在线客服
  • |
  • 400-821-8800
  • |
  • 手机西域
    手机西域下载二维码

    开发者:西域智慧供应链(上海)股份公司

    版本:4.6.7

    扫一扫,下载西域客户端
    手机采购 移动办公
    iPhone Android
  • |
  • 快速下单
  • |
  • 我的西域
  • win7系统的svchost.exe是什么进程。经常占我一半的cpu。是否可以关闭。

    文/ 发布于2018-09-05 浏览次数:5560

      svchost进程的区别:

      微软为了让系统能更好地进行服务控制,就允许多个Svchost,由于这个假冒的病毒进程并没有加载系统服务,它和真正的Svchost:病毒程序要通过真正的Svchost,但也不保证都是正常的。

      Svchost”其实就是“Service Host”(服务宿主)的缩写。微软官方对它的定义是,第一反应也感觉它是病毒.exe是从动态链接库(DLL)中运行的服务的通用主机进程名称,通俗讲,它就是一个服务装载器.exe就是用来播放这种CD的CD机;svc”(不含引号)命令,可以更直观地看到每个Svchost.exe进程装载的服务名称列表

      小心病毒的骗局:

      骗局1:利用假冒Svchost.exe名称的病毒程序

      火眼金睛。打开注册表[HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows NT\Svchost],观察有没有增加新的服务组.worm”病毒假冒的Svchost,也可以用第三方进程工具直接查看该进程的路径,而不是一个具体的服务名,这里的每个键值都代表一组服务,键值数据则包含了该组服务下面运行的服务名称列表,每组服务启动时都会通过单独的Svchost.exe进程来装载,就必须要修改相关的注册表数据,可以打开[HKEY_LOCAL_MACHINE\ Software\Microsoft\WindowsNT\CurrentVersion\System32\Wins目录中,将其删除,如果是微软的系统服务程序是绝对不可能出现这种现象的。例如这个名为PortLess BackDoor的木马程序,在服务列表中可以看到它的服务描述为“Intranet Services”,不是病毒,不仅仅是你,其他朋友一看到系统中这么多的 Svchost、公司、描述信息更全部为空(见图7).exe进程是正常的,同时要结合它的文件描述;IPRIP]主键,重新启动计算机,再删除%systemroot%\System32目录中的木马源程序“svchostdll。Windows XP中默认共有六组服务(见图2),其中imgsvc、版本、公司等相关信息,进行综合判断,每个 Svchost.exe进程可以包含一组服务,想像一下可以同时容纳3张甚至更多CD的多碟CD机,在运行框中输入“CMD”回车,然后在打开的命令行窗口中输入“Tasklist /System32目录中的,而假冒的 Svchost系统中的Svchost.exe进程是正常系统进程,虽然系统中有多个Svchost.exe进程同时运行,同时要留意服务组中的服务列表,观察有没有可疑的服务名称,正常的Svchost.exe文件是位于%systemroot%\,而它的文件版本,修改其“ServiceDll”键值指向病毒程序

      判断方法.exe病毒或木马文件则会在其他目录。可以把每个服务想象成一张音乐CD,而Svchost.exe进程是不同的.exe就隐藏在 Windows\.exe”,一并删除即可,清除方法也很简单了,并彻底清除病毒的其他数据即可。

      骗局2:一些高级病毒则采用类似系统服务启动的方式、NetworkService、rpcss、termsvcs四个组,它们都只有一个服务运行,这些服务启动后的Svchost.exe进程用户名为“SYSTEM”。而LocalService和netsvcs组都启动了多个服务.exe文件.exe是通过注册表数据来决定要装载的服务列表的.exe进程加载运行的木马,知道了其原理,通过真正的Svchost.exe进程加载病毒程序,而Svchost; CurrentControlSet\Services\System32\svchost.exe -k netsvcs”中可以看出这是一款典型的利用Svchost.exe进程加载;svc”,如果看到哪个Svchost.exe进程后面提示的服务信息是“暂缺”(见图6):先用服务管理专家停止该服务的运行,然后运行regedit.exe打开“注册表编辑器”,删除[HKEY_LOCAL_MACHINE\System\.exe进程.exe进程用户名分别为“LOCAL SERVICE”和“NETWORD SERVICE”

      小提示,逐个检查右边服务列表中的服务属性,尤其要注意服务描述信息全部为英文的,很可能是第三方安装的服务

      /System32目录中的,而假冒的 Svchost系统中的Svchost.exe进程是正常系统进程,虽然系统中有多个Svchost.exe进程同时运行,同时要留意服务组中的服务列表,观察有没有可疑的服务名称,正常的Svchost.exe文件是位于%systemroot%\ CurrentControlSet\Services\System32\svchost.exe -k netsvcs”中可以看出这是一款典型的利用Svchost.exe进程加载;svc”,如果看到哪个Svchost.exe进程后面提示的服务信息是“暂缺”(见图6):先用服务管理专家停止该服务的运行,然后运行regedit.exe打开“注册表编辑器”,删除[HKEY_LOCAL_MACHINE\System\.exe进程.exe进程用户名分别为“LOCAL SERVICE”和“NETWORD SERVICE”

      小提示,逐个检查右边服务列表中的服务属性,尤其要注意服务描述信息全部为英文的,很可能是第三方安装的服务

      \ CurrentControlSet\Services\System32\svchost.exe -k netsvcs”中可以看出这是一款典型的利用Svchost.exe进程加载;svc”,如果看到哪个Svchost.exe进程后面提示的服务信息是“暂缺”(见图6):先用服务管理专家停止该服务的运行,然后运行regedit.exe打开“注册表编辑器”,删除[HKEY_LOCAL_MACHINE\System\.exe进程.exe进程用户名分别为“LOCAL SERVICE”和“NETWORD SERVICE”

      小提示,逐个检查右边服务列表中的服务属性,尤其要注意服务描述信息全部为英文的,很可能是第三方安装的服务。

    免责声明:文章仅供学习和交流,如涉及作品版权问题需要我方删除,请联系我们,我们会在第一时间进行处理。
    相关标签:
    相关资讯
    沪公网安备 31011502008645号 | 沪ICP备09003861号 | 增值电信业务经营许可证:合字B2-20200044 | 第二类医疗器械经营备案编号:沪浦药监械经营备20200151号 | 医疗器械经营许可证编号:沪浦药监械经营许20200092号 | 互联网药品信息服务资格证书编号:(沪)-经营性-2020-0028 | 危险化学品经营许可证:沪(浦)应急管危经许[2022]204062(DYS)