有个Local服务像是病毒,但是却无法关掉,大虾来帮帮忙

Eastunfail 2002-08-25 01:47:44
svchost.exe LOCAL SERVICE
关闭了又自动打开了,每次开机的时候看这他用的内存从1MB涨到500多MB,有的时候上网也乱吃内存,可是关不了,因为在管理工具中不知道这个服务的名字。

我首先怀疑是类似于Funlove的病毒,但是迹象表明不是Funlove,请问如何解决?
...全文
88 6 打赏 收藏 举报
写回复
6 条回复
切换为时间正序
当前发帖距今超过3年,不再开放新的回复
发表回复
hurrah_yule 2002-08-25
gz&&study
  • 打赏
  • 举报
回复
Eastunfail 2002-08-25
系统还原早就关了,一般都是在开机或者上网的时候他所使用的内存就从1MB暴涨到500MB了每次都是在500左右的时候我才关的(只有那个时候才觉得不对头了),所以如果不关,可能还要涨。

可是杀毒软件找不到,正版的瑞星,每个星期升级,我还是在升级一遍试试
  • 打赏
  • 举报
回复
starsailor 2002-08-25
一般的服务可能是通过运行一个exe文件来运行的,就像执行程序一样,但是有些服务(主要是操作系统的服务,比如RPCS/TAPIS)被封装在DLL文件中,不能直接运行,就得用svchost.exe来调用这些DLL文件,从而运行服务。所以可能会看到很多个svchost.exe的进程,这是正常的。
Resource Kit中的工具tlist.exe可以查看每个svchost.exe启动了什么服务,如果你怀疑是病毒,建议使用该工具确认。
  • 打赏
  • 举报
回复
Svchost.exe
Svchost.exe文件对那些从动态连接库中运行的服务来 说是一个普通的
主机进程名。Svhost.exe文件定位 在系统的%systemroot%\system32文
件夹下。在启动的时候,Svchost.exe检查注册表中的位置来构建需要
加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个
Svchost.exe的回话期间都包含一组服务, 以至于单独的服务必须依靠
Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。

Svchost.exe 组是用下面的注册表值来识别。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion
\Svchost 每个在这个键下的值代表一个独立的Svchost组,并且当你正
在看活动的进程时,它显示作为一个单独的 例子。每个键值都是
REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。每个
Svchost组都包含一个或多个从注册表值中选取的服务名,这个服务的参数值包含了一个ServiceDLL值。


也可能是蓝色代码病毒

1.打开资源管理器,到C盘根目录“c:\”,看一看是否存在c:\svchost.exe,c:\httpext.dll,由于这两个文件带有隐藏属性,因此需要到资源浏览器的“工具”菜单中“文件夹选项”的“查看”页,将“显示所有文件和文件夹”选项选上,才能确定;

  2.到开始菜单的“运行”项,使用regedit.exe注册表编辑器,到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”看一看是否存在“Domain Manager”:“c:\svchost.exe;

  3.打开任务管理器,到“查看”菜单中的“选择列”,将其中“线程计数”选项选上,确定会到“进程”页,看一看svchost.exe所用的线程数是否超过100;CodeBlue的线程数一般会是104,105左右;

  4.打开资源管理器,到“C:\inetpub\scripts\”目录,看一看是否有httpext.dll。

  通过以上的特征,您可以很方便识别CodeBlue的存在,由于CodeBlue蠕虫非常狡猾,为了降低大家的警觉性,程序文件的名字采用了系统中已经有的文件svchost.exe(C:\winnt\system32\),httpext.dll(C:\winnt\system32\inetsrv\),如果用户不小心误删除,可以到相同版本的机器上拷贝相应文件,或者重新安装Windows NT/2000,如果是Win2000以上版本到c:\winnt\system32\dllcache下拷贝就可以。

手动清除CodeBlue的方法:

  1、请先关掉IIS服务,避免在此过程中再度受到网上的漏洞攻击;

  2、启动进程管理器,打开线程浏览,然后查看名称为svchost.exe的进程,通常系统自己会有两个,而CodeBlue的执行进程也是这个名字。系统的与CodeBlue的进程最显式的区别在于CodeBlue的进程具有相当多的线程,通常CodeBlue的svchost.exe进程含有100个以上的线程;

  3、一个一个关掉这些CodeBlue的svchost.exe进程;

  4、删除C:\目录下的svchost.exe文件和httpext.dll文件,注意CodeBlue的这两个文件是具有隐含、系统属性的,需要打开查看所有文件选项;

  5、删除C:\inetpub\scripts\目录下的大小为46587或者47099的httpext.dll文件。

  6、打开注册表编辑器,找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run,删除其中以Domain Manager命名的键值;

  7、完成。

  • 打赏
  • 举报
回复
初学者 2002-08-25
把系统还原功能关掉看看吧。
  • 打赏
  • 举报
回复
neverwin 2002-08-25
svchost.exe 是正常服务,而且会自动启动,但是加个LOCAL SERVICE
就不知道是什么了。gz
先杀毒吧,使用norton.
使用内存监视工具,看看你的内存什么时候暴增。
事件日志中有什么异常?

  • 打赏
  • 举报
回复
相关推荐
发帖
Windows Server
加入

6710

社区成员

Windows 2016/2012/2008/2003/2000/NT
社区管理员
  • Windows Server社区
  • qishine
申请成为版主
帖子事件
创建了帖子
2002-08-25 01:47
社区公告
暂无公告