關於svchost.exe - PCZONE 討論區

返回   PCZONE 討論區 > ▲ ADSL_CABLE_FTTH 寬 頻 上 網 討 論 > -- 防 駭 / 防 毒 版


PCZONE 討論區



通知

-- 防 駭 / 防 毒 版 不論你是使用固定 IP 或是 DHCP 一定都有機會被無聊的駭客入侵 , 來這裡跟大家作防駭以及防毒的心得與資訊分享。

會員
關於svchost.exe
剛才諾頓掃到了
來源: C:\WINDOWS\system32\drivers\svchost.exe
說明: 檔案 svchost.exe 位於 C:\WINDOWS\system32\drivers\svchost.exe是一個遠端存取威脅。

來源: C:\WINDOWS\system32\drivers\svchost.exe
說明: 檔案 C:\WINDOWS\system32\drivers\svchost.exe 是一個遠端存取威脅。

這是同時掃到的哦~明明是同一個檔為什麼會出現2個病毒警告呢?
我查看處理程序卻發現有6個 svchost.exe在執行,我剛爬了一下文大家的情況通常是記憶體不是 但 掃毒軟體掃不到這個毒
我的情況是掃毒掃的到但 記憶體我也不確定是不是正常的使用率
附上6個的記憶體使用率分別為~
4,736k
21,600k
3,160k
5,520k
4,316k
3,276k
我知道有些svchost是正常的程式,但 6個會不會太多了呢?
以上~
請問~正常嗎?

回覆
會員

我記得這是天堂木馬之一吧

Norton寫的病毒名稱是?
回覆
會員

引用:
作者: 天氣預報
我記得這是天堂木馬之一吧

Norton寫的病毒名稱是?
我查了一下諾頓的日誌原來這2個的威脅名稱還不同ㄝ
一個是: Remacc.Radmin
另一個:Packed.RemoteAccess
回覆
會員

揭開 svchost.exe 程序之謎

svchos.exe是 NT 核心系統的非常重要的程序,對於2000、XP 來說,不可或缺。很多病毒、木馬也會使用它。所以,深入了解這個程式,是玩電腦的必修課之一。

大家對 Windows作業系統一定不陌生,但你是否注意到系統中“svchost.exe”這個文件呢?細心的朋友會發現 Windows中存在多個 “svchost”程序(通過“ctrl+alt+del”鍵打開工作管理員,這裡的“處理程序”標籤中就可看到了),為什麼會這樣呢?下面就來揭開它神秘的面紗。

發現

在基於 NT 核心的 Windows作業系統家族中,不同版本的 Windows系統,存在不同數量的“svchost”程序,用戶使用“工作管理員”可查看其程序數目。一般來說,win2000有兩個svchost程序,Windows XP中則有四個或四個以上的svchost程序(以後看到系統中有多個這種程序,千萬別立即判定系統有病毒了喲),而win2003 server中則更多。這些svchost程序提供很多系統服務,如:rpcss服務(remote procedure call)、dmserver服務(logical disk manager)、dhcp服務(dhcp client)等。

如果要了解每個svchost程序到底提供了多少系統服務,可以在win2000的命令提示符窗口中輸入“tlist -s”命令來查看,該命令是win2000 support tools提供的。在winxp則使用“tasklist /svc”命令。

svchost中可以包含多個服務

深入

windows系統程序分為獨立程序和共用程序兩種,“svchost.exe”文件存在於“%systemroot%\system32”目錄下,它屬於共用程序。隨著windows系統服務不斷增多,為了節省系統資源,微軟把很多服務做成共用方式,交由 svchost.exe程序來啟動。但svchost程序只作為服務宿主,並不能實現任何服務功能,即它只能提供條件讓其他服務在這裡被啟動,而它自己卻不能給用戶提供任何服務。那這些服務是如何實現的呢?

原來這些系統服務是以動態鏈結庫(dll)形式實現的,它們把可執行程式指向 svchost,由svchost調用相應服務的動態鏈結庫來啟動服務。那svchost又怎麼知道某個系統服務該調用哪個動態鏈結庫呢?這是通過系統服務在註冊表中設置的參數來實現。下面就以rpcss(remote procedure call)服務為例,進行講解。

從啟動參數中可見服務是靠svchost來啟動的。

實例

以windows xp為例,點擊“開始”/“執行”,輸入“services.msc”命令,彈出服務對話方塊,然後打開“remote procedure call”屬性對話方塊,可以看到rpcss服務的可執行文件的路徑為“c:\windows\system32\svchost -k rpcss”,這說明rpcss服務是依靠svchost調用“rpcss”參數來實現的,而參數的內容則是存放在系統註冊表中的。

在執行對話方塊中輸入“regedit.exe”後執行,打開註冊表編輯器,找到[hkey_local_machine\ system\currentcontrolset\services\rpcss]項,找到類型為“reg_expand_sz”的鍵“magepath”,其鍵值為“%systemroot\%system32\svchost -k rpcss”(這就是在服務窗口中看到的服務啟動命令),另外在“parameters”子項中有個名為“servicedll”的鍵,其值為“% systemroot\%system32\rpcss.dll”,其中“rpcss.dll”就是rpcss服務要使用的動態鏈結庫文件。這樣 svchost程序通過讀取“rpcss”服務註冊表資訊,就能啟動該服務了。

解惑
(關於svchost懷疑感染到病毒,可循下列方式查詢)-提供給受感染網友參考...
因為svchost程序啟動各種服務,所以病毒、木馬也想盡辦法來利用它,企圖利用它的特性來迷惑用戶,達到感染、入侵、破壞的目的(如衝擊波變種病毒“w32.welchia.worm”)。但windows系統存在多個svchost程序是很正常的,在受感染的機器中到底哪個是病毒程序呢?這裡僅舉一例來說明。

假設windows xp系統被“w32.welchia.worm”感染了。正常的svchost文件存在於“c:\windows\system32”目錄下,如果發現該文件出現在其他目錄下就要小心了。“w32.welchia.worm”病毒存在於“c:\windows\system32\wins”目錄中,因此使用程序管理器查看svchost程序的執行文件路徑就很容易發現系統是否感染了病毒。windows系統自帶的工作管理員不能夠查看程序的路徑,可以使用第三方程序管理軟體,如“windows優化大師”程序管理器,通過這些工具就可很容易地查看到所有的svchost程序的執行文件路徑,一旦發現其執行路徑為不平常的位置就應該馬上進行檢測和處理。


由於篇幅的關係,不能對svchost全部功能進行詳細介紹,這是一個windows中的一個特殊程序,有興趣的可參考有關技術資料進一步去了解它。

提示:svchost.exe文件的調用路徑可以通過「系統訊息→軟體環境→正在運行任務」來查看

討論

並不是啟動一個相關服務就多一個svchost程序的,而是根據命令參數分組,一般是一組服務就有一個svchost程序,如TT舉例的那個c:\windows\system32\svchost -k rpcss,這個屬於rpcss組。


說明解疑對Svchost的困惑

Svchost.exe文件對那些從動態連接庫中運行的服務來說是一個普通的主機進程名。Svhost.exe文件定位在系統的%systemroot%\system32文件夾下。在啟動的時候,Svchost.exe檢查註冊表中的位置來構建需要加載的服務列表。這就會使多個Svchost.exe在同一時間運行。每個Svchost.exe的回話期間都包含一組服務,以至於單獨的服務必須依靠Svchost.exe怎樣和在那裡啟動。這樣就更加容易控制和查找錯誤。
.
SVCHOST\.exe 組是用下面的註冊表值來識別。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
每個在這個鍵下的值代表一個獨立的Svchost組,並且當你正在看活動的進程時,它顯示作為一個單獨的例子。每個鍵值都是REG_MULTI_SZ類型的值而且包括運行在Svchost組內的服務。每個Svchost組都包含一個或多個從註冊表值中選取的服務名,這個服務的參數值包含了一個ServiceDLL值。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service
.
.
更多的信息
.
為了能看到正在運行在Svchost列表中的服務。
開始-運行-敲入cmd
然後在敲入 tlist -s (tlist 應該是win2k工具箱裡的東東)
Tlist 顯示一個活動進程的列表。開關 -s 顯示在每個進程中的活動服務列表。如果想知道更多的關於進程的信息,可以敲 tlist pid。
Tlist 顯示Svchost.exe運行的兩個例子。
0 System Process
8 System
132 smss.exe
160 csrss.exe Title:
180 winlogon.exe Title: NetDDE Agent
208services.exe
Svcs: AppMgmt,Browser,Dhcp,dmserver,Dnscache,Eventlog,lanmanserver,LanmanWorkst
ation,LmHosts,Messenger,PlugPlay,ProtectedStorage,seclogon,TrkWks,W32Time,Wmi
220 lsass.exe Svcs: Netlogon,PolicyAgent,SamSs
404 SVCHOST\.exe Svcs: RpcSs
452 spoolsv.exe Svcs: Spooler
544 cisvc.exe Svcs: cisvc
556 SVCHOST\.exe Svcs: EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv
580 regsvc.exe Svcs: RemoteRegistry
596 mstask.exe Svcs: Schedule
660 snmp.exe Svcs: SNMP
728 winmgmt.exe Svcs: WinMgmt
852 cidaemon.exe Title: OleMainThreadWndName
812 explorer.exe Title: Program Manager
1032 OSA.EXE Title: Reminder
1300 cmd.exe Title: D:\WINNT5\System32\cmd.exe - tlist -s
1080 MAPISP32.EXE Title: WMS Idle
1264 rundll32.exe Title:
1000 mmc.exe Title: Device Manager
1144 tlist.exe
在這個例子中註冊表設置了兩個組。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost:
netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent RasautoRa
sman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
rpcss :Reg_Multi_SZ: RpcSs
smss.exe
csrss.exe
這個是用戶模式Win32子系統的一部分。csrss代表客戶/服務器運行子系統而且是一個基本的子系統必須一直運行。csrss 負責控制windows,創建或者刪除線程和一些16位的虛擬MS-DOS環境。

以上資訊希望對各位有所幫助..^_^
回覆
會員

引用:
作者: alger0505
我查了一下諾頓的日誌原來這2個的威脅名稱還不同ㄝ
一個是: Remacc.Radmin
另一個:Packed.RemoteAccess
我第一次看到這種開頭的
不知道怎麼幫你
(好像不是病毒名耶)

不然你把所有的svchost.exe壓成一個zip檔傳上來給大家一起看吧
裡面大概有幾個是被木馬感染了
回覆
會員

重點為svchost.exe的路徑應在windows\system32下,非此路徑且開機後自動執行者不是病毒就是木馬,先把該process停掉,再把檔案刪除
回覆
會員

哇...剛剛砍完毒,不小心全部砍完svchost.exe,結果開機找不到了,應該如何是好呢?
回覆
會員

參考使用XP光碟的修復主控台功能,回復損壞的檔案。

請將以下的檔案,代換成你需要回復的檔案名稱。

=======
發生的原因
若 Kernel32.dll 檔遺失或損毀,就可能出現這個問題。

解決方案

要解決這個問題,請使用 Windows「修復主控台」從原始 Windows XP CD 中擷取一份新的 Kernel32.dll 檔。若要這麼做,請遵循以下步驟:

插入 Windows XP CD,然後重新啟動電腦。畫面上出現提示時,請選取從 CD 開機的必要選項。

安裝程式的文字部份出現時,請依畫面上的提示執行;要選取修復選項時請按 R 鍵。

如果您的電腦設定成雙重或多重開機,請選擇要從修復主控台存取的安裝。

若畫面上出現鍵入系統管理員密碼的提示,請依要求輸入。

系統提示時,請鍵入 cd system32 ,然後按 ENTER。

鍵入 ren kernel32.dll kernel32.old ,然後按 ENTER。

鍵入 map ,然後按 ENTER。
注意指派給內含 Windows XP CD 的CD-ROM 光碟機之磁碟機代號。它的顯示格式與下面類似:
D: \Device\CdRom0
鍵入 expand drive \i386\kernel32.dl_ (其中 drive 是內含 Windows XP CD 的CD-ROM 光碟機之磁碟機代號),然後按 ENTER。例如:
Expand d:\i386\kernel32.dl_ <ENTER>

注意 Kernel32.dl_ 中,字母 "L" 後面有一個底線字元

此時出現下列訊息:
Kernel32.dll
1 file(s) expanded.
鍵入 exit 。電腦即會重新啟動。
取出 Windows XP CD,照平常的方式啟動電腦。

回覆
會員

引用:
作者: mus000
參考使用XP光碟的修復主控台功能,回復損壞的檔案。

請將以下的檔案,代換成你需要回復的檔案名稱。

=======
發生的原因
若 Kernel32.dll 檔遺失或損毀,就可能出現這個問題。

解決方案

要解決這個問題,請使用 Windows「修復主控台」從原始 Windows XP CD 中擷取一份新的 Kernel32.dll 檔。若要這麼做,請遵循以下步驟:

插入 Windows XP CD,然後重新啟動電腦。畫面上出現提示時,請選取從 CD 開機的必要選項。

安裝程式的文字部份出現時,請依畫面上的提示執行;要選取修復選項時請按 R 鍵。

如果您的電腦設定成雙重或多重開機,請選擇要從修復主控台存取的安裝。

若畫面上出現鍵入系統管理員密碼的提示,請依要求輸入。

系統提示時,請鍵入 cd system32 ,然後按 ENTER。

鍵入 ren kernel32.dll kernel32.old ,然後按 ENTER。

鍵入 map ,然後按 ENTER。
注意指派給內含 Windows XP CD 的CD-ROM 光碟機之磁碟機代號。它的顯示格式與下面類似:
D: \Device\CdRom0
鍵入 expand drive \i386\kernel32.dl_ (其中 drive 是內含 Windows XP CD 的CD-ROM 光碟機之磁碟機代號),然後按 ENTER。例如:
Expand d:\i386\kernel32.dl_ <ENTER>

注意 Kernel32.dl_ 中,字母 "L" 後面有一個底線字元

此時出現下列訊息:
Kernel32.dll
1 file(s) expanded.
鍵入 exit 。電腦即會重新啟動。
取出 Windows XP CD,照平常的方式啟動電腦。
哇~~
所以說,如果誤刪了svchost.exe是不是依照上列步驟就可以復原呢?
如果是的話,那就要快來試看看,能不還原或是重灌是最好的囉!

順便問一下,如果掃到的病毒是在svchost.exe位於c:/windows下,
是不是也得先判定是否來源確實,可疑的執行再砍?
因為我還是不太了解要如何判定怎麼樣的svchost.exe才確實要砍...
萬一下次掃毐又再次出現,還是不能直接砍,還真是難以決則
回覆
會員

引用:
作者: cherguy
哇~~
所以說,如果誤刪了svchost.exe是不是依照上列步驟就可以復原呢?
如果是的話,那就要快來試看看,能不還原或是重灌是最好的囉!

順便問一下,如果掃到的病毒是在svchost.exe位於c:/windows下,
是不是也得先判定是否來源確實,可疑的執行再砍?
因為我還是不太了解要如何判定怎麼樣的svchost.exe才確實要砍...
萬一下次掃毐又再次出現,還是不能直接砍,還真是難以決則
svchost.exe只應出現在windows/system32下,其餘位置出現者必有問題,殺無赦!另外,可試者找出在windows下的exe檔,以日期排列,由檔案建立日期和檔名可約略看出是否被刻意植入的不明檔案

回覆
主題工具


類似的主題
主題 主題作者 討論版 回覆 最後發表
關於svchost.exe記憶體使用量問題 finalcut -- HELP ME 電 腦 軟 硬 體 急 救 版 1 2007-03-10 07:46 AM
【木馬】Backdoor.Win32.Agent.sr (csiss.exe 與 url.exe)移除方法 albertwa -- 防 駭 / 防 毒 版 0 2006-12-27 11:18 PM
rundll32.exe user.exe,restartwindows 可以重開機嗎? axpm0n -- Windows 討 論 版 1 2006-11-22 10:43 PM
【求助】請問處理程序大寫的 EXPLORER.exe 和 EXPLORE.exe 有什麼不同 csz16196 -- HELP ME 電 腦 軟 硬 體 急 救 版 7 2005-09-18 01:30 PM
關於SVCHOST.EXE david_jone -- Windows 討 論 版 4 2005-03-28 06:29 PM






 XML   RSS 2.0   RSS 
本站使用 vBulletin 合法版權程式
站務信箱 : [email protected]

本論壇所有文章僅代表留言者個人意見,並不代表本站之立場,討論區以「即時留言」方式運作,故無法完全監察所有即時留言,若您發現文章可能有異議,請 email :[email protected] 處理。