Как я проанализировал проблему с высокой загрузкой процессора в svchost [закрыто]

Трудно сказать, что здесь спрашивают. Этот вопрос является двусмысленным, расплывчатым, неполным, чрезмерно широким или риторическим, и на него нельзя дать разумный ответ в его нынешней форме. Чтобы получить разъяснения по этому вопросу, чтобы его можно было снова открыть, посетите справочный центр .

Закрыто 9 лет назад .

Моя машина была атакована трояном, который проявил себя как сервис в процессе netsvcs svchost. Этот процесс можно определить с помощью Process Explorer как svchost -k netsvcs.

Симптомы, которые у меня были, указывают, что моя машина была заражена:

1. Используя ethereal, я мог видеть непрерывный HTTP-трафик с моей машины на разные веб-сайты, такие как ESPN и онлайн-стримеры.

2. Обычно в течение 10-15 минут доктор Уотсон выводит диалоговое окно, указывающее на сбой общего хост-процесса.

3. Process Explorer указал, что процесс 'svchost -k netsvcs' занимает 100% ЦП.

4. Файлы в C: \ Documents and Settings \ NetworkService \ Local Settings \ Временные интернет-файлы \ Content.IE5 были заблокированы процессом 'svchost -k netsvcs'.

Вот что я сделал, чтобы точно определить, какая служба была виновником.

Список сервисов, которые Windows будет запускать при запуске в контейнере stsvcs netsvcs, можно получить по следующему адресу реестра: HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ SvcHost \ netsvcs . Каждая строка в значении MULTI_REG_SZ является именем службы, расположенной по адресу: HKLM \ SYSTEM \ CurrentControlSet \ Services .

Для каждой службы, перечисленной в netsvcs, я создал отдельную запись в SvcHost, а затем обновил ImagePath службы, чтобы указать, под какой svchost теперь должна быть запущена служба.

В качестве примера - чтобы запустить сервис AppMgmt под собственным svchost, мы бы сделали следующее:

1. В SvcHost создайте новое значение Multi-String с именем appmgmt и значением AppMgmt.

2. В SvcHost создайте новый ключ с именем «appmgmt» с такими же значениями, что и в «netsvcs» (обычно REG_DWORD: AuthenticationCapabilities = 12320 и REG_DWORD: CoInitializeSecurityParam = 1).

3. В CurrentControl \ Services \ AppMgmt измените ImagePath на% SystemRoot% \ system32 \ svchost.exe -k appmgmt.

Я прошел вышеописанную процедуру на всех тридцати с чем-то сервисах, запущенных под netsvcs. Это позволило мне точно определить, какая служба ответственна за симптомы, перечисленные выше. Зная службу, стало проще с помощью Process Explorer определить, какие файлы служба заблокировала и загрузила, а также какие записи реестра она использовала. Имея все эти данные, это был простой шаг, чтобы удалить сервис из моей машины.

Я надеюсь, что этот пост будет полезен кому-то другому, затронутому зараженным процессом svchost.

— user64842
источник

Вы узнали, что это за вредоносная программа?

— Кьяран

Я не знаю название вредоносной программы. DLL и реестр, которые мне нужно было удалить, казались случайно сгенерированными (т.е. fgtyu.dll в system32).

— user64842