« January 2008 | Digest首页 | March 2008 »

February 28, 2008

svchost.exe的CPU耗用及病毒处理

出处:http://www.eygle.com/digest

svchost.exe是Windows核心系统的非常重要的进程，所以很多病毒、木马也会找上svchost.exe，再加上微软的一些问题可能导致svchost.exe CPU 100%占用，这一进程就更引发了广泛关注，本文对svchost.exe进程及其常见问题作一点总结。

1.svchost.exe是什么？
Windows 和 Windows 的应用软件都要使用大量的 DLL（Dynamic Link Libraries，动态链接库）文件，这些 DLL文件一般都要向Windows申请各种各样的Service（服务），而svchost. exe 就是其中一些服务的通用管理进程名（Generic Host Process Name）。

简单的说，svchost.exe 是这些服务的总称。每一个Svchost. exe 进程以一个 Group（组）的方式分组管理各种服务。
Windows XP 中可以有多个 Svchost.exe 进程同时运行。 Svchost.exe在Windows XP的系统目录\Windows\System32\ 下，在启动的时候，Svchost.exe根据注册表中的相关信息建立一个 服务列表并根据这个列表加载相关的服务。

一般来说，Svchost.exe 总是根据
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost
下面的键值分组管理DLL 申请的服务，这里的每一键值对应一个独立的Svchost.exe进程，也 就是说这里的键值就是在任务管理器中我们看到的Svchost.exe进程。
当然，由于这里的键值并不是一次性全部加载，而是根据需要才加载，因此这里的键值数要多于在任务管理器中看到的Svchost.exe进程数，而每个Svchost.exe进程所包含的服务名、参数值和DLL则来自
HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services\ Service
这个键值。

2.已知病毒
常见的利用 svchost.exe 文件进行传播的病毒有"蓝色代码"和"红色代码"等。

"蓝色代码"蠕虫病毒感染Windows NT和Windows 2000系统服务器，由于其攻击微软inetinfo.exeIIS服务程序的IIS漏洞(请见IIS Unicode漏洞分析），并植入名为SvcHost.EXE的黑客程序运行，该蠕虫病毒将在服务器内存中不断地生成新的线程，最终导致系统运行缓慢，甚至瘫痪；如果操作系统是Windows 2000会将该系统的 IIS Admin 服务停止运行，导致无法对外提供Web服务，服务器彻底瘫痪。

　　蠕虫运行会生成"C:\d.vbs"脚本程序，该脚本程序运行时将停止所有".ida,.idq，.printer"的系统服务；同时尝试下载"httpext.dll"到"C:\"以及"C:\inetpub\script\shttpext.dll"。

　　"红色代码"相比， 红色代码主要攻击IIS中的索引服务，而"蓝色代码"针对IIS自身的Unicode漏洞，攻击范围更广，传染性更强，黑客程序运行后将全面控制被感染的系统，同时修改注册表中有关IIS的设置，并在开机时启动程序SOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN的注册表项，添加了自动运行黑客程序SvcHost.EXE的功能，重新启动时黑客程序将自动运行，因此造成的破坏性将比红色代码更加可怕。

这些病毒有一些相应的专杀工具可以清除:
http://db.kingsoft.com/download/3/6.shtml

3.svchost.exe占用CPU 100%的问题解决
常见的造成svchost占系统CPU 100%的一个原因是由于微软的升级引起的。
缺省的Windows Update服务会在后台自动下载和应用补丁，而Windows的自动更新正是依赖于svchost服务的一个后台应用，如果下载不稳定，Windows不断重试，就会导致svchost.exe负载极高。
常发生这类问题的机器一般是上网条件（尤其是去国外网站）不稳定的机器。

这个问题已经被微软修正，修正通过于2007 年 6 月和 7 月通过 Microsoft Update 进行分发，具体链接参考:
http://support.microsoft.com/kb/932494/zh-cn

如果你的系统足够新，还会遇到类似问题，那可能不是该原因导致。

-The End-

Posted by eygle at 10:02 AM | Comments (0)

February 3, 2008

本山版：股票与中石油

出处:http://www.eygle.com/digest

小 崔：大叔大妈，好久不见，股票炒得挺好吧？
宋丹丹：好啊，那是相当得好！

小 崔：买的都是啥股票？

赵本山：都是中石油嘛。

宋丹丹：不说话还能把你憋死？

赵本山：我看中石油得先把你憋死！

小 崔：大妈，我听说中石油最近跌得很厉害啊？

宋丹丹：假象，绝对的假象！不会下蹲的股票是跳不高的。股评家说了，买了中石化，生活不用怕；买了中石油，生活不用愁。

赵本山：是啊，那中石油是干蹲不起，啥时候跌停板了也就到底了。

小 崔：大妈，看您这身衣服应该挺贵的吧？是不是炒股赚了不少钱呀？

赵本山：炒股没赚，倒是写书赚了不少。

小 崔：就是那本《套子》吧！

宋丹丹：那是第一部，相当受中石油股民欢迎！很多股民打电话感谢我让他们避免挨套，有人还给我送面锦旗，上面写着"火眼金睛，避套救星"。我现在正酝酿第二部，书名都想好了，就叫《都是平安惹的祸》，股民那是相当的期待。

小 崔：这段儿大妈好好给说说。

宋丹丹：签字售书那天，好家伙，红旗招展，人山人海，锣鼓喧天，鞭炮齐鸣，沈发展都来剪彩了吗。

赵本山：股民全搁那儿喊"打倒沈发展！"，跟新中国解放那会儿似的。老沈吓得搁厕所待三小时楞是没敢出来。最后，还是中石油员工有办法，在厕所底下钻一大洞，给接走了。回去就住院了，转院三次都没治好。最后经一美国专家诊断：霉气中毒。哈哈哈哈！

宋丹丹：笑啥呀？医疗费不都是我出的吗？你说这名人治病咋这么贵呢？我这点稿费全捐给中石油和沈发展了。

小 崔：大叔，你买的是什么股票？

宋丹丹：那他能好意思说吗？中国平安！

小 崔：大叔，您当时咋想的？

赵本山：我寻思中国平安从149元跌到100元就是地板价了，没想到地板下面还有地窖，地窖下面还有地狱，更没想到的是地狱还有十八层！

宋丹丹：自从那以后你大叔再也不敢笑话我了，最怕听到孙悦那首《祝你平安》，提平安俩字儿就头疼。现在苹果也不吃了,安全门也不走了。哈哈哈哈,都快笑死我了。

赵本山：笑啥玩意？你闻到汽油味不也吐吗！石头凳也不坐了，炒菜也不放油了。

小 崔：看来炒股赚钱还真挺难的。大叔大妈，你们在村里好歹也算是名人了，没参加点社会活动什么的？

宋丹丹：参加了。在一股评报告会上你大叔见一人长得挺像中平安，上去握住人家的手就不放了，口口声声说："大哥，你千万别增发了。人家增发要钱，你增发要命啊！"

赵本山：你好？你在那推荐中石油，一个精神病医院的院长说啥让我带你去他们那儿检查检查，说免费都行！

小 崔：看来还真是一对难兄难弟。大叔大妈，过年有啥打算？

宋丹丹：还打算啥呀？搁家解套呗！石油套----钢钢的----老他妈难解了！问君能有几多愁，恰似满仓中石油。

赵本山：我整个锣，没事出去敲一敲：平安无事了！

Posted by eygle at 10:05 AM | Comments (2)