Я бы предложил захватить Microsoft / SysInternals Process Explorer . С помощью Process Explorer вы можете открыть определенный процесс svchost и посмотреть, какие службы запускаются из этого процесса. Затем вы можете использовать вкладку «Услуги» в деталях процесса, чтобы остановить отдельные службы, чтобы найти виновника.
SvcHost занимает 100% процессорного времени. Похоже, это либо DcomLaunch, либо TermService - вирус?
Так что мой SvcHost внезапно занимает 100% моего процессора, и я хотел бы выяснить, какая служба отвечает за это. Есть ли способ дифференцировать нагрузку, создаваемую несколькими службами, работающими в одном SvcHost?
Я запустил сканирование на вирусы, и оно оказалось чистым, мой инструмент старый и устаревший, поэтому ничего не нашел.
Я попытался пройти через службы, останавливая их одну за другой, но не смог найти виновника (обратите внимание, что некоторые службы также автоматически перезапускались, и я не хотел их отключать).
Обновление: вчера вечером я использовал Process Explorer, но в нарушающем SvcHost было много служб, некоторые из которых не могли быть остановлены. Сегодня я проверил снова по предложению Хэвида и мне повезло, потому что сегодня только два сервиса находятся в нарушающем SvcHost.
DcomLaunch - запуск сервера DCOM
ТермСервис - Терминальные услуги
Ни один из которых не остановить. Я в курсе обновлений Windows. Собираюсь запустить еще одну проверку на вирусы, хотя прошлой ночью ничего не случилось . Может быть, пришло время для нового старта (эта установка где-то в 2004 году).
Обновление: определенно вирус. После последней перезагрузки загрузка ЦП упала, но я получил несколько странных сообщений «Security Software Installed» при загрузке, запущенные процессы (например, со странными именами 555573478785.exe
) и подозрительные ключи, добавленные к HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
этому, не было там прошлой ночью.
Symantec AntiVirus Corporate 8.1.0.825 представил некоторые предупреждения, но, похоже, не все ловит :-(
Результаты Malwarebytes 'Anti-Malware :
Malwarebytes' Anti-Malware 1.44 Database version: 3763 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 2/19/2010 12:12:58 PM mbam-log-2010-02-19 (12-12-58).txt Scan type: Full Scan (C:\|D:\|) Objects scanned: 290960 Time elapsed: 1 hour(s), 23 minute(s), 54 second(s) Memory Processes Infected: 0 Memory Modules Infected: 1 Registry Keys Infected: 25 Registry Values Infected: 1 Registry Data Items Infected: 1 Folders Infected: 1 Files Infected: 6 Memory Processes Infected: (No malicious items detected) Memory Modules Infected: C:\WINDOWS\kbabjtm.dll (Trojan.Hiloti) -> Delete on reboot. Registry Keys Infected: HKEY_CLASSES_ROOT\Interface\ (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\ (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\ (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\ (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Typelib\ (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\ (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\ (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\ (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\ (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\ (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\ (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\ (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\ (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\ (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\ (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\ (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\ (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\ (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\ (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\ (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\ (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\ (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\ (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\RunDll32Policy\f3ScrCtr.dll (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully. Registry Values Infected: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\MenuExt\&Search\(default) (Adware.Hotbar) -> Quarantined and deleted successfully. Registry Data Items Infected: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: kbabjtm.dll -> Delete on reboot. Folders Infected: C:\Documents and Settings\All Users\Application Data\55533526 (Rogue.Multiple) -> Quarantined and deleted successfully. Files Infected: C:\WINDOWS\kbabjtm.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\Temp\~TM17.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\Temp\~TM466.tmp (Trojan.Hiloti) -> Quarantined and deleted successfully. C:\Documents and Settings\mach\Local Settings\Temporary Internet Files\Content.IE5\2WE7TOVW\load[1].exe (Malware.Packer.Gen) -> Quarantined and deleted successfully. C:\Documents and Settings\mach\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully. C:\Documents and Settings\mach\Start Menu\Programs\Startup\monnid32.exe (Trojan.Bredolab) -> Delete on reboot.
Результаты второго сканирования:
Malwarebytes' Anti-Malware 1.44 Database version: 3763 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 2/19/2010 1:54:07 PM mbam-log-2010-02-19 (13-54-07).txt Scan type: Full Scan (C:\|D:\|) Objects scanned: 290753 Time elapsed: 1 hour(s), 18 minute(s), 34 second(s) Memory Processes Infected: 0 Memory Modules Infected: 0 Registry Keys Infected: 0 Registry Values Infected: 0 Registry Data Items Infected: 0 Folders Infected: 0 Files Infected: 2 Memory Processes Infected: (No malicious items detected) Memory Modules Infected: (No malicious items detected) Registry Keys Infected: (No malicious items detected) Registry Values Infected: (No malicious items detected) Registry Data Items Infected: (No malicious items detected) Folders Infected: (No malicious items detected) Files Infected: C:\System Volume Information\_restore\RP2138\A0129104.dll (Trojan.Hiloti) -> Quarantined and deleted successfully. C:\System Volume Information\_restore\RP2138\A0129105.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
Обновление: после еще нескольких проверок похоже, что на моем компьютере больше нет вируса.
Спасибо всем!
4 ответа на вопрос
- Популярные
- Новые
- С комментариями
- Активные
Пока несколько служб работают в одном файле svchost.exe, вы не можете дифференцировать нагрузку. Но есть простой и безопасный способ разделить их на отдельные файлы svchost.exe:
SC Config Servicename Type= own
Сделайте это в окне командной строки или поместите в скрипт BAT / CMD. Требования к этому для работы:
- Административные привилегии при выполнении
SC
команд. - Перезагрузка компьютера. Это не вступает в силу раньше.
- Пробел после "=".
Исходное состояние может быть восстановлено:
SC Config Servicename Type= share
Пример: чтобы инструментарий управления Windows работал в отдельном файле SVCHOST.EXE:
SC Config winmgmt Type= own
Я использовал следующую последовательность в системе Windows XP. Его можно вставить прямо в окно командной строки.
rem 1. "Automatic Updates" SC Config wuauserv Type= own rem 2. "COM+ Event System" SC Config EventSystem Type= own rem 3. "Computer Browser" SC Config Browser Type= own rem 4. "Cryptographic Services" SC Config CryptSvc Type= own rem 5. "Distributed Link Tracking" SC Config TrkWks Type= own rem 6. "Help and Support" SC Config helpsvc Type= own rem 7. "Logical Disk Manager" SC Config dmserver Type= own rem 8. "Network Connections" SC Config Netman Type= own rem 9. "Network Location Awareness" SC Config NLA Type= own rem 10. "Remote Access Connection Manager" SC Config RasMan Type= own rem 11. "Secondary Logon" SC Config seclogon Type= own rem 12. "Server" SC Config lanmanserver Type= own rem 13. "Shell Hardware Detection" SC Config ShellHWDetection Type= own rem 14. "System Event Notification" SC Config SENS Type= own rem 15. "System Restore Service" SC Config srservice Type= own rem 16. "Task Scheduler" SC Config Schedule Type= own rem 17. "Telephony" SC Config TapiSrv Type= own rem 18. "Terminal Services" SC Config TermService Type= own rem 19. "Themes" SC Config Themes Type= own rem 20. "Windows Audio" SC Config AudioSrv Type= own rem 21. "Windows Firewall/Internet Connection Sharing (ICS)" SC Config SharedAccess Type= own rem 22. "Windows Management Instrumentation" SC Config winmgmt Type= own rem 23. "Wireless Configuration" SC Config WZCSVC Type= own rem 24. "Workstation" SC Config lanmanworkstation Type= own rem End.
Я предлагаю вам попробовать AVIRA AntiVirus. У него более высокий уровень обнаружения, чем у любого существующего антивируса. Я определенно рекомендую это.
Такое же состояние у меня. Это вирус на моей стороне. Но нет никаких сомнений в том, что никакой антивирус не может вылечить его, потому что сам SvcHost был введен и заражен. SvcHost никогда не может быть удален или прекращен тогда.
Используйте Sysinternal's Process Explorer
Затем найдите, какая служба SvcHost запущена
without a parent
. Потому что каждыйsvchost.exe
должен быть загруженservices.exe
. ИЛИ вы можете выяснитьParent
процесс следующим образом: Двойной щелчок по нему >> Вкладка «Изображение» >> Метка «Родитель».
Кроме того, если полученный вами вирус такой же, как и у меня (заражает все html
файлы с помощью VBScript), вам следует выполнить следующие действия.
Очистить все
.html
файлы (или) удалить код из каждого.html
файла.После очистки
.html
файлов, для меня в этой ситуации я наверняка заменилSVCHOST.EXE
с установочного компакт-диска Windows XP, используяRecovery Console
при загрузке.
Похожие вопросы
-
2
Ограничить использование процессора для Flash в Firefox?
-
4
Как узнать, кто вошел в Windows XP?
-
3
Как обстоят дела с папкой C: \ Program Files \ xerox \ nwwia?
-
-
3
Почему отключение моего флэш-накопителя приводит к синему экрану?
-
2
Есть ли какой-нибудь способ получить пункт меню «отправить в -> получатель почты» в Gmail?
-
2
Почему установщик IIS не может скопировать staxmem.dll, несмотря на то, что он находится в указанной...
-
1
Переключить настройки DNS для каждого пользователя Windows?
-
4
Есть ли способ поделиться сканером многофункционального принтера?
-
2
Dreamweaver CS3 загружает процессор
-
8
Как предотвратить сжатие панели задач при использовании удаленного рабочего стола?