我如何分析svchost CPU使用率过高的问题[关闭]

我的机器受到木马的攻击，该木马在netsvcs svchost进程中表现为一项服务。可以使用“进程资源管理器”将该进程标识为“ svchost -k netsvcs”。

我的机器已被感染的症状是：

1.使用ethereal，我可以看到从我的机器到其他网站（例如ESPN和在线音乐流媒体）的不间断HTTP流量。

2.通常在10到15分钟内，Watson博士将抛出一个对话框，指示“通用主机进程”已失败。

3.进程资源管理器指示进程“ svchost -k netsvcs”占用了100％的CPU。

4. C：\ Documents and Settings \ NetworkService \ Local Settings \ Temporary Internet Files \ Content.IE5中的文件已被“ svchost -k netsvcs”进程锁定。

这是我明确确定罪魁祸首的方法。

Windows可以在以下注册位置获得Windows启动时在netsvcs svchost容器中运行的服务的列表：HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ SvcHost \ netsvcs。MULTI_REG_SZ值中的每个字符串都是位于以下位置的服务的名称：HKLM \ SYSTEM \ CurrentControlSet \ Services。

对于netsvcs中列出的每个服务，我在SvcHost中创建了一个不同的条目，然后更新了该服务的ImagePath以指示该服务现在应在哪个svchost上运行。

例如，要在自己的svchost下运行AppMgmt服务，我们将执行以下操作：

1.在SvcHost下，使用值'AppMgmt'创建一个名为'appmgmt'的新多字符串值。

2.在SvcHost下，创建一个名为“ appmgmt”的新密钥，其值与“ netsvcs”下的值相同（通常为REG_DWORD：AuthenticationCapabilities = 12320和REG_DWORD：CoInitializeSecurityParam = 1）。

3.在CurrentControl \ Services \ AppMgmt下，将ImagePath修改为％SystemRoot％\ system32 \ svchost.exe -k appmgmt。

我对在netsvcs下运行的所有30多岁服务进行了上述过程。这使我能够准确查明是哪种服务导致了上述症状。通过使用Process Explorer确定锁定并加载了哪些文件以及使用了哪些注册表项，就可以轻松了解服务。拥有所有这些数据，这是从我的mmachine删除服务的简单步骤。

我希望这篇文章对受感染svchost进程影响的其他人有所帮助。