eygle.com   eygle.com
eygle.com  
 
Digest Net: February 2008 Archives

February 2008 Archives

svchost.exe的CPU耗用及病毒处理

svchost.exe是Windows核心系统的非常重要的进程,所以很多病毒、木马也会找上svchost.exe,再加上微软的一些问题可能导致svchost.exe CPU 100%占用,这一进程就更引发了广泛关注,本文对svchost.exe进程及其常见问题作一点总结。

1.svchost.exe是什么?
Windows 和 Windows 的应用软件都要使用大量的 DLL(Dynamic Link Libraries,动态链接库)文件,这些 DLL文件一般都要向Windows申请各种各样的Service(服务),而svchost. exe 就是其中一些服务的通用管理进程名(Generic Host Process Name)。

简单的说,svchost.exe 是这些服务的总称。每一个Svchost. exe 进程以一个 Group(组)的方式分组管理各种服务。
Windows XP 中可以有多个 Svchost.exe 进程同时运行。 Svchost.exe在Windows XP的系统目录\Windows\System32\ 下,在启动的时候,Svchost.exe根据注册表中的相关信息建立一个 服务列表并根据这个列表加载相关的服务。

一般来说,Svchost.exe 总是根据
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost
下面的键值分组管理DLL 申请的服务,这里的每一键值对应一个独立的Svchost.exe进程,也 就是说这里的键值就是在任务管理器中我们看到的Svchost.exe进程。
当然,由于这里的键值并不是一次性全部加载,而是根据需要才加载,因此这里的键值数要多于在任务管理器中看到的Svchost.exe进程数,而每个Svchost.exe进程所包含的服务名、参数值和DLL则来自
HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services\ Service
这个键值。

2.已知病毒
常见的利用 svchost.exe 文件进行传播的病毒有"蓝色代码"和"红色代码"等。

"蓝色代码"蠕虫病毒感染Windows NT和Windows 2000系统服务器,由于其攻击微软inetinfo.exeIIS服务程序的IIS漏洞(请见IIS Unicode漏洞分析),并植入名为SvcHost.EXE的黑客程序运行,该蠕虫病毒将在服务器内存中不断地生成新的线程,最终导致系统运行缓慢,甚至瘫痪;如果操作系统是Windows 2000会将该系统的 IIS Admin 服务停止运行,导致无法对外提供Web服务,服务器彻底瘫痪。

  蠕虫运行会生成"C:\d.vbs"脚本程序,该脚本程序运行时将停止所有".ida,.idq,.printer"的系统服务;同时尝试下载"httpext.dll"到"C:\"以及"C:\inetpub\script\shttpext.dll"。

  "红色代码"相比, 红色代码主要攻击IIS中的索引服务,而"蓝色代码"针对IIS自身的Unicode漏洞,攻击范围更广,传染性更强,黑客程序运行后将全面控制被感染的系统,同时修改注册表中有关IIS的设置,并在开机时启动程序SOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN的注册表项,添加了自动运行黑客程序SvcHost.EXE的功能,重新启动时黑客程序将自动运行,因此造成的破坏性将比红色代码更加可怕。

这些病毒有一些相应的专杀工具可以清除:
http://db.kingsoft.com/download/3/6.shtml

3.svchost.exe占用CPU 100%的问题解决
常见的造成svchost占系统CPU 100%的一个原因是由于微软的升级引起的。
缺省的Windows Update服务会在后台自动下载和应用补丁,而Windows的自动更新正是依赖于svchost服务的一个后台应用,如果下载不稳定,Windows不断重试,就会导致svchost.exe负载极高。
常发生这类问题的机器一般是上网条件(尤其是去国外网站)不稳定的机器。

这个问题已经被微软修正,修正通过于2007 年 6 月和 7 月通过 Microsoft Update 进行分发,具体链接参考:
http://support.microsoft.com/kb/932494/zh-cn

如果你的系统足够新,还会遇到类似问题,那可能不是该原因导致。

-The End-

本山版:股票与中石油

| 3 Comments

小 崔:大叔大妈,好久不见,股票炒得挺好吧?
宋丹丹:好啊,那是相当得好!

小 崔:买的都是啥股票?

赵本山:都是中石油嘛。

宋丹丹:不说话还能把你憋死?

赵本山:我看中石油得先把你憋死!

小 崔:大妈,我听说中石油最近跌得很厉害啊?

宋丹丹:假象,绝对的假象!不会下蹲的股票是跳不高的。股评家说了,买了中石化,生活不用怕;买了中石油,生活不用愁。

赵本山:是啊,那中石油是干蹲不起,啥时候跌停板了也就到底了。

小 崔:大妈,看您这身衣服应该挺贵的吧?是不是炒股赚了不少钱呀?

赵本山:炒股没赚,倒是写书赚了不少。

小 崔:就是那本《套子》吧!

宋丹丹:那是第一部,相当受中石油股民欢迎!很多股民打电话感谢我让他们避免挨套,有人还给我送面锦旗,上面写着"火眼金睛,避套救星"。我现在正酝酿第二部,书名都想好了,就叫《都是平安惹的祸》,股民那是相当的期待。

小 崔:这段儿大妈好好给说说。

宋丹丹:签字售书那天,好家伙,红旗招展,人山人海,锣鼓喧天,鞭炮齐鸣,沈发展都来剪彩了吗。

赵本山:股民全搁那儿喊"打倒沈发展!",跟新中国解放那会儿似的。老沈吓得搁厕所待三小时楞是没敢出来。最后,还是中石油员工有办法,在厕所底下钻一大洞,给接走了。回去就住院了,转院三次都没治好。最后经一美国专家诊断:霉气中毒。哈哈哈哈!

宋丹丹:笑啥呀?医疗费不都是我出的吗?你说这名人治病咋这么贵呢?我这点稿费全捐给中石油和沈发展了。

小 崔:大叔,你买的是什么股票?

宋丹丹:那他能好意思说吗?中国平安!

小 崔:大叔,您当时咋想的?

赵本山:我寻思中国平安从149元跌到100元就是地板价了,没想到地板下面还有地窖,地窖下面还有地狱,更没想到的是地狱还有十八层!

宋丹丹:自从那以后你大叔再也不敢笑话我了,最怕听到孙悦那首《祝你平安》,提平安俩字儿就头疼。现在苹果也不吃了,安全门也不走了。哈哈哈哈,都快笑死我了。

赵本山:笑啥玩意?你闻到汽油味不也吐吗!石头凳也不坐了,炒菜也不放油了。

小 崔:看来炒股赚钱还真挺难的。大叔大妈,你们在村里好歹也算是名人了,没参加点社会活动什么的?

宋丹丹:参加了。在一股评报告会上你大叔见一人长得挺像中平安,上去握住人家的手就不放了,口口声声说:"大哥,你千万别增发了。人家增发要钱,你增发要命啊!"

赵本山:你好?你在那推荐中石油,一个精神病医院的院长说啥让我带你去他们那儿检查检查,说免费都行!

小 崔:看来还真是一对难兄难弟。大叔大妈,过年有啥打算?

宋丹丹:还打算啥呀?搁家解套呗!石油套----钢钢的----老他妈难解了!问君能有几多愁,恰似满仓中石油。

赵本山:我整个锣,没事出去敲一敲:平安无事了!

Pages

Powered by Movable Type 6.3.2

About this Archive

This page is an archive of entries from February 2008 listed from newest to oldest.

January 2008 is the previous archive.

March 2008 is the next archive.

回到 首页 查看最近文章或者查看所有归档文章.