Se acabó. Expertos, por favor ayúdenme.
SVCHOST significa "Proceso de host genérico para servicios Win32". Puede considerarse como un "cargador de servicios" que se utiliza para analizar archivos del sistema en forma de bibliotecas de enlaces dinámicos DLL en servicios del sistema.
Por lo tanto, es posible ver varios SVCHOST ejecutándose al mismo tiempo en la lista de procesos del Administrador de tareas, dependiendo de qué servicios estén abiertos.
Generalmente, el inicio del programa SVCHOST. La dirección es Los programas que se encuentran en otro lugar bajo el archivo X:/WINDOWS/SYSTEM32/ se consideran programas sospechosos. Específicamente, puede utilizar Super Rabbit Process Manager y otro software similar para verificar la dirección del proceso.
1. Es un virus. Después de iniciar, le indicará que el proceso de host genérico para servicios Win32 ha encontrado un problema y debe cerrarse. "El servicio de llamada de procedimiento remoto (RPC) finalizó inesperadamente y luego la computadora se reiniciará automáticamente. Generalmente, el virus creará el valor de clave msblast.exe en el registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run y también colocará un troyano msblast.exe en el directorio c:\windows\system32. siguiente:
Vulnerabilidad RPC
El atacante crea una clave llamada "msupdate" (presumiblemente modificada) en el registro de usuario HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. generalmente msblast.exe Se colocará un programa troyano msblast.exe en el directorio C:\windows\system32.
Además, el atacante verá "El proceso de host genérico para los servicios Win32 encontró un problema y necesita". para cerrar." El servicio de llamada de error remoto (RPC) finalizó inesperadamente, Windows debe reiniciarse inmediatamente" y otros mensajes de error para reiniciar.
Se recomienda descargar el parche correspondiente desde /security/security_bulletins/ms03-026.asp. Si ha sido atacado, se recomienda desconectar primero el cable de red, finalizar el proceso msblast.exe en el administrador de tareas, borrar las entradas correspondientes en el registro, eliminar el programa troyano en system32 y finalmente aplicar un parche.
La segunda situación es que después de eliminar el virus, dicho problema persiste. Generalmente, la información de registro del componente IE en el registro está dañada. Puede resolver este problema de acuerdo con el siguiente método: <. /p>
1. Abra la ventana "Ejecutar" en el menú "Inicio", ingrese "regsvr32 actxprxy.dll" y luego "Aceptar". Luego aparecerá un cuadro de diálogo con el mensaje "DllRegisterServer en actxprxy.dll tuvo éxito". Haga clic en "Aceptar" nuevamente.
2 Abre la ventana "Ejecutar" nuevamente e ingresa "regsvr32 shdocvw.dll
3 Abre la ventana "Ejecutar" nuevamente e ingresa "regsvr32 oleaut32.dll
4 Abra la ventana "Ejecutar" nuevamente e ingrese "regsvr32 actxprxy.dll
5 Abra la ventana "Ejecutar" nuevamente e ingrese "regsvr32 mshtml.dll
6 Abra la ventana "Ejecutar" " nuevamente e ingrese "regsvr32 msjava.dll
7 Abra la ventana "Ejecutar" nuevamente e ingrese "regsvr32 browserui.dll
8 Abra la ventana "Ejecutar" nuevamente e ingrese " regsvr32 urlmon.dll
Si se elimina el problema del virus, los problemas generales con el registro de componentes de IE se pueden resolver completando los pasos anteriores
(2)
A partir del mediodía del 13 de agosto, se descubrió que muchas personas tenían errores de svchost.exe y la conexión ADSL PPPOE falló. Los síntomas eran que el estado de la conexión en la barra de tareas era anormal, la conexión no se podía desconectar normalmente y no había nada. Al mismo tiempo, la tarjeta de sonido en la barra de tareas desapareció.
Según un sitio web extranjero, hoy se interceptó un gusano que explota la vulnerabilidad MS06-040 y ataca principalmente a los sistemas win200.
El virus libera wgareg.exe y wgavm en la carpeta del sistema.
El gusano creará el siguiente servicio en el sistema
Nombre del servicio wgareg
Descripción del servicio Servicio de registro Windows Genuine Advantage (servicio de verificación de Windows original)
Descripción Garantiza que su copia de Microsoft Windows sea genuina y esté registrada. Detener o deshabilitar este servicio provocará inestabilidad en el sistema.
Nombre del servicio wgavm
Descripción del servicio Windows Genuine Advantage Validation Monitor
Descripción detallada Garantiza que su copia de Microsoft Windows sea genuina. Detener o deshabilitar este servicio provocará inestabilidad en el sistema. ..
Se puede ver que es un gusano de verificación genuino de Windows falso
Y el virus utilizará automáticamente el puerto TCP 18067 para conectarse a bbjj.househot.com ypgw.wallloan.com
¡Debido a que este virus es tan agresivo, se emite una advertencia de virus!
La solución es aplicar el parche MS06-040 lo antes posible
Todos están traducidos de sitios web extranjeros y es posible que no sean correctos solo como referencia
Se adjunta la dirección del parche
1) Boletín de seguridad de Microsoft MS06-040 La vulnerabilidad en el servicio del servidor puede permitir la ejecución remota de código (921883)
Número de versión del parche de descarga del parche: 921883
2) Inicie la computadora, o los nombres de los archivos adjuntos DBCS no aparecen en los correos electrónicos RTF después de recibir un mensaje de error "Proceso de host genérico"
Dirección:
/?kbid =894391