SvcHost занимает 100% процессорного времени. Похоже, это либо DcomLaunch, либо TermService - вирус?

22417
Cory Charlton

Так что мой SvcHost внезапно занимает 100% моего процессора, и я хотел бы выяснить, какая служба отвечает за это. Есть ли способ дифференцировать нагрузку, создаваемую несколькими службами, работающими в одном SvcHost?

Я запустил сканирование на вирусы, и оно оказалось чистым, мой инструмент старый и устаревший, поэтому ничего не нашел.

Я попытался пройти через службы, останавливая их одну за другой, но не смог найти виновника (обратите внимание, что некоторые службы также автоматически перезапускались, и я не хотел их отключать).


Обновление: вчера вечером я использовал Process Explorer, но в нарушающем SvcHost было много служб, некоторые из которых не могли быть остановлены. Сегодня я проверил снова по предложению Хэвида и мне повезло, потому что сегодня только два сервиса находятся в нарушающем SvcHost.

DcomLaunch - запуск сервера DCOM

ТермСервис - Терминальные услуги

Ни один из которых не остановить. Я в курсе обновлений Windows. Собираюсь запустить еще одну проверку на вирусы, хотя прошлой ночью ничего не случилось . Может быть, пришло время для нового старта (эта установка где-то в 2004 году).


Обновление: определенно вирус. После последней перезагрузки загрузка ЦП упала, но я получил несколько странных сообщений «Security Software Installed» при загрузке, запущенные процессы (например, со странными именами 555573478785.exe) и подозрительные ключи, добавленные к HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runэтому, не было там прошлой ночью.

Symantec AntiVirus Corporate 8.1.0.825 представил некоторые предупреждения, но, похоже, не все ловит :-(


Результаты Malwarebytes 'Anti-Malware :

Malwarebytes' Anti-Malware 1.44 Database version: 3763 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702  2/19/2010 12:12:58 PM mbam-log-2010-02-19 (12-12-58).txt  Scan type: Full Scan (C:\|D:\|) Objects scanned: 290960 Time elapsed: 1 hour(s), 23 minute(s), 54 second(s)  Memory Processes Infected: 0 Memory Modules Infected: 1 Registry Keys Infected: 25 Registry Values Infected: 1 Registry Data Items Infected: 1 Folders Infected: 1 Files Infected: 6  Memory Processes Infected: (No malicious items detected)  Memory Modules Infected: C:\WINDOWS\kbabjtm.dll (Trojan.Hiloti) -> Delete on reboot.  Registry Keys Infected: HKEY_CLASSES_ROOT\Interface\ (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\ (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\ (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\ (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Typelib\ (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\ (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\ (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\ (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\ (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\ (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\ (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\ (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\ (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\ (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\ (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\ (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\ (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\ (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\ (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\ (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\ (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\ (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\ (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\RunDll32Policy\f3ScrCtr.dll (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully.  Registry Values Infected: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\MenuExt\&Search\(default) (Adware.Hotbar) -> Quarantined and deleted successfully.  Registry Data Items Infected: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: kbabjtm.dll -> Delete on reboot.  Folders Infected: C:\Documents and Settings\All Users\Application Data\55533526 (Rogue.Multiple) -> Quarantined and deleted successfully.  Files Infected: C:\WINDOWS\kbabjtm.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\Temp\~TM17.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\Temp\~TM466.tmp (Trojan.Hiloti) -> Quarantined and deleted successfully. C:\Documents and Settings\mach\Local Settings\Temporary Internet Files\Content.IE5\2WE7TOVW\load[1].exe (Malware.Packer.Gen) -> Quarantined and deleted successfully. C:\Documents and Settings\mach\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully. C:\Documents and Settings\mach\Start Menu\Programs\Startup\monnid32.exe (Trojan.Bredolab) -> Delete on reboot. 

Результаты второго сканирования:

Malwarebytes' Anti-Malware 1.44 Database version: 3763 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702  2/19/2010 1:54:07 PM mbam-log-2010-02-19 (13-54-07).txt  Scan type: Full Scan (C:\|D:\|) Objects scanned: 290753 Time elapsed: 1 hour(s), 18 minute(s), 34 second(s)  Memory Processes Infected: 0 Memory Modules Infected: 0 Registry Keys Infected: 0 Registry Values Infected: 0 Registry Data Items Infected: 0 Folders Infected: 0 Files Infected: 2  Memory Processes Infected: (No malicious items detected)  Memory Modules Infected: (No malicious items detected)  Registry Keys Infected: (No malicious items detected)  Registry Values Infected: (No malicious items detected)  Registry Data Items Infected: (No malicious items detected)  Folders Infected: (No malicious items detected)  Files Infected: C:\System Volume Information\_restore\RP2138\A0129104.dll (Trojan.Hiloti) -> Quarantined and deleted successfully. C:\System Volume Information\_restore\RP2138\A0129105.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully. 

Обновление: после еще нескольких проверок похоже, что на моем компьютере больше нет вируса.

Спасибо всем!

5
Используйте MalwareBytes AntiMalware. У меня случилась та же проблема с парой компьютеров в сети. У всех были одинаковые симптомы (svchost.exe использует 100% ЦП), но с разными сервисами. Быстрое сканирование показало, что червь был установлен на обеих машинах. LaughingMan 14 лет назад 1
@LaughingMan: Спасибо, никогда не пробовал. Также попробуйте Sysinternals RootKit Revealer. Cory Charlton 14 лет назад 0
Это решило вашу проблему? LaughingMan 14 лет назад 0
Сейчас выполняется второе сканирование, пока что обнаружено два зараженных объекта. Я собираюсь продолжать это делать некоторое время, а также искать другие бесплатные варианты очистки. Надеясь, что комбинация инструментов и многократное сканирование в конечном итоге очистит мой компьютер от герпеса :-P Cory Charlton 14 лет назад 0

4 ответа на вопрос

7
heavyd

Я бы предложил захватить Microsoft / SysInternals Process Explorer . С помощью Process Explorer вы можете открыть определенный процесс svchost и посмотреть, какие службы запускаются из этого процесса. Затем вы можете использовать вкладку «Услуги» в деталях процесса, чтобы остановить отдельные службы, чтобы найти виновника.

+1: я пошел этим путем прошлой ночью, но там было так много служб, некоторые из которых не могли быть остановлены. Похоже, мне повезло сегодня, потому что только две службы находятся в нарушающей svchost сегодня. Я обновлю вопрос. Cory Charlton 14 лет назад 0
7
Peter Mortensen

Пока несколько служб работают в одном файле svchost.exe, вы не можете дифференцировать нагрузку. Но есть простой и безопасный способ разделить их на отдельные файлы svchost.exe:

SC Config Servicename Type= own 

Сделайте это в окне командной строки или поместите в скрипт BAT / CMD. Требования к этому для работы:

  • Административные привилегии при выполнении SCкоманд.
  • Перезагрузка компьютера. Это не вступает в силу раньше.
  • Пробел после "=".

Исходное состояние может быть восстановлено:

SC Config Servicename Type= share 

Пример: чтобы инструментарий управления Windows работал в отдельном файле SVCHOST.EXE:

SC Config winmgmt Type= own 

Я использовал следующую последовательность в системе Windows XP. Его можно вставить прямо в окно командной строки.

rem 1. "Automatic Updates" SC Config wuauserv Type= own  rem 2. "COM+ Event System" SC Config EventSystem Type= own  rem 3. "Computer Browser" SC Config Browser Type= own  rem 4. "Cryptographic Services" SC Config CryptSvc Type= own  rem 5. "Distributed Link Tracking" SC Config TrkWks Type= own  rem 6. "Help and Support" SC Config helpsvc Type= own  rem 7. "Logical Disk Manager" SC Config dmserver Type= own  rem 8. "Network Connections" SC Config Netman Type= own  rem 9. "Network Location Awareness" SC Config NLA Type= own  rem 10. "Remote Access Connection Manager" SC Config RasMan Type= own  rem 11. "Secondary Logon" SC Config seclogon Type= own  rem 12. "Server" SC Config lanmanserver Type= own  rem 13. "Shell Hardware Detection" SC Config ShellHWDetection Type= own  rem 14. "System Event Notification" SC Config SENS Type= own  rem 15. "System Restore Service" SC Config srservice Type= own  rem 16. "Task Scheduler" SC Config Schedule Type= own  rem 17. "Telephony" SC Config TapiSrv Type= own  rem 18. "Terminal Services" SC Config TermService Type= own  rem 19. "Themes" SC Config Themes Type= own  rem 20. "Windows Audio" SC Config AudioSrv Type= own  rem 21. "Windows Firewall/Internet Connection Sharing (ICS)" SC Config SharedAccess Type= own  rem 22. "Windows Management Instrumentation" SC Config winmgmt Type= own  rem 23. "Wireless Configuration" SC Config WZCSVC Type= own  rem 24. "Workstation" SC Config lanmanworkstation Type= own  rem End. 
0
SoftwareGeek

Я предлагаю вам попробовать AVIRA AntiVirus. У него более высокий уровень обнаружения, чем у любого существующего антивируса. Я определенно рекомендую это.

0
Alvin

Такое же состояние у меня. Это вирус на моей стороне. Но нет никаких сомнений в том, что никакой антивирус не может вылечить его, потому что сам SvcHost был введен и заражен. SvcHost никогда не может быть удален или прекращен тогда.

  • Используйте Sysinternal's Process Explorer

  • Затем найдите, какая служба SvcHost запущена without a parent. Потому что каждый svchost.exeдолжен быть загружен services.exe. ИЛИ вы можете выяснить Parentпроцесс следующим образом: Двойной щелчок по нему >> Вкладка «Изображение» >> Метка «Родитель».

Кроме того, если полученный вами вирус такой же, как и у меня (заражает все htmlфайлы с помощью VBScript), вам следует выполнить следующие действия.

  • Очистить все .htmlфайлы (или) удалить код из каждого .htmlфайла.

  • После очистки .htmlфайлов, для меня в этой ситуации я наверняка заменил SVCHOST.EXEс установочного компакт-диска Windows XP, используя Recovery Consoleпри загрузке.

Похожие вопросы