社区
Windows Server
帖子详情
有个Local服务像是病毒,但是却无法关掉,大虾来帮帮忙
Eastunfail
2002-08-25 01:47:44
svchost.exe LOCAL SERVICE
关闭了又自动打开了,每次开机的时候看这他用的内存从1MB涨到500多MB,有的时候上网也乱吃内存,可是关不了,因为在管理工具中不知道这个服务的名字。
我首先怀疑是类似于Funlove的病毒,但是迹象表明不是Funlove,请问如何解决?
...全文
129
6
打赏
收藏
有个Local服务像是病毒,但是却无法关掉,大虾来帮帮忙
svchost.exe LOCAL SERVICE 关闭了又自动打开了,每次开机的时候看这他用的内存从1MB涨到500多MB,有的时候上网也乱吃内存,可是关不了,因为在管理工具中不知道这个服务的名字。 我首先怀疑是类似于Funlove的病毒,但是迹象表明不是Funlove,请问如何解决?
复制链接
扫一扫
分享
转发到动态
举报
AI
作业
写回复
配置赞助广告
用AI写文章
6 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
hurrah_yule
2002-08-25
打赏
举报
回复
gz&&study
Eastunfail
2002-08-25
打赏
举报
回复
系统还原早就关了,一般都是在开机或者上网的时候他所使用的内存就从1MB暴涨到500MB了每次都是在500左右的时候我才关的(只有那个时候才觉得不对头了),所以如果不关,可能还要涨。
可是杀毒软件找不到,正版的瑞星,每个星期升级,我还是在升级一遍试试
starsailor
2002-08-25
打赏
举报
回复
一般的服务可能是通过运行一个exe文件来运行的,就像执行程序一样,但是有些服务(主要是操作系统的服务,比如RPCS/TAPIS)被封装在DLL文件中,不能直接运行,就得用svchost.exe来调用这些DLL文件,从而运行服务。所以可能会看到很多个svchost.exe的进程,这是正常的。
Resource Kit中的工具tlist.exe可以查看每个svchost.exe启动了什么服务,如果你怀疑是病毒,建议使用该工具确认。
fallenangelnetboy
2002-08-25
打赏
举报
回复
Svchost.exe
Svchost.exe文件对那些从动态连接库中运行的服务来 说是一个普通的
主机进程名。Svhost.exe文件定位 在系统的%systemroot%\system32文
件夹下。在启动的时候,Svchost.exe检查注册表中的位置来构建需要
加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个
Svchost.exe的回话期间都包含一组服务, 以至于单独的服务必须依靠
Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。
Svchost.exe 组是用下面的注册表值来识别。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion
\Svchost 每个在这个键下的值代表一个独立的Svchost组,并且当你正
在看活动的进程时,它显示作为一个单独的 例子。每个键值都是
REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。每个
Svchost组都包含一个或多个从注册表值中选取的服务名,这个服务的参数值包含了一个ServiceDLL值。
也可能是蓝色代码病毒
1.打开资源管理器,到C盘根目录“c:\”,看一看是否存在c:\svchost.exe,c:\httpext.dll,由于这两个文件带有隐藏属性,因此需要到资源浏览器的“工具”菜单中“文件夹选项”的“查看”页,将“显示所有文件和文件夹”选项选上,才能确定;
2.到开始菜单的“运行”项,使用regedit.exe注册表编辑器,到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”看一看是否存在“Domain Manager”:“c:\svchost.exe;
3.打开任务管理器,到“查看”菜单中的“选择列”,将其中“线程计数”选项选上,确定会到“进程”页,看一看svchost.exe所用的线程数是否超过100;CodeBlue的线程数一般会是104,105左右;
4.打开资源管理器,到“C:\inetpub\scripts\”目录,看一看是否有httpext.dll。
通过以上的特征,您可以很方便识别CodeBlue的存在,由于CodeBlue蠕虫非常狡猾,为了降低大家的警觉性,程序文件的名字采用了系统中已经有的文件svchost.exe(C:\winnt\system32\),httpext.dll(C:\winnt\system32\inetsrv\),如果用户不小心误删除,可以到相同版本的机器上拷贝相应文件,或者重新安装Windows NT/2000,如果是Win2000以上版本到c:\winnt\system32\dllcache下拷贝就可以。
手动清除CodeBlue的方法:
1、请先关掉IIS服务,避免在此过程中再度受到网上的漏洞攻击;
2、启动进程管理器,打开线程浏览,然后查看名称为svchost.exe的进程,通常系统自己会有两个,而CodeBlue的执行进程也是这个名字。系统的与CodeBlue的进程最显式的区别在于CodeBlue的进程具有相当多的线程,通常CodeBlue的svchost.exe进程含有100个以上的线程;
3、一个一个关掉这些CodeBlue的svchost.exe进程;
4、删除C:\目录下的svchost.exe文件和httpext.dll文件,注意CodeBlue的这两个文件是具有隐含、系统属性的,需要打开查看所有文件选项;
5、删除C:\inetpub\scripts\目录下的大小为46587或者47099的httpext.dll文件。
6、打开注册表编辑器,找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run,删除其中以Domain Manager命名的键值;
7、完成。
初学者
2002-08-25
打赏
举报
回复
把系统还原功能关掉看看吧。
neverwin
2002-08-25
打赏
举报
回复
svchost.exe 是正常服务,而且会自动启动,但是加个LOCAL SERVICE
就不知道是什么了。gz
先杀毒吧,使用norton.
使用内存监视工具,看看你的内存什么时候暴增。
事件日志中有什么异常?
解决:IIS 假死,运行一段时间
服务
器上所有网站打不开,必须要重启
服务
器才行,重启IIS都没用。怎么解决,解决方案
tip:我
服务
器问题是 每个5-6天后,
服务
器上的所有网站都不能访问,重启IIS无用,必须重启
服务
器! 后,请教周华伟周经理后,找到解决方案如下: 第一原因: 这是程序池造成的,网站运行时,造成
服务
器CPU使用过大...
MQ异常 关闭原因 = 2009[个人收藏 他人求助及回答]
1#-问 请教各位
大虾
: 客户端连接到队列管理器所在的
服务
器进行消息接收时,如果长时间该队列中一直没有消息可以取,但是客户接收程序还继续运行,过一段时间MQ就会报如下异常: ... MQJE016:连接期间,MQ 队列...
服务
器里没有wwwroot文件夹,完美解决IIS
服务
器
无法
加载应用程序 '/LM/W3SVC/1/ROOT'。错误是 '没......
现象:浏览ASP页面提示 500内部错误事件查看器中:[1]:
服务
器
无法
加载应用程序 '/LM/W3SVC/1/ROOT'。错误是 '没有注册类别'。有关此消息的详细信息,请访问 Microsoft 联机支持站点: ...
VC++中可能遇到的问题
Q 我们知道在电源选项 属性 里面可以设置 关闭监视器 1分钟之后,...,从不 关闭硬盘 1分钟之后,...,从不 待机时间 1分钟之后,...,从不请问这些设置我怎么用程序来实现 比如我现在要把关闭监视器设成 ...
linux粉丝(3)
在很多 Windows 用户眼里,"硬盘用久了,会出现碎片,速度会减慢,需要一个程序来整理,整理硬盘的时候不要做其它工作",这好
像是
天经地义的事情。我也曾经津津有味的看着 Norton Defrag 一点一点的把我的硬盘排序,...
Windows Server
6,868
社区成员
177,996
社区内容
发帖
与我相关
我的任务
Windows Server
Windows 2016/2012/2008/2003/2000/NT
复制链接
扫一扫
分享
社区描述
Windows 2016/2012/2008/2003/2000/NT
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章