有電腦高手知道這是什麼嗎?

[複製連結] 檢視: 8425|回覆: 8

ken00576

名望的居民

1^#

發表於 06-8-9 20:37:41 |顯示全部樓層大字中字小字正體化简体化載入全部圖片

轉載  YAHOO奇摩知識＋http://tw.knowledge.yahoo.com/question/?qid=1405102504666
發  問  者：幸運草
當我打開工作管理員，發現一年奇怪的事~麻煩各位高手解惑一下~
影像名稱使用者名稱記憶體(大約)
svchost.exe SYSTEM 40696K
svchost.exe LOCAL SYSTEM 5184k
svchost.exe NETWORK SERVICE 4220K
svchost.exe NETWORK SERVICE 4188K

問題：
1. svchost.exe 倒底是什麼東東?

2. 為什麼我的電腦會同時執行這個檔案呢(NETWORK SERVICE甚至還執行兩個)? 耗掉我這麼多記憶體....

3. 這是中毒了嗎?如果無害~我可刪除這個檔案嗎?會不會造成系統不穩定?
2005-10-25 11:31:45 補充
最近CPU使用率常常接近100%
我覺得怪怪的~
所以用卡巴斯基防毒軟體掃毒~
發現中特洛伊了，已刪除~
但情況還是沒有改善…
所以特此一問…

另外，卡巴斯基是不是無法將特洛伊完全刪除?? 2005-10-25 11:59:14 補充
TO: 各回答者
文章有提到~
正常的svchost.exe文件應該存在於「C:\Windows\system32」目錄下，如果發現該文件出現在其他目錄下就要小心了。

是否代表，出現在其他目錄下的，我就可以刪除了呢?

還有NOROI大大~你的文章是不是來自簡體，怎麼有些用語跟繁體用語不大一樣?
回  答  者：一憲希望
木馬的行為介紹－Svchost
1. Svchost這支木馬跟系統中預設的程式Svchost.exe名稱一模一樣，目前在網路
上查不到任何的資訊，也就是在一些安全軟體的木馬資料中並沒有它的特徵
值，所以無法偵測到它的存在。也因它的名稱是用系統中原本就有的檔案名
稱，一般使用者很難去查覺。
2. 它會將本身程式（Svchost.exe）放在c:\winnt中，正常的Svchost是存放在
c:\winnt\system32中。
3. 它會主動用80Port連線至下列的IP：
61.220.57.10
61.221.104.67
如何清除Svchost
1. 查看Registry中是否有下列任一機碼，如果有的話請將它刪除：
[HKET_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
“Svchost.exe”=”c:\Winnt\Svchost.exe”
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
“Svchost.exe”=”c:\Winnt\Svchost.exe”
[HEKY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
“Svchost.exe”=”c:\Winnt\Svchost.exe”
2. 將機碼刪除重新開機後，將Services.exe這個檔案刪除。
註：一定要先刪機碼並重新開機後，才可刪除該檔案。

不知道有沒有用...

Game:墨香
伺服器:星宿-分流7
職業:槍
ID:聖靈
目前冰凍中＞＂＜

回覆使用道具檢舉

ken00576

名望的居民

2^#

發表於 06-8-9 21:35:16 |顯示全部樓層大字中字小字正體化简体化載入全部圖片

如果沒有那應該就是沒有中病毒吧!
就他文章裡面所說的!
SVCHOST.EXE好像是電腦裡面本來就有的!
只是有些木馬會冒用這個程式的名稱!

[ 本文最後由 ken00576 於 06-8-9 09:41 PM 編輯 ]

回覆使用道具檢舉

ken00576

名望的居民

3^#

發表於 06-8-9 21:46:16 |顯示全部樓層大字中字小字正體化简体化載入全部圖片

這是木馬程式冰峰在Registry中找HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run
等自動啟動路徑下是否有「iexplore.exe」、「peep.exe」、「r_server.exe」及「hiderun.exe」等字樣之機碼，若存在的話將該機碼刪除。
service.exe：正常之系統檔為services.exe，存放於c:\winnt\system32目錄之下，若電腦有service.exe或非位於c:\winnt\system32目錄下之services.exe檔案則可能受到感染。Service.exe執行後會產生MFC42G.DLL及WinCom32.exe等兩個檔案，並於網路連線後以TCP方式連線至跳版主機53port，一般53port為DNS之用，且是以UDP方式連線。
不過還沒有明確的防毒方式！
不過先看看你的cpu有沒有一直都在１００％狀態！
有的話可能就是services.exe已遭感染！

回覆使用道具檢舉

ken00576

名望的居民

4^#

發表於 06-8-9 22:09:42 |顯示全部樓層大字中字小字正體化简体化載入全部圖片

這些是原本程式的功用！
他們不是病毒！
只是常常會被感染而已！

Services and Controller app(services.exe)
位於C:\Windows\System32中，
負責紀錄所有正在進行中的系統服務列表。
Generic Host Process for Win32 Services (svchost.exe)
位於C:\Windows\System32中
負責處理執行中的 EXE/DLL 程序，
為 Windows NT/2000/XP/2003 的重要系統核心檔案。

回覆使用道具檢舉

ken00576

名望的居民

5^#

發表於 06-8-10 17:08:20 |顯示全部樓層大字中字小字正體化简体化載入全部圖片

Registry 這個東西呢！

就是你到　開始　＞　執行　＞　輸入Registry　＞　確定

這樣就會出現所有的註冊表值！
有些病毒就是在這些註冊表值裡面的！
這個是路徑　＞　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run
找是否有「iexplore.exe」、「peep.exe」、「r_server.exe」及「hiderun.exe」等字樣之註冊表值，若存在的話將該註冊表值刪除！