Acerca de que svchost.exe representa el 100% de la CPU
svchost.exe hace que el uso de la CPU ocupe el 100%
En el archivo win.ini, en [Windows], se pueden cargar "run=" y "load=" Programas "caballo de Troya", debe prestarles especial atención. En circunstancias normales, no hay nada después de sus signos iguales. Si descubre que hay una ruta y un nombre de archivo que no es un archivo de inicio con el que está familiarizado, es posible que su computadora esté infectada con un "caballo de Troya". Por supuesto, hay que mirar con atención, porque muchos "troyanos", como el "troyano troyano AOL", se disfrazan como el archivo command.exe. Si no tiene cuidado, es posible que no descubra que no es el sistema real. archivo de inicio.
En el archivo system.ini, hay "shell=nombre de archivo" en [BOOT]. El nombre de archivo correcto debe ser "explorer.exe". Si no es "explorer.exe" sino "shell= nombre del programa explorer.exe", entonces el programa que le sigue es un programa "caballo de Troya", lo que significa que ha sido infectado "caballo de Troya".
La situación en el registro es la más complicada. Utilice el comando regedit para abrir el Editor del Registro y haga clic en: directorio "HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" para ver. ¿Hay algún archivo de inicio automático con el que no esté familiarizado en el valor clave, con la extensión EXE? Recuerde aquí: algunos programas "caballo de Troya" generan archivos que son muy similares a los archivos propios del sistema y desea superarlos. fingiendo, como "Acid Battery v1.0 Trojan", que cambia el valor de la clave Explorer en el registro "HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" a Explorer="C:\Windows\ expiorer.exe". El programa "caballo de Troya" es diferente al real. La única diferencia entre Explorers es "i" y "l". Por supuesto, hay muchos lugares en el registro donde se pueden ocultar programas "caballo de Troya", como: "HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run", "HKEY-USERS\**** \Software\Microsoft \Windows\CurrentVersion\Run". La mejor manera es encontrar el "caballo de Troya" en "HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run". Este virus también se llama "Código El virus "Red II (Code Red 2)", que es algo contrario al anterior virus "Code Red" que era popular en los sistemas ingleses occidentales, se conoce internacionalmente como virus VirtualRoot (directorio virtual). Este gusano explota una vulnerabilidad de desbordamiento conocida de Microsoft y pasa a través del puerto 80 para propagarse a otros servidores de páginas web. Los piratas informáticos pueden ejecutar scripts/root.exe a través de solicitudes Http Get para obtener el control total de la máquina infectada.
Cuando el servidor se infecta con éxito. instalado, si la máquina infectada es un sistema chino, el programa dormirá durante 2 días y otras máquinas dormirán durante 1 día. Cuando se acabe el tiempo de suspensión, el programa de gusano también hará que la máquina se reinicie. el mes de la máquina es octubre o si el año es 2002. Si es así, el servidor infectado también se reiniciará. Cuando se inicia el sistema Windows NT, el sistema NT buscará automáticamente el archivo explorer.exe en el directorio raíz de C. El archivo explorer.exe en el servidor infectado por el programa gusano de red es el programa gusano de red en sí. El tamaño del archivo es 8192 bytes. Al mismo tiempo, el programa gusano de red VirtualRoot también se ejecuta a través de este programa. copia el archivo cmd.exe del directorio del sistema de Windows NT a otro directorio, abriendo la puerta a la intrusión de piratas informáticos. También modifica los elementos del registro del sistema, mediante la modificación de los elementos del registro, se puede crear el directorio virtual. C o D es de donde proviene el nombre del virus. Cabe mencionar que, a excepción del archivo explorer.exe, el resto de operaciones de este gusano de red no se basan en archivos, sino que se infectan y se propagan directamente en la memoria. lo que hace que sea más difícil de capturar.
"El nombre del archivo del programa se puede buscar en todo el registro.
Primero echemos un vistazo a cómo Microsoft describe svchost.exe.
svchost.exe se describe a continuación en Microsoft Knowledge Base 314056: svchost.exe es el nombre de proceso de host común para servicios que se ejecutan desde una biblioteca de vínculos dinámicos (DLL).
De hecho, svchost.exe es un proceso central del sistema Windows XP. svchost.exe no sólo aparece en Windows XP, sino que también existe en sistemas Windows que utilizan el kernel NT. Generalmente, la cantidad de procesos svchost.exe en Windows 2000 es 2, pero en Windows XP, la cantidad de procesos svchost.exe aumenta a 4 o más. Así que no se preocupe si ve varios svchost.exe en la lista de procesos del sistema.
¿Para qué se utiliza svchost.exe?
En primer lugar, debemos entender que los procesos en el sistema Windows se dividen en: procesos independientes y procesos compartidos. Como hay cada vez más servicios en el sistema Windows, para ahorrar recursos limitados del sistema, Microsoft ha puesto muchos servicios del sistema en modo exclusivo. ¿Qué papel juega svchost.exe en este proceso?
El trabajo de svchost.exe es servir como anfitrión de estos servicios, es decir, svchost.exe inicia estos servicios. svchost.exe solo es responsable de proporcionar las condiciones de inicio para estos servicios. No puede implementar ninguna función de servicio por sí solo ni puede proporcionar ningún servicio a los usuarios. svchost.exe inicia los servicios del sistema llamando a bibliotecas de vínculos dinámicos (DLL) para estos servicios del sistema.
¿Existe algún origen para la idea de que svchost.exe es un virus?
Debido a que svchost.exe puede usarse como host para iniciar servicios, los creadores de virus y troyanos lo han hecho. También trabajó duro. Es necesario utilizar esta función de svchost.exe para confundir a los usuarios e invadir y destruir la computadora.
¿Cómo identificar cuáles son procesos normales de svchost.exe y cuáles son procesos de virus?
¿El valor clave de svchost.exe está en "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT" \? CurrentVersion\Svchost", como se muestra en la Figura 1. Cada valor clave en la Figura 1 representa un grupo svchost.exe independiente.
Microsoft también nos proporciona una forma de ver los servicios que está ejecutando el sistema en la lista de svchost.exe. Tome Windows XP como ejemplo: ingrese: cmd en "Ejecutar" y luego ingrese: tasklist /svc en el modo de línea de comando. El sistema muestra la lista de servicios como se muestra en la Figura 2. El área rodeada por el cuadro rojo en la Figura 2 es la lista de servicios iniciados por svchost.exe. Si está utilizando un sistema Windows 2000, reemplace el comando anterior "tasklist /svc" con: "tlist -s". Si sospecha que su computadora puede estar infectada por un virus y el servicio svchost.exe es anormal, puede encontrar la anomalía buscando el archivo svchost.exe. Generalmente, sólo se encontrará un programa svchost.exe en el directorio "C:\Windows\System32". Si encuentra el programa svchost.exe en otros directorios, probablemente esté envenenado.
Otra forma de confirmar si svchost.exe está envenenado es ver la ruta de ejecución del proceso en el administrador de tareas. Sin embargo, dado que el administrador de tareas que viene con el sistema Windows no puede ver la ruta del proceso, se debe utilizar una herramienta de visualización de procesos de terceros.
Lo anterior presenta brevemente la situación relevante del proceso svchost.exe. Considerándolo todo, svchost.exe es un proceso central del sistema, no un proceso de virus. Sin embargo, debido a la particularidad del proceso svchost.exe, los virus también harán todo lo posible para invadir svchost.exe.
Puede confirmar si está envenenado comprobando la ruta de ejecución del proceso svchost.exe