« 本山版:股票与中石油 | 文摘首页 | 2007年度 中文博客经典语录精选 »
svchost.exe的CPU耗用及病毒处理
svchost.exe是Windows核心系统的非常重要的进程,所以很多病毒、木马也会找上svchost.exe,再加上微软的一些问题可能导致svchost.exe CPU 100%占用,这一进程就更引发了广泛关注,本文对svchost.exe进程及其常见问题作一点总结。
1.svchost.exe是什么?
Windows 和 Windows 的应用软件都要使用大量的 DLL(Dynamic Link Libraries,动态链接库)文件,这些 DLL文件一般都要向Windows申请各种各样的Service(服务),而svchost. exe 就是其中一些服务的通用管理进程名(Generic Host Process Name)。
简单的说,svchost.exe 是这些服务的总称。每一个Svchost. exe 进程以一个 Group(组)的方式分组管理各种服务。
Windows XP 中可以有多个 Svchost.exe 进程同时运行。 Svchost.exe在Windows XP的系统目录\Windows\System32\ 下,在启动的时候,Svchost.exe根据注册表中的相关信息建立一个 服务列表并根据这个列表加载相关的服务。
一般来说,Svchost.exe 总是根据
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost
下面的键值分组管理DLL 申请的服务,这里的每一键值对应一个独立的Svchost.exe进程,也 就是说这里的键值就是在任务管理器中我们看到的Svchost.exe进程。
当然,由于这里的键值并不是一次性全部加载,而是根据需要才加载,因此这里的键值数要多于在任务管理器中看到的Svchost.exe进程数,而每个Svchost.exe进程所包含的服务名、参数值和DLL则来自
HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services\ Service
这个键值。
2.已知病毒
常见的利用 svchost.exe 文件进行传播的病毒有"蓝色代码"和"红色代码"等。
"蓝色代码"蠕虫病毒感染Windows NT和Windows 2000系统服务器,由于其攻击微软inetinfo.exeIIS服务程序的IIS漏洞(请见IIS Unicode漏洞分析),并植入名为SvcHost.EXE的黑客程序运行,该蠕虫病毒将在服务器内存中不断地生成新的线程,最终导致系统运行缓慢,甚至瘫痪;如果操作系统是Windows 2000会将该系统的 IIS Admin 服务停止运行,导致无法对外提供Web服务,服务器彻底瘫痪。
蠕虫运行会生成"C:\d.vbs"脚本程序,该脚本程序运行时将停止所有".ida,.idq,.printer"的系统服务;同时尝试下载"httpext.dll"到"C:\"以及"C:\inetpub\script\shttpext.dll"。
"红色代码"相比, 红色代码主要攻击IIS中的索引服务,而"蓝色代码"针对IIS自身的Unicode漏洞,攻击范围更广,传染性更强,黑客程序运行后将全面控制被感染的系统,同时修改注册表中有关IIS的设置,并在开机时启动程序SOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN的注册表项,添加了自动运行黑客程序SvcHost.EXE的功能,重新启动时黑客程序将自动运行,因此造成的破坏性将比红色代码更加可怕。
这些病毒有一些相应的专杀工具可以清除:
http://db.kingsoft.com/download/3/6.shtml
3.svchost.exe占用CPU 100%的问题解决
常见的造成svchost占系统CPU 100%的一个原因是由于微软的升级引起的。
缺省的Windows Update服务会在后台自动下载和应用补丁,而Windows的自动更新正是依赖于svchost服务的一个后台应用,如果下载不稳定,Windows不断重试,就会导致svchost.exe负载极高。
常发生这类问题的机器一般是上网条件(尤其是去国外网站)不稳定的机器。
这个问题已经被微软修正,修正通过于2007 年 6 月和 7 月通过 Microsoft Update 进行分发,具体链接参考:
http://support.microsoft.com/kb/932494/zh-cn
如果你的系统足够新,还会遇到类似问题,那可能不是该原因导致。
-The End-
历史上的今天...
By eygle on 2008-02-28 10:02 | Comments (0) | 软件工具 | 1811 |