呢?
首先我们要了解一点那就是Windows系统的中的进程分为:独立进程和共享进程这两种。由于Windows系统中的服务越来越多,为了节约有限的系统资源微软把很多的系统服务做成了共享模式。那Svchost.exe在这中间是担任怎样一个角色呢?
Svchost.exe的工作就是作为这些服务的宿主,即由Svchost.exe来启动这些服务。Svchost.exe只是负责为这些服务提供启动的条件,其自身并不能实现任何服务的功能,也不能为用户提供任何服务。Svchost.exe通过为这些系统服务调用动态链接库(DLL)的方式来启动系统服务。
如果没有运行很多程序,而Svchost.exe进程却很多,而且占用CPU特别多,就值得怀疑了!
|
|
|
|
2006-6-29 09:40 |
|
|
htysm
高级用户
积分 866
发帖 415
注册 2005-12-4
状态 离线
|
『第
3 楼』:
re:afnspy
感谢!已给你加+6分.
|
|
|
2006-6-29 10:12 |
|
|
cccfish
新手上路
积分 9
发帖 5
注册 2006-7-22
状态 离线
|
|
|
2006-7-27 17:33 |
|
|
3742668
荣誉版主
积分 2013
发帖 718
注册 2006-2-18
状态 离线
|
『第
5 楼』:
XP系统,运行cmd,输入wmic,然后输入process,得到各个svchost.exe的参数,路径等等信息,通过这些信息判断是否为系统文件就知道了。同样的,这个方法也可以用来判断其他进程,不过无法判断是否插入dll。
|
|
|
2006-8-1 14:48 |
|
|
electronixtar
铂金会员
积分 7493
发帖 2672
注册 2005-9-2
状态 离线
|
『第
6 楼』:
输入
netstat -nba
(不是篮球NBA哦)
可以看看是否svchost打开了陌生端口,如果有陌生端口很可能是dll木马!
|
C:\>BLOG http://initiative.yo2.cn/
C:\>hh.exe ntcmds.chm::/ntcmds.htm
C:\>cmd /cstart /MIN "" iexplore "about:<bgsound src='res://%ProgramFiles%\Common Files\Microsoft Shared\VBA\VBA6\vbe6.dll/10/5432'>" |
|
|
2006-8-1 15:05 |
|
|
3742668
荣誉版主
积分 2013
发帖 718
注册 2006-2-18
状态 离线
|
『第
7 楼』:
| Quote: | Originally posted by electronixtar at 2006-8-1 15:05:
输入
netstat -nba
(不是篮球NBA哦)
可以看看是否svchost打开了陌生端口,如果有陌生端口很可能是dll木马! |
|
不陌生的端口也可能被非法程序利用,更详细的内容应该运行:
netstat /a /b /n /o /v 由于它的参数格式比较宽松,可以简写为:
netstat /abnov 或者
netstat -abnov 更多的用法可以参考netstat /?或者 帮助与支持
不过用netstat大多数时候并不能看出什么结果,所以更多的时候是去判断它所调用的dll:
tasklist /m /fi "imagename eq svchost.exe" 配合上wmic来判断schost.exe或者该进程中插入的dll是否可疑,刚开始的时候可能会觉得很麻烦,不过如果如果对系统有一定的了解的话应该会轻松不少。
|
|
|
2006-8-1 22:13 |
|
|
kingchain
初级用户
积分 133
发帖 57
注册 2006-3-15
状态 离线
|
|
|
2006-10-15 22:25 |
|
|
pengfei
银牌会员
积分 1218
发帖 485
注册 2006-7-21
来自 湖南.娄底
状态 离线
|
『第
9 楼』:
判断该进程是否为合法进程, 最主要就是查看该进程的程序路径了, 如果svcchost.exe存在于%windir%\system32目录下就完全正常, 若发现在其他目录, 那么很可能是木马病毒.
建议用冰刃等工具查一下进程, 不但可以看到进程的路径, 还可以查找是否有线程插入. 木马病毒伪装成系统进程名很普遍, 一定要小心...
|
|
|
2006-10-16 01:53 |
|
|
lh82102849
初级用户
积分 24
发帖 11
注册 2006-9-30
状态 离线
|
|
|
2006-10-21 06:53 |
|
|
electronixtar
铂金会员
积分 7493
发帖 2672
注册 2005-9-2
状态 离线
|
『第
11 楼』:
tasklist /svc 可以看服务的名字
|
C:\>BLOG http://initiative.yo2.cn/
C:\>hh.exe ntcmds.chm::/ntcmds.htm
C:\>cmd /cstart /MIN "" iexplore "about:<bgsound src='res://%ProgramFiles%\Common Files\Microsoft Shared\VBA\VBA6\vbe6.dll/10/5432'>" |
|
|
2006-10-21 06:56 |
|
|
wl00560
银牌会员
积分 1384
发帖 709
注册 2005-10-29
状态 离线
|
『第
12 楼』:
这个要看路径的,楼主还是查一下这些进程的路径吧
|
|
|
2006-10-21 09:35 |
|
