Hay seis procesos svchost.ex en mi computadora. ¿Venenoso? !
¿Su sistema está funcionando normalmente? ¿Hay algo sospechoso? ...
¿Quieres descargar Ice Blade desde Dortmund Software Station y ver dónde están los seis procesos svchost.exe?
Lo entenderás después de echar un vistazo a la siguiente información. ...
Los virus que se ejecutan de esta manera utilizan un programa antivirus con un nombre falso de Svchost.exe. No utiliza directamente el proceso Svchost.exe real, sino que inicia otro con el mismo nombre que Svchost. .exe.proceso de virus. Debido a que este proceso de virus falso no carga los servicios del sistema, es diferente del proceso real Svchost.exe. Simplemente ejecute "Tasklist /svc" en la ventana de la línea de comando. Si ve información de servicio detrás de cualquier proceso Svchost.exe que diga "temporal" en lugar de un nombre de servicio específico, entonces es un proceso de virus. Anote el valor PID (identificador de proceso) correspondiente al proceso del virus y búsquelo en la lista de procesos del Administrador de tareas. Una vez completado el proceso, al buscar el archivo Svchost.exe en la unidad c, también puede utilizar una herramienta de proceso de terceros para ver directamente la ruta del proceso. El archivo Svchost.exe normal se encuentra en el directorio raíz del sistema\System32, mientras que el virus falso Svchost.exe o el archivo de virus troyano se encuentra en otros directorios. Por ejemplo, el pseudo-Svchost.exe del virus "w32.welchina.worm" está oculto en el directorio Windows\System32\Wins, así que elimínelo y elimine por completo otros datos del virus. 2. Algunos virus avanzados cargan programas de virus a través del proceso real Svchost.exe de manera similar al inicio del servicio del sistema, y Svchost.exe determina la lista de servicios que se cargarán a través de los datos del registro, por lo que los virus generalmente se cargan en el registro de la siguiente manera formas: Agregar Para un nuevo grupo de servicios, agregue el nombre del servicio de virus al grupo, agregue directamente el nombre del servicio de virus al grupo de servicios existente, modifique los atributos del servicio existente en el grupo de servicios existente y modifique su valor de clave "ServiceDll". Método de juicio: si desea cargar el programa de virus a través del proceso real Svchost.exe, debe modificar los datos de registro relevantes. Puede abrir [HKEY_Local_Machine\Software\Microsoft\Windows NT\
CurrentVersion\Svchost. ] y observe si se agrega un nuevo grupo de servicios. Al mismo tiempo, preste atención a la lista de servicios en el grupo de servicios y observe si hay nombres de servicios sospechosos. En términos generales, no se agregarán virus a un grupo con un solo nombre de servicio. Se seleccionarán dos grupos con más servicios, LocalService y netsvcs, para cargarlos para el análisis de interferencias, y algunos programas de virus se señalarán modificando los atributos del servicio. Es difícil saberlo por el registro. En este momento, puede utilizar el experto en administración de servicios mencionado anteriormente para abrir las ramas de LocalService y netsvcs respectivamente, y ver los atributos del servicio en la lista de servicios a la derecha uno por uno. Presta especial atención a que la información de descripción del servicio está toda en inglés, y es probable que sea un servicio instalado por un tercero. Al mismo tiempo, debe hacer un juicio integral basado en la descripción del archivo, la versión, la empresa y otra información relevante. Por ejemplo, para este troyano llamado PortLess BackDoor, puede ver que la descripción del servicio en su lista de servicios es "Servicio de intranet" y la versión del archivo, la empresa y la información de descripción están vacíos. Si se trata de un programa de servicio del sistema de Microsoft, este fenómeno es absolutamente imposible que ocurra. En la información de inicio "C:\Windows\System32\svchost.Exe-knetsvcs", podemos ver que este es un proceso típico de Svchost.exe que carga y ejecuta un caballo de Troya.
Conociendo su principio, el método de limpieza también es muy simple: primero use el experto en administración de servicios para detener la ejecución del servicio, luego ejecute regedit.exe para abrir el editor de registro y elimine [HKEY_Local_Machine\System].
Services\IPRIP], reinicie la computadora y luego elimine el programa fuente troyano "svchostdll.dll" en el directorio systemroot\System32. Ordenando por tiempo, encuentre el programa de instalación del troyano "PortlessInst.exe" al mismo tiempo y elimínelo juntos. Svchost.exe es un proceso muy importante en el sistema central nt y es indispensable para 2000 y xp. Muchos virus y troyanos también lo llaman así. Por lo tanto, un conocimiento profundo de este programa es uno de los cursos necesarios para jugar en la computadora. Todo el mundo está familiarizado con el sistema operativo Windows, pero ¿ha notado el archivo "svchost.exe" en el sistema? Los amigos cuidadosos encontrarán que hay varios procesos "svchost" en Windows (use la tecla "ctrl alt del" para abrir el administrador de tareas, que se puede ver en la pestaña "Procesos" aquí). ¿Por qué? Desmitificémoslo. Se ha descubierto que existen diferentes números de procesos "svchost" en diferentes versiones de la familia de sistemas operativos Windows según el kernel NT. Los usuarios pueden usar el Administrador de tareas para ver el número de sus propios procesos. En términos generales, win2000 tiene dos procesos svchost, winxp tiene más de cuatro procesos svchost (no juzgue inmediatamente que el sistema tiene un virus cuando vea varios procesos de este tipo en el sistema) y el servidor win2003 tiene más. Estos procesos svchost proporcionan muchos servicios del sistema, como: servicio rpcss (llamada a procedimiento remoto), servicio dmserver (administrador de disco lógico), servicio dhcp (cliente dhcp), etc. Si desea saber cuántos servicios del sistema proporciona cada proceso svchost, puede ingresar el comando "tlist -s" en la ventana del símbolo del sistema de win2000, que proporciona la herramienta de soporte de win2000. En winxp, utilice el comando "lista de tareas /svc". Puede haber múltiples servicios en svchost, que se pueden dividir en procesos independientes y * procesos compartidos. El archivo "svchost.exe" existe en el directorio "systemroot system32" y pertenece al * * * proceso compartido. A medida que la cantidad de servicios del sistema Windows continúa aumentando, para ahorrar recursos del sistema, Microsoft ha permitido que muchos servicios se inicien mediante el proceso svchost.exe. Sin embargo, como host de servicios, el proceso svchost no puede implementar ninguna función de servicio, es decir, solo puede proporcionar condiciones para que otros servicios comiencen aquí, pero no puede proporcionar ningún servicio a los usuarios. Entonces, ¿cómo se implementan estos servicios? Resulta que estos servicios del sistema se implementan en forma de bibliotecas de enlaces dinámicos (dll). Apuntan el programa ejecutable a svchost, y svchost llama al dll del servicio correspondiente para iniciar el servicio. Entonces, ¿cómo sabe svchost a qué biblioteca de vínculos dinámicos debe llamar un servicio del sistema? Esto se logra mediante parámetros establecidos en el registro por el servicio del sistema. Tomemos el servicio rpcss (llamada a procedimiento remoto) como ejemplo para ilustrar. Como puede verse en los parámetros de inicio, el servicio lo inicia svchost. Tomando Windows XP como ejemplo, haga clic en Inicio/Ejecutar, ingrese el comando "services.msc" para abrir el cuadro de diálogo del servicio y luego abra el cuadro de diálogo de propiedades "Llamada a procedimiento remoto". Puede ver que la ruta del archivo ejecutable del servicio rpcss es "C:\Windows\System32\svchost-krpcss". Esto muestra que el servicio rpcss se implementa llamando al parámetro "rpcss" a través de svchost, y el contenido del parámetro se almacena en el registro del sistema.
Ingrese "regedit.exe" en el cuadro de diálogo de ejecución, presione Entrar, abra el editor de registro, busque el elemento [HKEY_local_Machine system currentcontrolsetservicesrpcss] y busque la clave de registro "magepath" de tipo "reg_expand_sz". Su valor clave es "systemroot system32 SVC host-krpcss" (este es el comando de inicio del servicio que ve en la ventana de servicios), y en la subclave "parámetros" hay una clave llamada "servicedll" con el valor "systemrootsystem32rpcss". ", donde "rpcss.dll" es el archivo de biblioteca de vínculos dinámicos que utilizará el servicio rpcss. De esta manera, el proceso svchost puede iniciar el servicio leyendo la información del registro del servicio "rpcss". Solución Dado que el proceso svchost inicia varios servicios, los virus y troyanos hacen todo lo posible para aprovecharlo, tratando de utilizar sus características para confundir a los usuarios y lograr el propósito de infección, invasión y destrucción (como la variante del virus de onda de choque "w32. gusano welchia"). Sin embargo, es normal que existan múltiples procesos svchost en los sistemas Windows. ¿Cuál es el proceso del virus en la máquina infectada? He aquí sólo un ejemplo para ilustrar. Supongamos que el sistema Windows XP está infectado por "w32.welchia.worm". El archivo svchost normal existe en el directorio "c:\windows\system32", así que tenga cuidado si encuentra el archivo en otros directorios. El virus "w32.welchia.worm" existe en el directorio "c:\windows\system32wins". Utilice el administrador de procesos para ver la ruta del archivo ejecutable del proceso svchost. Es fácil encontrar si el sistema está infectado con el virus. . El administrador de tareas que viene con el sistema Windows no puede ver la ruta del proceso. Puede utilizar software de gestión de procesos de terceros, como el administrador de procesos "Windows Optimizer". A través de estas herramientas, puede ver fácilmente las rutas de los archivos de ejecución de todos los procesos svchost. Una vez que se descubre que las rutas de ejecución se encuentran en ubicaciones inusuales, deben detectarse y manejarse de inmediato. Debido a limitaciones de espacio, es imposible presentar todas las funciones de svchost en detalle. Este es un proceso especial en Windows. Aquellos que estén interesados pueden consultar la información técnica relevante para obtener más detalles. Todo el mundo debería saber que Svchost.exe es un proceso indispensable en el sistema y que muchos servicios lo utilizarán más o menos, pero creo que todo el mundo sabe que, debido a sus propias particularidades, los "hackers" inteligentes definitivamente no lo dejarán pasar. El incidente del caballo de Troya Svchost.exe hace algún tiempo debería estar fresco en la memoria de todos. Todavía hay muchas máquinas que ocultan este caballo de Troya. Debido a que pretende ser el mismo que el proceso del sistema Svchost.exe, muchas personas no pueden distinguir cuál es el proceso y cuál es el caballo de Troya... Bien, aprendamos más sobre el proceso Svchost.exe. 1. Servicios múltiples * * * Disfrute de las ventajas y desventajas del proceso Svchost.exe. Los servicios del sistema Windows se dividen en procesos independientes y * * * procesos de disfrute. En Windows NT, sólo el Administrador de servidores SCM (Services.exe) tiene varios * * * servicios de acceso. Con el aumento de los servicios integrados en el sistema, en Windows 2000, ms propuso muchos * * * modos de acceso a servicios, que fueron iniciados por svchost.exe. Windows 2000 generalmente tiene dos procesos svchost, uno es el proceso de servicio RPCSS (llamada a procedimiento remoto, llamada a procedimiento remoto) y el otro es svchost.exe que comparten muchos servicios.
En Windows XP, generalmente hay más de cuatro procesos de servicio svchost.exe y hay más en el servidor de Windows 2003. Se puede ver que es una tendencia que ms inicie más servicios integrados de svchost de una manera * * * para compartir procesos. Esto reduce el consumo de recursos del sistema hasta cierto punto, pero también trae algunos factores de inestabilidad, porque cualquier servicio que disfrute del proceso hará que todos los servicios en todo el proceso se cierren debido a errores. Además, existen algunos riesgos para la seguridad. Primero, debemos presentar el mecanismo de implementación de svchost.exe. 2. El principio de Svchost: el propio Svchost solo actúa como un host de servicio y no implementa ninguna función de servicio. Los servicios que svchost debe iniciar se implementan en forma de bibliotecas de enlaces dinámicos. Al instalar estos servicios, apunte el programa ejecutable del servicio a svchost. Al iniciar estos servicios, SVCHOST llama a la biblioteca de enlaces dinámicos del servicio correspondiente para iniciar el servicio.