6,849
社区成员
发帖
与我相关
我的任务
分享svchost.exe 是个什么东西!
请教各位大虾:
svchost.exe 是个什么东西!一出错机子基本就瘫痪了!而且只要上网就出现!
怎么办?急!!!!!!!!
svchost.exe 是个什么东西!一出错机子基本就瘫痪了!而且只要上网就出现!
怎么办?急!!!!!!!!
...全文
请发表友善的回复…
发表回复
sandguo 2003-08-24
- 打赏
- 举报
Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的%systemroot%\system32文件夹下。在启动的时候,Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务,以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。
.
Svchost.exe 组是用下面的注册表值来识别。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
每个在这个键下的值代表一个独立的Svchost组,并且当你正在看活动的进程时,它显示作为一个单独的例子。每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。每个Svchost组都包含一个或多个从注册表值中选取的服务名,这个服务的参数值包含了一个ServiceDLL值。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service
.
.
更多的信息
.
为了能看到正在运行在Svchost列表中的服务。
开始-运行-敲入cmd
然后在敲入 tlist -s (tlist 应该是win2k工具箱里的东东)
Tlist 显示一个活动进程的列表。开关 -s 显示在每个进程中的活动服务列表。如果想知道更多的关于进程的信息,可以敲 tlist pid。
Tlist 显示Svchost.exe运行的两个例子。
0 System Process
8 System
132 smss.exe
160 csrss.exe Title:
180 winlogon.exe Title: NetDDE Agent
208services.exe
Svcs: AppMgmt,Browser,Dhcp,dmserver,Dnscache,Eventlog,lanmanserver,LanmanWorkst
ation,LmHosts,Messenger,PlugPlay,ProtectedStorage,seclogon,TrkWks,W32Time,Wmi
220 lsass.exe Svcs: Netlogon,PolicyAgent,SamSs
404 svchost.exe Svcs: RpcSs
452 spoolsv.exe Svcs: Spooler
544 cisvc.exe Svcs: cisvc
556 svchost.exe Svcs: EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv
580 regsvc.exe Svcs: RemoteRegistry
596 mstask.exe Svcs: Schedule
660 snmp.exe Svcs: SNMP
728 winmgmt.exe Svcs: WinMgmt
852 cidaemon.exe Title: OleMainThreadWndName
812 explorer.exe Title: Program Manager
1032 OSA.EXE Title: Reminder
1300 cmd.exe Title: D:\WINNT5\System32\cmd.exe - tlist -s
1080 MAPISP32.EXE Title: WMS Idle
1264 rundll32.exe Title:
1000 mmc.exe Title: Device Manager
1144 tlist.exe
在这个例子中注册表设置了两个组。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost:
netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent RasautoRa
sman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
rpcss :Reg_Multi_SZ: RpcSs
smss.exe
csrss.exe
这个是用户模式Win32子系统的一部分。csrss代表客户/服务器运行子系统而且是一个基本的子系统必须一直运行。csrss 负责控制windows,创建或者删除线程和一些16位的虚拟MS-DOS环境。
.
Svchost.exe 组是用下面的注册表值来识别。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
每个在这个键下的值代表一个独立的Svchost组,并且当你正在看活动的进程时,它显示作为一个单独的例子。每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。每个Svchost组都包含一个或多个从注册表值中选取的服务名,这个服务的参数值包含了一个ServiceDLL值。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service
.
.
更多的信息
.
为了能看到正在运行在Svchost列表中的服务。
开始-运行-敲入cmd
然后在敲入 tlist -s (tlist 应该是win2k工具箱里的东东)
Tlist 显示一个活动进程的列表。开关 -s 显示在每个进程中的活动服务列表。如果想知道更多的关于进程的信息,可以敲 tlist pid。
Tlist 显示Svchost.exe运行的两个例子。
0 System Process
8 System
132 smss.exe
160 csrss.exe Title:
180 winlogon.exe Title: NetDDE Agent
208services.exe
Svcs: AppMgmt,Browser,Dhcp,dmserver,Dnscache,Eventlog,lanmanserver,LanmanWorkst
ation,LmHosts,Messenger,PlugPlay,ProtectedStorage,seclogon,TrkWks,W32Time,Wmi
220 lsass.exe Svcs: Netlogon,PolicyAgent,SamSs
404 svchost.exe Svcs: RpcSs
452 spoolsv.exe Svcs: Spooler
544 cisvc.exe Svcs: cisvc
556 svchost.exe Svcs: EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv
580 regsvc.exe Svcs: RemoteRegistry
596 mstask.exe Svcs: Schedule
660 snmp.exe Svcs: SNMP
728 winmgmt.exe Svcs: WinMgmt
852 cidaemon.exe Title: OleMainThreadWndName
812 explorer.exe Title: Program Manager
1032 OSA.EXE Title: Reminder
1300 cmd.exe Title: D:\WINNT5\System32\cmd.exe - tlist -s
1080 MAPISP32.EXE Title: WMS Idle
1264 rundll32.exe Title:
1000 mmc.exe Title: Device Manager
1144 tlist.exe
在这个例子中注册表设置了两个组。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost:
netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent RasautoRa
sman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
rpcss :Reg_Multi_SZ: RpcSs
smss.exe
csrss.exe
这个是用户模式Win32子系统的一部分。csrss代表客户/服务器运行子系统而且是一个基本的子系统必须一直运行。csrss 负责控制windows,创建或者删除线程和一些16位的虚拟MS-DOS环境。
dfdscx 2003-08-24
- 打赏
- 举报
http://support.microsoft.com/default.aspx?scid=kb;zh-cn;250320
Svchost.exe 是从动态链接库 (DLL) 运行的服务的一般性宿主进程名称。此 Svchost.exe 文件位于 %SystemRoot%\System32 文件夹中。在启动时,Svchost.exe 检查注册表的服务部分以构造一个它需要加载的服务的列表。在同一时间可以运行多个 Svchost.exe 实例。每一个 Svchost.exe 会话都可以包含一组服务,所以可以根据启动 Svchost.exe 的方式和位置的不同而分别运行不同的服务。这可以实现更好的控制和调试能力。
Svchost.exe 组在以下注册表项中标识:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
此项下的每一个值都代表一个独立的 Svchost 组,而且在您查看活动进程时将显示为一个独立的实例。每个值都是一个 REG_MULTI_SZ 值并包含在 Svchost 组下运行的服务。每个 Svchost 组都可以包含一个或更多从下面的注册表项提取的 service_name,此注册表项的 Parameters 项中包含一个 ServiceDLL 值:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\服务
Svchost.exe 是从动态链接库 (DLL) 运行的服务的一般性宿主进程名称。此 Svchost.exe 文件位于 %SystemRoot%\System32 文件夹中。在启动时,Svchost.exe 检查注册表的服务部分以构造一个它需要加载的服务的列表。在同一时间可以运行多个 Svchost.exe 实例。每一个 Svchost.exe 会话都可以包含一组服务,所以可以根据启动 Svchost.exe 的方式和位置的不同而分别运行不同的服务。这可以实现更好的控制和调试能力。
Svchost.exe 组在以下注册表项中标识:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
此项下的每一个值都代表一个独立的 Svchost 组,而且在您查看活动进程时将显示为一个独立的实例。每个值都是一个 REG_MULTI_SZ 值并包含在 Svchost 组下运行的服务。每个 Svchost 组都可以包含一个或更多从下面的注册表项提取的 service_name,此注册表项的 Parameters 项中包含一个 ServiceDLL 值:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\服务
wolflamb 2003-08-24
- 打赏
- 举报
各位:
还有没有别的方法?楼上说的这些都已经试过了,还是不管用!能不能把它直接删了?
但删的时候又删不掉!怎么办!
还有没有别的方法?楼上说的这些都已经试过了,还是不管用!能不能把它直接删了?
但删的时候又删不掉!怎么办!
yangalan 2003-08-24
- 打赏
- 举报
新型病毒的名称为 W32.Blaster.Worm 之所以能够如此迅速的在网络上流传和感染,是由于此病毒利用了NT构架内Remote Procedure Call (RPC)服务的漏洞来进行攻击的。
目前为止,可能受到攻击的系统包括 Windows 2000/XP 以及 Windows Server 2003。
病毒利用的端口包括
TCP Port 135, "DCOM RPC"
UDP Port 69, "TFTP"
目前得到的各种系统的中毒症状如下。
Windows 2000:复制/粘贴无效、svchost.exe服务不断报错、一些硬件加速的功能无法调用、无法拖拽、页面无法浏览等。
Windows XP:系统自动重新启动。
如果有上述症状建立立即安装如下补丁:
Win2000 中文版:
http://download.microsoft.com/download/2/8/1/281c0df6-772b-42b0-9125-6858b759e977/Windows2000-KB823980-x86-CHS.exe
Win2000 英文版:
http://download.microsoft.com/download/0/1/f/01fdd40f-efc5-433d-8ad2-b4b9d42049d5/Windows2000-KB823980-x86-ENU.exe
Windows XP 中文版:
http://download.microsoft.com/download/a/a/5/aa56d061-3a38-44af-8d48-85e42de9d2c0/WindowsXP-KB823980-x86-CHS.exe
Windows XP 英文版:
http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7a52a983f01/WindowsXP-KB823980-x86-ENU.exe
未尽陈列的系统用户我们建议立即登陆Windows Update来进行升级更新。我们建议所有Windows 2000/XP 以及 Windows Server 2003系统的用户立即安装此安全补丁。
若XP用户时常重新启动无法正常安装补丁可以通过命令 shutdown -a 来暂时缓解重起症状。开始=》运行=》shutdown -a
同时打开资源管理器检索一下是否有 msblast.exe 在运行,若有先在进程中删除再安装补丁。
其他信息:
赛门铁克公司公告
微软补丁页面
检测你的系统
请注意,以上措施只是挽救已将崩溃的系统,修正病毒利用的系统漏洞。但是病毒并没有清除。请各位用户在安装好补丁之后,立即安装防毒软件或升级已安装病毒软件的最新病毒库,并全面检测你的系统以确保能够清楚残留在系统中的病毒。
手动清除方法:
1. 开始=》运行=》taskmgr,启动任务管理器。在其中查找 msblast.exe 进程,找到后在进程上单击右键,选择“结束进程”,点击“是”。
2. 检查系统的 %systemroot%system32 目录下(Win2K一般是C:WINNTSystem32)是否存在 msblast.exe 文件,如果有,删除它。
注意-必须先结束msblast.exe在系统中的进程才可以顺利的删除它。
3. 开始=》运行=》regedit,启动注册表编辑器。在注册表中找到 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun ,
删除其下的“windows auto update"="msblast.exe”键值。
4. 在DOS窗口打入 netstat -an 来查看是否还有病毒在快速的向外部发送packets。
这样可以清除蠕虫病毒在系统中的驻留,不过仍然建议大家使用正版的杀毒软件对系统进行全面的检测,以求万无一失。
目前为止,可能受到攻击的系统包括 Windows 2000/XP 以及 Windows Server 2003。
病毒利用的端口包括
TCP Port 135, "DCOM RPC"
UDP Port 69, "TFTP"
目前得到的各种系统的中毒症状如下。
Windows 2000:复制/粘贴无效、svchost.exe服务不断报错、一些硬件加速的功能无法调用、无法拖拽、页面无法浏览等。
Windows XP:系统自动重新启动。
如果有上述症状建立立即安装如下补丁:
Win2000 中文版:
http://download.microsoft.com/download/2/8/1/281c0df6-772b-42b0-9125-6858b759e977/Windows2000-KB823980-x86-CHS.exe
Win2000 英文版:
http://download.microsoft.com/download/0/1/f/01fdd40f-efc5-433d-8ad2-b4b9d42049d5/Windows2000-KB823980-x86-ENU.exe
Windows XP 中文版:
http://download.microsoft.com/download/a/a/5/aa56d061-3a38-44af-8d48-85e42de9d2c0/WindowsXP-KB823980-x86-CHS.exe
Windows XP 英文版:
http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7a52a983f01/WindowsXP-KB823980-x86-ENU.exe
未尽陈列的系统用户我们建议立即登陆Windows Update来进行升级更新。我们建议所有Windows 2000/XP 以及 Windows Server 2003系统的用户立即安装此安全补丁。
若XP用户时常重新启动无法正常安装补丁可以通过命令 shutdown -a 来暂时缓解重起症状。开始=》运行=》shutdown -a
同时打开资源管理器检索一下是否有 msblast.exe 在运行,若有先在进程中删除再安装补丁。
其他信息:
赛门铁克公司公告
微软补丁页面
检测你的系统
请注意,以上措施只是挽救已将崩溃的系统,修正病毒利用的系统漏洞。但是病毒并没有清除。请各位用户在安装好补丁之后,立即安装防毒软件或升级已安装病毒软件的最新病毒库,并全面检测你的系统以确保能够清楚残留在系统中的病毒。
手动清除方法:
1. 开始=》运行=》taskmgr,启动任务管理器。在其中查找 msblast.exe 进程,找到后在进程上单击右键,选择“结束进程”,点击“是”。
2. 检查系统的 %systemroot%system32 目录下(Win2K一般是C:WINNTSystem32)是否存在 msblast.exe 文件,如果有,删除它。
注意-必须先结束msblast.exe在系统中的进程才可以顺利的删除它。
3. 开始=》运行=》regedit,启动注册表编辑器。在注册表中找到 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun ,
删除其下的“windows auto update"="msblast.exe”键值。
4. 在DOS窗口打入 netstat -an 来查看是否还有病毒在快速的向外部发送packets。
这样可以清除蠕虫病毒在系统中的驻留,不过仍然建议大家使用正版的杀毒软件对系统进行全面的检测,以求万无一失。
yangalan 2003-08-24
- 打赏
- 举报
楼上说的对,svchost.exe 本身是个系统进程.但是你的症状是被病毒利用了的svchost.exe. 你肯定中了冲击波病毒,解决办法如下,快点杀吧!
awper 2003-08-24
- 打赏
- 举报
是删不掉的!Loujun.7u7.cn下载专杀工具试试吧
