作者在 2009-06-06 18:56:29 发布以下内容
被一个svchost.exe进程困扰,整理了点资料。
Q:电脑cpu使用100%或不稳定。
ctrl+alt+Delete 打开任务管理器 发现svchost.exe在作怪。
解:百度一下--》
那可能是由于xp的自动更新bug在作怪哦!
由于svchost 是通过对其他的dll或文件执行操作,所以会产生冲突或死锁使得cpu陷入其中对其他程序或进程无相应。
ms也说不能够完全解决,经过我对这一问题的深入研究有了解决的办法啦!
首先关闭updata(电脑自动更新) ,断开网络。
用一些系统优化软件进行优化。
之后关机重启起,进入安全模式将c:\windows\SoftwareDistribution\下的文件全部删除(一定哦)(该文件下的东东是与updata有关的文件,删除后会自动生成)然后清理注册列表(可用优化大师)该操作是使updata 从新建立起合理正确的规则,不产生冲突。
最后重新新启动(打开 updata 连接网络)就ok了!
附:
Svchost.exe是病毒的两种情况
1.利用假冒Svchost.exe名称的病毒程序
这种方式运行的病毒并没有直接利用真正的Svchost.exe进程,而是启动了另外一个名称同样是Svchost.exe的病毒进程,由于这个假冒的病毒进程并没有加载系统服务,它和真正的Svchost.exe进程是不同的,只需在命令行窗口中运行一下“Tasklist /svc”,如果看到哪个Svchost.exe进程后面提示的服务信息是“暂缺”,而不是一个具体的服务名,那么它就是病毒进程了,记下这个病毒进程对应的PID数值(进程标识符),即可在任务管理器的进程列表中找到它,结束进程后,在C盘搜索Svchost.exe文件,也可以用第三方进程工具直接查看该进程的路径,正常的Svchost.exe文件是位于%systemroot%\System32目录中的,而假冒的Svchost.exe病毒或木马文件则会在其他目录,例如“w32.welchina.worm”病毒假冒的Svchost.exe就隐藏在Windows\System32\Wins目录中,将其删除,并彻底清除病毒的其他数据即可。
2:一些高级病毒则采用类似系统服务启动的方式,通过真正的Svchost.exe进程加载病毒程序,而Svchost.exe是通过注册表数据来决定要装载的服务列表的,所以病毒通常会在注册表中采用以下方法进行加载:
添加一个新的服务组,在组里添加病毒服务名
在现有的服务组里直接添加病毒服务名
修改现有服务组里的现有服务属性,修改其“ServiceDll”键值指向病毒程序
判断方法:病毒程序要通过真正的Svchost.exe进程加载,就必须要修改相关的注册表数据,可以打开[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost],观察有没有增加新的服务组,同时要留意服务组中的服务列表,观察有没有可疑的服务名称,通常来说,病毒不会在只有一个服务名称的组中添加,往往会选择LocalService和netsvcs这两个加载服务较多的组,以干扰分析,还有通过修改服务属性指向病毒程序的,通过注册表判断起来都比较困难,这时可以利用前面介绍的服务管理专家,分别打开LocalService和netsvcs分支,逐个检查右边服务列表中的服务属性,尤其要注意服务描述信息全部为英文的,很可能是第三方安装的服务,同时要结合它的文件描述、版本、公司等相关信息,进行综合判断。例如这个名为PortLess BackDoor的木马程序,在服务列表中可以看到它的服务描述为“Intranet Services”,而它的文件版本、公司、描述信息更全部为空,如果是微软的系统服务程序是绝对不可能出现这种现象的。从启动信息“C:\WINDOWS\System32\svchost.exe -k netsvcs”中可以看出这是一款典型的利用Svchost.exe进程加载运行的木马,知道了其原理,清除方法也很简单了:先用服务管理专家停止该服务的运行,然后运行regedit.exe打开“注册表编辑器”,删除[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPRIP]主键,重新启动计算机,再删除%systemroot%\System32目录中的木马源程序“svchostdll.dll”,通过按时间排序,又发现了时间完全相同的木马安装程序“PortlessInst.exe”,一并删除即可。
svchost.exe是nt核心系统的非常重要的进程,对于2000、xp来说,不可或缺。很多病毒、木马也会调用它。所以,深入了解这个程序,是玩电脑的必修课之一。
大家对windows操作系统一定不陌生,但你是否注意到系统中“svchost.exe”这个文件呢?细心的朋友会发现windows中存在多个 “svchost”进程(通过“ctrl+alt+del”键打开任务管理器,这里的“进程”标签中就可看到了),为什么会这样呢?下面就来揭开它神秘的面纱。
解惑
因为svchost进程启动各种服务,所以病毒、木马也想尽办法来利用它,企图利用它的特性来迷惑用户,达到感染、入侵、破坏的目的(如冲击波变种病毒“w32.welchia.worm”)。但windows系统存在多个svchost进程是很正常的,在受感染的机器中到底哪个是病毒进程呢?这里仅举一例来说明。
假设windows xp系统被“w32.welchia.worm”感染了。正常的svchost文件存在于“c:\windows\system32”目录下,如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:\windows\system32wins”目录中,因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。windows系统自带的任务管理器不能够查看进程的路径,可以使用第三方进程管理软件,如“windows优化大师”进程管理器,通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径,一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。
大家都要知道Svchost.exe,是系统必不可少的一个进程,很多服务都会多多少少用到它,但是我想大家也知道,由于它本身特殊性,高明的"黑客们"肯定是不会放过的,前段时间的Svchost.exe木马风波,大家应该是记忆犹新吧,而且现在还是有很多机器里都藏有此木马,因为它伪装和系统进程Svchost.exe一样,所以很多人分不清,那个是进程,那个是木马....
***************************************************************
1.错误的解决方法描述
当我们按下Alt+Ctrl+Del打开任务管理器,发现进程中出现多个Svchost.exe,则表明系统中毒,我们首先将所有的Svchost结束掉,然后使用相关的杀毒工具查杀病毒。
注:
2003年的夏天,“冲击波”病毒横行的时候有一种说法就是Svchost.exe都是病毒,一看到就要删除。这种说法让电脑用户人心惶惶,因为每个使用 Windows XP系统的用户在按照文章中介绍的检查有无Svchost.exe的方法都可以找到几个Svchost.exe进程。
有关Svchost.exe详见:
http://forum.ikaka.com/topic.asp?board=3&artid=6087605
2.方案由来及后果
在很多人的印象中,每个应用程序一般只对应一个进程,如QQ对应QQ.EXE进程、记事本对应notepad.exe进程等。所以当看到系统有多个同样名字的进程时,总是会将其联想为病毒或者木马程序在作怪。如果不加思索,野蛮的将其中的某些Svchost.exe进程结束掉,会让系统的运行变得不稳定。
***********************************************************************
***********************************************************************
3.正确的解决办法
Windows 进程分为独立进程和共享进程两种,Svchost.exe属于后者。Windows XP为了节约系统资源,将很多个系统服务做为共享方式由Svchost.exe来启动。Svchost本身只是作为服务宿主,并不能实现任何服务功能, svchost通过调用相应服务的动态链接库(DLL)来启动该服务,而Windows将这些服务分为几个组,同组的服务共享一个Svchost进程,不同的组所指向的Svchost不同。通常情况下,Windows XP有4个由Svchost启动的服务组,也就是说Windows XP系统一般有4个Svchost.exe进程。当然某些应用程序或服务也有可能会调用Svchost,所以当你看到系统中有多余4个的 Svchost.exe进程,也不要盲目判断系统中了病毒。实际上Svchost.exe进程的个数跟是否中毒无直接关系。
小提示:
★ 笔者做了下面一个非常有趣的测试:打开任务管理器,切换到“进程”选项卡,首先手动结束掉由上到下的第三个Svchost.exe进程,结束完后系统会马上重新建立该进程,接下来我们手动结束掉由上到下的最后一个Svchost.exe进程,系统会出现一个类似中了冲击波病毒的对话窗口,并倒计时关机,这是由于该Svchost.exe进程引导RPC服务,终止该进程则导致RPC服务中断,系统自然会重新启动了。
★Windows 2000中一般有两个Svchost.exe进程,Windows Server 2003则非常多,一般有6个。
既然系统中Svchost.exe进程数与是否中毒无关,我们究竟如何区别正常的和病毒伪造的Svchost进程呢?
我们可以使用下面两种方法来鉴别:
方法一:
在系统所在分区进行搜索,如果发现多个Svchost.exe文件,则系统很有可能中毒。正常的Svchost.exe位于%windir%\\ system32目录下,如果发现其它目录中有Svchost.exe文件,你就要小心了。例如冲击波的变种Win32.Welchia.Worm会在% windir%\\system32\\wins目录种下Svchost.exe文件。
方法二:
察看Svchost.exe进程对应文件的路径。
Windows XP自带的任务管理器中无法察看,我们需要借助第三方工具,例如Windows优化大师自带的进程管理工具,运行它后定位到Svchost.exe进程,可以看到它对应的运行文件的真实路径。
小提示:
★不少木马程序会采用将自己伪装成跟常见进程相似的文件名或者相同的文件名但扩展名不相同,如果你在任务管理器中看到Scvhost.exe、Svch0st.exe等进程,肯定有木马已经植入你的系统。
★ 很多朋友在查看CPU占用率时,一个叫做“System Idle Process”的进程常常会显示为90-99%。不必担心,实际上恰恰相反的是这里的90-99%是CPU资源空闲了出来的资源。这里的数字越大表示 CPU可用资源越多,数字越小则表示CPU资源越紧张。
其它错误的说法和方案
1.在安装Windows XP后,删除C:\\Windows\\System32\\Dllcache下的所有文件,可以节约大概200MB的磁盘空间。
点评:该文件夹里保存的是系统备份的dll文件,Windows在安装驱动、软件、升级的时候可能会用到里面的文件,如果将其删除会给我们带来更大的不便。
2. 由于系统空间比较宝贵,很多朋友将软件安装在其它分区,但每次安装软件时提示的默认安装路径都是C:\\Program Files,我们可以打开注册表,定位到“[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion]”,将右边窗口中的ProgramFilesDir字符串值修改为我们想要的路径。
点评:这样设置确实让我们方便不少。但它带来很多弊端,比如打开Outlook Express时,会报告C盘磁盘已满或者内存不足的错误,并提示“MSOE.dll无法初始化”,另外还可以引起Media Player等系统程序的运行故障。
3.修改[url=file://\\%Systemroot%\\System32\\Drivers\\Etc]\\%Systemroot%\\System32\\Drivers\\Etc[/url]文件夹下的host.sam文件……
点评:很多朋友使用修改host文件的办法来屏蔽恶意网站,这点没错。不过很多人却没搞清楚到底哪个文件是“host文件”。在Windows 98下存在一个host.sam文件,该文件只是微软为我们修改host文件做的一个范例文件,如果我们修改host.sam文件根本达不到任何效果,真正的host文件是一个名为“host”没有扩展名的文件。而在Windows XP下,所谓“host.sam”文件根本不存在,我们修改host文件应该是用记事本打开[url=file://\\%Systemroot%\\System32\\]\\%Systemroot%\\System32\\[/url] Drivers\\Etc目录下的host文件(同样没有扩展名)。
4.要将jpg文件与版本的ACDSEE(4.0以下的版本)建立文件关联,只需要运行“regsvr32 /u shimgvw.dll”命令。
点评:这种办法的确可以让ACDSEE和jpg格式文件建立文件关联,但该命令卸载了Windows XP的图片预览功能,有点矫枉过正。正确的方法是:删除注册表中的“[HKEY_CLASSES_ROOT\\ SystemFileAssociations\\image]”项。
*****************************************************************
*********************************************************************
透析Svchost进程清除后门
网上有很多关于Svchost.exe的讨论,我们今天首先来看一下Svchost.exe的原理,工作方法,然后结合著名DLL木马,实战了解一下使用Svchost.exe进行启动的木马的清除,希望大家能够有所收获。
Svchost.exe是NT核心系统非常重要的文件,对于Windows
2000/XP来说,不可或缺。Svchost进程提供很多系统服务,如:logical disk manager、remote
procedure call(RPC)、dhcp client、Automatic Updates、Background
Intelligent Transfer Service、COM+ Event System、Internet Connection
Sharing、Network Connections、Portable Media Serial Number
Service、Remote Access Auto Connection Manager、Remote Access
Connection Manager、Removable Storage、Routing and Remote
Access、System Event Notification、Telephony、Wireless Configuration等等。
对于服务中使用Svchost.exe加载了哪些动态链接库,我们可以在服务中点击上面列出的某个服务来看看。比如我们要看Automatic
Updates服务,就可以在在它上面点击鼠标右键,看它的属性。
同样情况下,如果读者还想进一步了解其它的那些服务是怎样使用Svchost.exe的,可以使用与上面相同的方法来观察一下。
聪明的读者一眼就可以看出,Svchost.exe对于系统来说是多么的重要了。也正是因为Svchost.exe的重要性,所以病毒、木马也想尽办法来利用它,企图利用它的特性来迷惑用户,达到感染、入侵、破坏的目的。那么应该如何判断到底哪个是病毒进程呢?正常的Svchost.exe文件应该存在于“C:\Windows\system32”目录下,如果发现该文件出现在其他目录下就要小心了。另外,黑客们为了使用Svchost.exe达到进程欺骗的目的,有可能使用一些迷惑性的名字,如将字母o变成数字0(零),这样程序的名称就变成了svch0st.exe了,如果不注意观察,很容易逃过普通用户的眼睛。
通常情况下,为了确定我们的计算机中正在运行的Svchost.exe是不是真正的系统的Svchost.exe,我们可以使用如下方法来查看。Svchost.exe文件的调用路径可以通过“计算机管理→系统工具→系统信息→软件环境→正在运行任务”来查看。
这里仅举一例来说明。假设Windows
XP系统被“w32.welchia.worm”感染了。正常的Svchost文件存在于“c:\Windows\system32”目录下,如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:\Windows\system32wins”目录中,通过使用上面说的方法就可很容易地查看到所有的Svchost进程的执行文件路径,一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。
现在我们已经搞清楚了一部分疑问,但是,我们还不知道哪个服务调用了哪个动态链接库文件,是不是没有办法呢?如果没有地方可以找到,那么Windows自己又是如何知道调用哪一个呢?大家知道,Windows将所有的系统信息和应用程序信息都保存在了系统注册表中,所以,我们可以在注册表中找找看。
下面以Remote Procedure
Call(RPC)服务为例,来看看Svchost进程是如何调用DLL文件的。在Windiws中,打开服务,然后打开“Remote
Procedure Call(RPC)”属性对话框,可以看到Remote Procedure
Call(RPC)服务的可执行文件的路径为“C:\WINNT\system32\Svchost -k rpcss”,这说明Remote
Procedure Call(RPC)服务是依靠Svchost调用“rpcss”参数来实现的,而参数的内容则是存放在系统注册表中的。
在运行对话框中输入“regedit.exe”后回车,打开注册表编辑器,找到“HKEY_LOCAL_MACHINE\System\currentcontrolset\services\
rpcss”项。然后,再在里面找到类型为“reg_expand_sz”的“Imagepath”项,其键值为“%SystemRoot%\system32\Svchost
-k
rpcss”(这就是在服务窗口中看到的服务启动命令),另外在“parameters”子项中有个名为“ServiceDll”的键,其值为“%SystemRoot%\system32\rpcss.dll”,其中“rpcss.dll”就是Remote
Procedure
Call(RPC)服务要使用的动态链接库文件。这样Svchost进程通过读取“rpcss”服务注册表信息,就能启动该服务了。
同样情况下,如果有程序试图蛮天过海,假借Svchost.exe来启动自己的动态链接库文件(如将木马作成动态链接库文件),那么我们就可以从这里找到DLL木马的路径,将它大白于天下。
如果要了解每个Svchost进程到底提供了多少系统服务,可以在Windows 2000的命令提示符窗口中输入“tlist
-s”命令来查看,该命令是Windows 2000 support
tools提供的。不过,在这里看到的效果跟服务里面看到的是一样的,只不过是DOS界面而已。
小知识:在Windows xp下则使用“tasklist /svc”命令会收到同样的效果。
由于篇幅的关系,不能对Svchost全部功能进行详细介绍,这是一个Windows中的一个特殊进程,有兴趣的可参考有关技术资料进一步去了解它。
下面,我们通过一个实例来看一下木马程序是如何利用Svchost.exe进行启动的。这里,我选择了PortLess BackDoor
V1.2来做演示,这是一个使用Svchost.exe去启动,平时不开端口,可以进行反连接的后门程序(和小榕的BITS是同一类型的后门)。
为了看一下这个后门是如何利用Svchost.exe进行启动的,我们在运行软件之前,先给注册表做一个快照,这里我选择了Regshot
1.61e5
final版本,并将初始快照命名为1.hiv。然后我们将Portlessinst.exe和Svchostdll.dll(不要改名)上传到系统目录(%winnt%\system32目录中)。
接下来,进入命令行,使用“Portlessinst.exe -install ActiveString
Password”进行安装,这里的ActiveString就是连接那系统打开的端口后输入的验证字符串,这里的密码是使用正向连接你连接上后门打开的端口时需要输入的密码。比如,我输入如下:
portlessinst.exe –install smiler wind_003
这样就安装上去了,我们来看一下注册表里的变化。将1.hiv装载进Regshot中的1st shot,然后对当前的注册表做2st
shot的快照,然后使用compare进行比较,其比较的结果如下:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet
Explorer\PortLess\FdsnqbTsuni`: "tjnkbu"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet
Explorer\PortLess\Wfttphuc: "tofiXdo"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IPRIP\Security\Security:
01 00 14 80 A0 00 00 00 AC 00 00 00 14 00 00 00 30 00 00 00 02 00 1C
00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00
00 00 02 00 70 00 04 00 00 00 00 00 18 00 FD 01 02 00 01 01 00 00 00
00 00 05 12 00 00 00 63 00 6F 00 00 00 1C 00 FF 01 0F 00 01 02 00 00
00 00 00 05 20 00 00 00 20 02 00 00 6D 00 00 00 00 00 18 00 8D 01 02
00 01 01 00 00 00 00 00 05 0B 00 00 00 20 02 00 00 00 00 1C 00 FD 01
02 00 01 02 00 00 00 00 00 05 20 00 00 00 23 02 00 00 6D 00 00 00 01
01 00 00 00 00 00 05 12 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IPRIP\Parameters\ServiceDll:
"C:\WINNT\system32\Svchostdll.dll"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IPRIP\Parameters\program:
"SvchostDLL.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IPRIP\Parameters\Interactive:
0x00000000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IPRIP\Type:
0x00000020
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IPRIP\Start:
0x00000002
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IPRIP\ErrorControl:
0x00000001
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IPRIP\ImagePath:
"%SystemRoot%\System32\Svchost.exe -k netsvcs"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IPRIP\DisplayName:
"Intranet Services"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IPRIP\ObjectName:
"LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPRIP\Security\Security:
01 00 14 80 A0 00 00 00 AC 00 00 00 14 00 00 00 30 00 00 00 02 00 1C
00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00
00 00 02 00 70 00 04 00 00 00 00 00 18 00 FD 01 02 00 01 01 00 00 00
00 00 05 12 00 00 00 63 00 6F 00 00 00 1C 00 FF 01 0F 00 01 02 00 00
00 00 00 05 20 00 00 00 20 02 00 00 6D 00 00 00 00 00 18 00 8D 01 02
00 01 01 00 00 00 00 00 05 0B 00 00 00 20 02 00 00 00 00 1C 00 FD 01
02 00 01 02 00 00 00 00 00 05 20 00 00 00 23 02 00 00 6D 00 00 00 01
01 00 00 00 00 00 05 12 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPRIP\Parameters\ServiceDll:
"C:\WINNT\system32\Svchostdll.dll"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPRIP\Parameters\program:
"SvchostDLL.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPRIP\Parameters\Interactive:
0x00000000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPRIP\Type:
0x00000020
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPRIP\Start:
0x00000002
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPRIP\ErrorControl:
0x00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPRIP\ImagePath:
"%SystemRoot%\System32\Svchost.exe -k netsvcs"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPRIP\DisplayName:
"Intranet Services"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPRIP\ObjectName:
"LocalSystem"
可以看出,PortLess BackDoor
V1.2将自己注册为了服务IPRIP,它使用的启动参数是"%SystemRoot%\System32\Svchost.exe -k
netsvcs",它使用的DLL文件是"C:\WINNT\system32\Svchostdll.dll"。通过这里,我们就可以找到PortLess,将它使用的服务禁止掉,然后将对应的DLL文件删除,并将注册表中这些多出来的键值干掉,三下五除二就将Portless弄得一干二净!现在大家知道怎么清理掉用Svchost加载的后门了吧?!
Q:电脑cpu使用100%或不稳定。
ctrl+alt+Delete 打开任务管理器 发现svchost.exe在作怪。
解:百度一下--》
那可能是由于xp的自动更新bug在作怪哦!
由于svchost 是通过对其他的dll或文件执行操作,所以会产生冲突或死锁使得cpu陷入其中对其他程序或进程无相应。
ms也说不能够完全解决,经过我对这一问题的深入研究有了解决的办法啦!
首先关闭updata(电脑自动更新) ,断开网络。
用一些系统优化软件进行优化。
之后关机重启起,进入安全模式将c:\windows\SoftwareDistribution\下的文件全部删除(一定哦)(该文件下的东东是与updata有关的文件,删除后会自动生成)然后清理注册列表(可用优化大师)该操作是使updata 从新建立起合理正确的规则,不产生冲突。
最后重新新启动(打开 updata 连接网络)就ok了!
附:
Svchost.exe是病毒的两种情况
1.利用假冒Svchost.exe名称的病毒程序
这种方式运行的病毒并没有直接利用真正的Svchost.exe进程,而是启动了另外一个名称同样是Svchost.exe的病毒进程,由于这个假冒的病毒进程并没有加载系统服务,它和真正的Svchost.exe进程是不同的,只需在命令行窗口中运行一下“Tasklist /svc”,如果看到哪个Svchost.exe进程后面提示的服务信息是“暂缺”,而不是一个具体的服务名,那么它就是病毒进程了,记下这个病毒进程对应的PID数值(进程标识符),即可在任务管理器的进程列表中找到它,结束进程后,在C盘搜索Svchost.exe文件,也可以用第三方进程工具直接查看该进程的路径,正常的Svchost.exe文件是位于%systemroot%\System32目录中的,而假冒的Svchost.exe病毒或木马文件则会在其他目录,例如“w32.welchina.worm”病毒假冒的Svchost.exe就隐藏在Windows\System32\Wins目录中,将其删除,并彻底清除病毒的其他数据即可。
2:一些高级病毒则采用类似系统服务启动的方式,通过真正的Svchost.exe进程加载病毒程序,而Svchost.exe是通过注册表数据来决定要装载的服务列表的,所以病毒通常会在注册表中采用以下方法进行加载:
添加一个新的服务组,在组里添加病毒服务名
在现有的服务组里直接添加病毒服务名
修改现有服务组里的现有服务属性,修改其“ServiceDll”键值指向病毒程序
判断方法:病毒程序要通过真正的Svchost.exe进程加载,就必须要修改相关的注册表数据,可以打开[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost],观察有没有增加新的服务组,同时要留意服务组中的服务列表,观察有没有可疑的服务名称,通常来说,病毒不会在只有一个服务名称的组中添加,往往会选择LocalService和netsvcs这两个加载服务较多的组,以干扰分析,还有通过修改服务属性指向病毒程序的,通过注册表判断起来都比较困难,这时可以利用前面介绍的服务管理专家,分别打开LocalService和netsvcs分支,逐个检查右边服务列表中的服务属性,尤其要注意服务描述信息全部为英文的,很可能是第三方安装的服务,同时要结合它的文件描述、版本、公司等相关信息,进行综合判断。例如这个名为PortLess BackDoor的木马程序,在服务列表中可以看到它的服务描述为“Intranet Services”,而它的文件版本、公司、描述信息更全部为空,如果是微软的系统服务程序是绝对不可能出现这种现象的。从启动信息“C:\WINDOWS\System32\svchost.exe -k netsvcs”中可以看出这是一款典型的利用Svchost.exe进程加载运行的木马,知道了其原理,清除方法也很简单了:先用服务管理专家停止该服务的运行,然后运行regedit.exe打开“注册表编辑器”,删除[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPRIP]主键,重新启动计算机,再删除%systemroot%\System32目录中的木马源程序“svchostdll.dll”,通过按时间排序,又发现了时间完全相同的木马安装程序“PortlessInst.exe”,一并删除即可。
svchost.exe是nt核心系统的非常重要的进程,对于2000、xp来说,不可或缺。很多病毒、木马也会调用它。所以,深入了解这个程序,是玩电脑的必修课之一。
大家对windows操作系统一定不陌生,但你是否注意到系统中“svchost.exe”这个文件呢?细心的朋友会发现windows中存在多个 “svchost”进程(通过“ctrl+alt+del”键打开任务管理器,这里的“进程”标签中就可看到了),为什么会这样呢?下面就来揭开它神秘的面纱。
解惑
因为svchost进程启动各种服务,所以病毒、木马也想尽办法来利用它,企图利用它的特性来迷惑用户,达到感染、入侵、破坏的目的(如冲击波变种病毒“w32.welchia.worm”)。但windows系统存在多个svchost进程是很正常的,在受感染的机器中到底哪个是病毒进程呢?这里仅举一例来说明。
假设windows xp系统被“w32.welchia.worm”感染了。正常的svchost文件存在于“c:\windows\system32”目录下,如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:\windows\system32wins”目录中,因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。windows系统自带的任务管理器不能够查看进程的路径,可以使用第三方进程管理软件,如“windows优化大师”进程管理器,通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径,一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。
大家都要知道Svchost.exe,是系统必不可少的一个进程,很多服务都会多多少少用到它,但是我想大家也知道,由于它本身特殊性,高明的"黑客们"肯定是不会放过的,前段时间的Svchost.exe木马风波,大家应该是记忆犹新吧,而且现在还是有很多机器里都藏有此木马,因为它伪装和系统进程Svchost.exe一样,所以很多人分不清,那个是进程,那个是木马....
***************************************************************
1.错误的解决方法描述
当我们按下Alt+Ctrl+Del打开任务管理器,发现进程中出现多个Svchost.exe,则表明系统中毒,我们首先将所有的Svchost结束掉,然后使用相关的杀毒工具查杀病毒。
注:
2003年的夏天,“冲击波”病毒横行的时候有一种说法就是Svchost.exe都是病毒,一看到就要删除。这种说法让电脑用户人心惶惶,因为每个使用 Windows XP系统的用户在按照文章中介绍的检查有无Svchost.exe的方法都可以找到几个Svchost.exe进程。
有关Svchost.exe详见:
http://forum.ikaka.com/topic.asp?board=3&artid=6087605
2.方案由来及后果
在很多人的印象中,每个应用程序一般只对应一个进程,如QQ对应QQ.EXE进程、记事本对应notepad.exe进程等。所以当看到系统有多个同样名字的进程时,总是会将其联想为病毒或者木马程序在作怪。如果不加思索,野蛮的将其中的某些Svchost.exe进程结束掉,会让系统的运行变得不稳定。
***********************************************************************
***********************************************************************
3.正确的解决办法
Windows 进程分为独立进程和共享进程两种,Svchost.exe属于后者。Windows XP为了节约系统资源,将很多个系统服务做为共享方式由Svchost.exe来启动。Svchost本身只是作为服务宿主,并不能实现任何服务功能, svchost通过调用相应服务的动态链接库(DLL)来启动该服务,而Windows将这些服务分为几个组,同组的服务共享一个Svchost进程,不同的组所指向的Svchost不同。通常情况下,Windows XP有4个由Svchost启动的服务组,也就是说Windows XP系统一般有4个Svchost.exe进程。当然某些应用程序或服务也有可能会调用Svchost,所以当你看到系统中有多余4个的 Svchost.exe进程,也不要盲目判断系统中了病毒。实际上Svchost.exe进程的个数跟是否中毒无直接关系。
小提示:
★ 笔者做了下面一个非常有趣的测试:打开任务管理器,切换到“进程”选项卡,首先手动结束掉由上到下的第三个Svchost.exe进程,结束完后系统会马上重新建立该进程,接下来我们手动结束掉由上到下的最后一个Svchost.exe进程,系统会出现一个类似中了冲击波病毒的对话窗口,并倒计时关机,这是由于该Svchost.exe进程引导RPC服务,终止该进程则导致RPC服务中断,系统自然会重新启动了。
★Windows 2000中一般有两个Svchost.exe进程,Windows Server 2003则非常多,一般有6个。
既然系统中Svchost.exe进程数与是否中毒无关,我们究竟如何区别正常的和病毒伪造的Svchost进程呢?
我们可以使用下面两种方法来鉴别:
方法一:
在系统所在分区进行搜索,如果发现多个Svchost.exe文件,则系统很有可能中毒。正常的Svchost.exe位于%windir%\\ system32目录下,如果发现其它目录中有Svchost.exe文件,你就要小心了。例如冲击波的变种Win32.Welchia.Worm会在% windir%\\system32\\wins目录种下Svchost.exe文件。
方法二:
察看Svchost.exe进程对应文件的路径。
Windows XP自带的任务管理器中无法察看,我们需要借助第三方工具,例如Windows优化大师自带的进程管理工具,运行它后定位到Svchost.exe进程,可以看到它对应的运行文件的真实路径。
小提示:
★不少木马程序会采用将自己伪装成跟常见进程相似的文件名或者相同的文件名但扩展名不相同,如果你在任务管理器中看到Scvhost.exe、Svch0st.exe等进程,肯定有木马已经植入你的系统。
★ 很多朋友在查看CPU占用率时,一个叫做“System Idle Process”的进程常常会显示为90-99%。不必担心,实际上恰恰相反的是这里的90-99%是CPU资源空闲了出来的资源。这里的数字越大表示 CPU可用资源越多,数字越小则表示CPU资源越紧张。
其它错误的说法和方案
1.在安装Windows XP后,删除C:\\Windows\\System32\\Dllcache下的所有文件,可以节约大概200MB的磁盘空间。
点评:该文件夹里保存的是系统备份的dll文件,Windows在安装驱动、软件、升级的时候可能会用到里面的文件,如果将其删除会给我们带来更大的不便。
2. 由于系统空间比较宝贵,很多朋友将软件安装在其它分区,但每次安装软件时提示的默认安装路径都是C:\\Program Files,我们可以打开注册表,定位到“[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion]”,将右边窗口中的ProgramFilesDir字符串值修改为我们想要的路径。
点评:这样设置确实让我们方便不少。但它带来很多弊端,比如打开Outlook Express时,会报告C盘磁盘已满或者内存不足的错误,并提示“MSOE.dll无法初始化”,另外还可以引起Media Player等系统程序的运行故障。
3.修改[url=file://\\%Systemroot%\\System32\\Drivers\\Etc]\\%Systemroot%\\System32\\Drivers\\Etc[/url]文件夹下的host.sam文件……
点评:很多朋友使用修改host文件的办法来屏蔽恶意网站,这点没错。不过很多人却没搞清楚到底哪个文件是“host文件”。在Windows 98下存在一个host.sam文件,该文件只是微软为我们修改host文件做的一个范例文件,如果我们修改host.sam文件根本达不到任何效果,真正的host文件是一个名为“host”没有扩展名的文件。而在Windows XP下,所谓“host.sam”文件根本不存在,我们修改host文件应该是用记事本打开[url=file://\\%Systemroot%\\System32\\]\\%Systemroot%\\System32\\[/url] Drivers\\Etc目录下的host文件(同样没有扩展名)。
4.要将jpg文件与版本的ACDSEE(4.0以下的版本)建立文件关联,只需要运行“regsvr32 /u shimgvw.dll”命令。
点评:这种办法的确可以让ACDSEE和jpg格式文件建立文件关联,但该命令卸载了Windows XP的图片预览功能,有点矫枉过正。正确的方法是:删除注册表中的“[HKEY_CLASSES_ROOT\\ SystemFileAssociations\\image]”项。
*****************************************************************
*********************************************************************
透析Svchost进程清除后门
网上有很多关于Svchost.exe的讨论,我们今天首先来看一下Svchost.exe的原理,工作方法,然后结合著名DLL木马,实战了解一下使用Svchost.exe进行启动的木马的清除,希望大家能够有所收获。
Svchost.exe是NT核心系统非常重要的文件,对于Windows
2000/XP来说,不可或缺。Svchost进程提供很多系统服务,如:logical disk manager、remote
procedure call(RPC)、dhcp client、Automatic Updates、Background
Intelligent Transfer Service、COM+ Event System、Internet Connection
Sharing、Network Connections、Portable Media Serial Number
Service、Remote Access Auto Connection Manager、Remote Access
Connection Manager、Removable Storage、Routing and Remote
Access、System Event Notification、Telephony、Wireless Configuration等等。
对于服务中使用Svchost.exe加载了哪些动态链接库,我们可以在服务中点击上面列出的某个服务来看看。比如我们要看Automatic
Updates服务,就可以在在它上面点击鼠标右键,看它的属性。
同样情况下,如果读者还想进一步了解其它的那些服务是怎样使用Svchost.exe的,可以使用与上面相同的方法来观察一下。
聪明的读者一眼就可以看出,Svchost.exe对于系统来说是多么的重要了。也正是因为Svchost.exe的重要性,所以病毒、木马也想尽办法来利用它,企图利用它的特性来迷惑用户,达到感染、入侵、破坏的目的。那么应该如何判断到底哪个是病毒进程呢?正常的Svchost.exe文件应该存在于“C:\Windows\system32”目录下,如果发现该文件出现在其他目录下就要小心了。另外,黑客们为了使用Svchost.exe达到进程欺骗的目的,有可能使用一些迷惑性的名字,如将字母o变成数字0(零),这样程序的名称就变成了svch0st.exe了,如果不注意观察,很容易逃过普通用户的眼睛。
通常情况下,为了确定我们的计算机中正在运行的Svchost.exe是不是真正的系统的Svchost.exe,我们可以使用如下方法来查看。Svchost.exe文件的调用路径可以通过“计算机管理→系统工具→系统信息→软件环境→正在运行任务”来查看。
这里仅举一例来说明。假设Windows
XP系统被“w32.welchia.worm”感染了。正常的Svchost文件存在于“c:\Windows\system32”目录下,如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:\Windows\system32wins”目录中,通过使用上面说的方法就可很容易地查看到所有的Svchost进程的执行文件路径,一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。
现在我们已经搞清楚了一部分疑问,但是,我们还不知道哪个服务调用了哪个动态链接库文件,是不是没有办法呢?如果没有地方可以找到,那么Windows自己又是如何知道调用哪一个呢?大家知道,Windows将所有的系统信息和应用程序信息都保存在了系统注册表中,所以,我们可以在注册表中找找看。
下面以Remote Procedure
Call(RPC)服务为例,来看看Svchost进程是如何调用DLL文件的。在Windiws中,打开服务,然后打开“Remote
Procedure Call(RPC)”属性对话框,可以看到Remote Procedure
Call(RPC)服务的可执行文件的路径为“C:\WINNT\system32\Svchost -k rpcss”,这说明Remote
Procedure Call(RPC)服务是依靠Svchost调用“rpcss”参数来实现的,而参数的内容则是存放在系统注册表中的。
在运行对话框中输入“regedit.exe”后回车,打开注册表编辑器,找到“HKEY_LOCAL_MACHINE\System\currentcontrolset\services\
rpcss”项。然后,再在里面找到类型为“reg_expand_sz”的“Imagepath”项,其键值为“%SystemRoot%\system32\Svchost
-k
rpcss”(这就是在服务窗口中看到的服务启动命令),另外在“parameters”子项中有个名为“ServiceDll”的键,其值为“%SystemRoot%\system32\rpcss.dll”,其中“rpcss.dll”就是Remote
Procedure
Call(RPC)服务要使用的动态链接库文件。这样Svchost进程通过读取“rpcss”服务注册表信息,就能启动该服务了。
同样情况下,如果有程序试图蛮天过海,假借Svchost.exe来启动自己的动态链接库文件(如将木马作成动态链接库文件),那么我们就可以从这里找到DLL木马的路径,将它大白于天下。
如果要了解每个Svchost进程到底提供了多少系统服务,可以在Windows 2000的命令提示符窗口中输入“tlist
-s”命令来查看,该命令是Windows 2000 support
tools提供的。不过,在这里看到的效果跟服务里面看到的是一样的,只不过是DOS界面而已。
小知识:在Windows xp下则使用“tasklist /svc”命令会收到同样的效果。
由于篇幅的关系,不能对Svchost全部功能进行详细介绍,这是一个Windows中的一个特殊进程,有兴趣的可参考有关技术资料进一步去了解它。
下面,我们通过一个实例来看一下木马程序是如何利用Svchost.exe进行启动的。这里,我选择了PortLess BackDoor
V1.2来做演示,这是一个使用Svchost.exe去启动,平时不开端口,可以进行反连接的后门程序(和小榕的BITS是同一类型的后门)。
为了看一下这个后门是如何利用Svchost.exe进行启动的,我们在运行软件之前,先给注册表做一个快照,这里我选择了Regshot
1.61e5
final版本,并将初始快照命名为1.hiv。然后我们将Portlessinst.exe和Svchostdll.dll(不要改名)上传到系统目录(%winnt%\system32目录中)。
接下来,进入命令行,使用“Portlessinst.exe -install ActiveString
Password”进行安装,这里的ActiveString就是连接那系统打开的端口后输入的验证字符串,这里的密码是使用正向连接你连接上后门打开的端口时需要输入的密码。比如,我输入如下:
portlessinst.exe –install smiler wind_003
这样就安装上去了,我们来看一下注册表里的变化。将1.hiv装载进Regshot中的1st shot,然后对当前的注册表做2st
shot的快照,然后使用compare进行比较,其比较的结果如下:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet
Explorer\PortLess\FdsnqbTsuni`: "tjnkbu"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet
Explorer\PortLess\Wfttphuc: "tofiXdo"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IPRIP\Security\Security:
01 00 14 80 A0 00 00 00 AC 00 00 00 14 00 00 00 30 00 00 00 02 00 1C
00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00
00 00 02 00 70 00 04 00 00 00 00 00 18 00 FD 01 02 00 01 01 00 00 00
00 00 05 12 00 00 00 63 00 6F 00 00 00 1C 00 FF 01 0F 00 01 02 00 00
00 00 00 05 20 00 00 00 20 02 00 00 6D 00 00 00 00 00 18 00 8D 01 02
00 01 01 00 00 00 00 00 05 0B 00 00 00 20 02 00 00 00 00 1C 00 FD 01
02 00 01 02 00 00 00 00 00 05 20 00 00 00 23 02 00 00 6D 00 00 00 01
01 00 00 00 00 00 05 12 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IPRIP\Parameters\ServiceDll:
"C:\WINNT\system32\Svchostdll.dll"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IPRIP\Parameters\program:
"SvchostDLL.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IPRIP\Parameters\Interactive:
0x00000000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IPRIP\Type:
0x00000020
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IPRIP\Start:
0x00000002
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IPRIP\ErrorControl:
0x00000001
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IPRIP\ImagePath:
"%SystemRoot%\System32\Svchost.exe -k netsvcs"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IPRIP\DisplayName:
"Intranet Services"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IPRIP\ObjectName:
"LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPRIP\Security\Security:
01 00 14 80 A0 00 00 00 AC 00 00 00 14 00 00 00 30 00 00 00 02 00 1C
00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00
00 00 02 00 70 00 04 00 00 00 00 00 18 00 FD 01 02 00 01 01 00 00 00
00 00 05 12 00 00 00 63 00 6F 00 00 00 1C 00 FF 01 0F 00 01 02 00 00
00 00 00 05 20 00 00 00 20 02 00 00 6D 00 00 00 00 00 18 00 8D 01 02
00 01 01 00 00 00 00 00 05 0B 00 00 00 20 02 00 00 00 00 1C 00 FD 01
02 00 01 02 00 00 00 00 00 05 20 00 00 00 23 02 00 00 6D 00 00 00 01
01 00 00 00 00 00 05 12 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPRIP\Parameters\ServiceDll:
"C:\WINNT\system32\Svchostdll.dll"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPRIP\Parameters\program:
"SvchostDLL.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPRIP\Parameters\Interactive:
0x00000000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPRIP\Type:
0x00000020
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPRIP\Start:
0x00000002
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPRIP\ErrorControl:
0x00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPRIP\ImagePath:
"%SystemRoot%\System32\Svchost.exe -k netsvcs"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPRIP\DisplayName:
"Intranet Services"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPRIP\ObjectName:
"LocalSystem"
可以看出,PortLess BackDoor
V1.2将自己注册为了服务IPRIP,它使用的启动参数是"%SystemRoot%\System32\Svchost.exe -k
netsvcs",它使用的DLL文件是"C:\WINNT\system32\Svchostdll.dll"。通过这里,我们就可以找到PortLess,将它使用的服务禁止掉,然后将对应的DLL文件删除,并将注册表中这些多出来的键值干掉,三下五除二就将Portless弄得一干二净!现在大家知道怎么清理掉用Svchost加载的后门了吧?!