我如何分析svchost CPU使用率过高的问题[关闭]


8

我的机器受到木马的攻击,该木马在netsvcs svchost进程中表现为一项服务。可以使用“进程资源管理器”将该进程标识为“ svchost -k netsvcs”。

我的机器已被感染的症状是:

    1.使用ethereal,我可以看到从我的机器到其他网站(例如ESPN和在线音乐流媒体)的不间断HTTP流量。
    2.通常在10到15分钟内,Watson博士将抛出一个对话框,指示“通用主机进程”已失败。
    3.进程资源管理器指示进程“ svchost -k netsvcs”占用了100%的CPU。
    4. C:\ Documents and Settings \ NetworkService \ Local Settings \ Temporary Internet Files \ Content.IE5中的文件已被“ svchost -k netsvcs”进程锁定。

这是我明确确定罪魁祸首的方法。

Windows可以在以下注册位置获得Windows启动时在netsvcs svchost容器中运行的服务的列表:HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ SvcHost \ netsvcs。MULTI_REG_SZ值中的每个字符串都是位于以下位置的服务的名称:HKLM \ SYSTEM \ CurrentControlSet \ Services

对于netsvcs中列出的每个服务,我在SvcHost中创建了一个不同的条目,然后更新了该服务的ImagePath以指示该服务现在应在哪个svchost上运行。

例如,要在自己的svchost下运行AppMgmt服务,我们将执行以下操作:

    1.在SvcHost下,使用值'AppMgmt'创建一个名为'appmgmt'的新多字符串值。
    2.在SvcHost下,创建一个名为“ appmgmt”的新密钥,其值与“ netsvcs”下的值相同(通常为REG_DWORD:AuthenticationCapabilities = 12320和REG_DWORD:CoInitializeSecurityParam = 1)。
    3.在CurrentControl \ Services \ AppMgmt下,将ImagePath修改为%SystemRoot%\ system32 \ svchost.exe -k appmgmt。

我对在netsvcs下运行的所有30多岁服务进行了上述过程。这使我能够准确查明是哪种服务导致了上述症状。通过使用Process Explorer确定锁定并加载了哪些文件以及使用了哪些注册表项,就可以轻松了解服务。拥有所有这些数据,这是从我的mmachine删除服务的简单步骤。

我希望这篇文章对受感染svchost进程影响的其他人有所帮助。


您是否知道恶意软件是什么?
Ciaran

我不知道恶意软件的名称。我需要删除的dll和注册表实体似乎是随机生成的(即system32中的fgtyu.dll)。
user64842 2011年
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.