系统中一个svchost.exe的CPU达99%，是中了什么病毒？

我用ADSL上网，前几天染上病毒，用AVP更新病毒库后扫了两启启遍，病毒似乎都被消灭了，再用AVP扫没有发现病毒。
但现在只要ADSL一连上网，系统立即奇慢无比，看win2000的任务管理器，发现一个svchost.exe的CPU达99%，各位高人可知是什么病毒，如何清除？

上杀毒厂家的网站查查去。

　
揭开SVCHOST.exe进程之谜
双击鼠标左键自动滚屏，单击任意键停止滚屏！



责编: 滴滴
作者: 网友
日期: 2004-03-22

编者按：
svchost.exe是nt核心系统的非常重要的进程，对于2000、xp来说，不可或缺。很多病毒、木马也会调用它。所以，深入了解这个程序，是玩电脑的必修课之一。

svchost.exe是nt核心系统的非常重要的进程，对于2000、xp来说，不可或缺。很多病毒、木马也会调用它。所以，深入了解这个程序，是玩电脑的必修课之一。

大家对windows操作系统一定不陌生，但你是否注意到系统中“svchost.exe”这个文件呢？细心的朋友会发现windows中存在多个 “svchost”进程（通过“ctrl+alt+del”键打开任务管理器，这里的“进程”标签中就可看到了），为什么会这样呢？下面就来揭开它神秘的面纱。

发现

在基于nt内核的windows操作系统家族中，不同版本的windows系统，存在不同数量的“svchost”进程，用户使用“任务管理器”可查看其进程数目。一般来说，win2000有两个svchost进程，winxp中则有四个或四个以上的svchost进程（以后看到系统中有多个这种进程，千万别立即判定系统有病毒了哟），而win2003 server中则更多。这些svchost进程提供很多系统服务，如：rpcss服务（remote procedure call）、dmserver服务（logical disk manager）、dhcp服务（dhcp client）等。

如果要了解每个svchost进程到底提供了多少系统服务，可以在win2000的命令提示符窗口中输入“tlist -s”命令来查看，该命令是win2000 support tools提供的。在winxp则使用“tasklist /svc”命令。

svchost中可以包含多个服务

深入

windows系统进程分为独立进程和共享进程两种，“svchost.exe”文件存在于“%systemroot% system32”目录下，它属于共享进程。随着windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由 svchost.exe进程来启动。但svchost进程只作为服务宿主，并不能实现任何服务功能，即它只能提供条件让其他服务在这里被启动，而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢？

原来这些系统服务是以动态链接库（dll）形式实现的，它们把可执行程序指向 svchost，由svchost调用相应服务的动态链接库来启动服务。那svchost又怎么知道某个系统服务该调用哪个动态链接库呢？这是通过系统服务在注册表中设置的参数来实现。下面就以rpcss（remote procedure call）服务为例，进行讲解。

从启动参数中可见服务是靠svchost来启动的。

实例

以windows xp为例，点击“开始”/“运行”，输入“services.msc”命令，弹出服务对话框，然后打开“remote procedure call”属性对话框，可以看到rpcss服务的可执行文件的路径为“c:\\windows\\system32\\svchost -k rpcss”，这说明rpcss服务是依靠svchost调用“rpcss”参数来实现的，而参数的内容则是存放在系统注册表中的。

在运行对话框中输入“regedit.exe”后回车，打开注册表编辑器，找到[hkey_local_machine systemcurrentcontrolsetservicesrpcss]项，找到类型为“reg_expand_sz”的键“magepath”，其键值为“%systemroot%system32svchost -k rpcss”（这就是在服务窗口中看到的服务启动命令），另外在“parameters”子项中有个名为“servicedll”的键，其值为“% systemroot%system32rpcss.dll”，其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样 svchost进程通过读取“rpcss”服务注册表信息，就能启动该服务了。

解惑

因为svchost进程启动各种服务，所以病毒、木马也想尽办法来利用它，企图利用它的特性来迷惑用户，达到感染、入侵、破坏的目的（如冲击波变种病毒“w32.welchia.worm”）。但windows系统存在多个svchost进程是很正常的，在受感染的机器中到底哪个是病毒进程呢？这里仅举一例来说明。

假设windows xp系统被“w32.welchia.worm”感染了。正常的svchost文件存在于“c:\\windows\\system32”目录下，如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:\\windows\\system32\\wins”目录中，因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。windows系统自带的任务管理器不能够查看进程的路径，可以使用第三方进程管理软件，如“windows优化大师”进程管理器，通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径，一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。

由于篇幅的关系，不能对svchost全部功能进行详细介绍，这是一个windows中的一个特殊进程，有兴趣的可参考有关技术资料进一步去了解它。

讨论

并不是启动一个相关服务就多一个svchost进程的，而是根据命令参数分组，一般是一组服务就有一个svchost进程，如TT举例的那个c:\\windows\\system32\\svchost -k rpcss，这个属于rpcss组。

再加一个网址，估计有帮助。
http://www.hongnai.com/sjf/page2/weihu_x.htm

您现在的位置： 任征宇.net >> 文章 >> 问答栏目 >> 电脑诊所 >> 正文 2004年5月18日 星期二

  svchost.exe

svchost.exe

［ 作者：二胖    转贴自：本站原创    点击数：5952    更新时间：2004-2-18    文章录入：二胖 ］

我们办公室是2000的系统,有几台机器用一会就会出现SVCHOST.EXE出错,然后就不得不关闭,如果关闭时正用的OFFICE那就惨了,所有的资料就会自动关闭.都不让保存.我在网上查了说是SVCHOST.EXE被感染了,不过不知道是什么,还杀不了.

  网友评论：（只显示最新10条。评论内容只代表网友观点，与本站立场无关！）
* 游客『cqsf』于2004-4-6 1:13:09发表评论： 评分：5分
    可是我中的是Nachi 的c型，国内所有杀毒软件生产商的网站除了冠群金辰有介绍，其他的都没有介绍。http://news.ca-jc.com/20040216/00000304.html
但是http://www.sron.net/InfoView/Article_38.html却说svchost.exe是系统必须的。请问怎么解决阿？
*
游客『沉默火山』于2004-4-1 14:03:02发表评论： 评分：3分
    问题解决了吗？
*
游客『寂寞高手』于2004-3-26 22:07:17发表评论： 评分：5分
    如果你的系统中%Windir%\\system32\\drivers\\目录下存在svchost.exe文件，就表明你的系统已经被感染了。

病毒名称：Nachi.B

感染系统：Windows 2000, Windows XP

蠕虫信息：
    Nachi.B是Nachi蠕虫的一个最新变种，这个蠕虫会判断操作系统的版本，如果系统
    版本是中文简体、中文繁体、韩文、英文的话，蠕虫会试图从微软的update服务器
    上下载windows信使服务缓冲溢出漏洞与windows系统的Workstation服务缓冲溢出漏洞
    的补丁程序安装并重新启动系统。
        
         同时这个蠕虫还会清除W32.Mydoom.A@mm 和W32.Mydoom.B@mm蠕虫。
        
Nachi.B蠕虫利用了以下几个漏洞进行传播：
    1、Microsoft RPC接口远程任意代码可执行漏洞，
       漏洞使用TCP 135端口。如果操作系统是winxp，蠕虫会使用该漏洞传播。
    2、Microsoft IIS 5.0缓冲区溢出漏洞,
       漏洞使用TCP 80端口。如果系统中安装有IIS5.0的话，蠕虫会利用这个漏洞传播。
    3、windows系统的Workstation服务缓冲溢出漏洞，
      漏洞使用TCP 445端口。
    4、Microsoft Windows Locator服务远程缓冲区溢出漏洞，
       漏洞使用TCP 445端口，如果系统是win2000，蠕虫会利用该漏洞传播。

一旦系统被感染，蠕虫将做以下操作：

1、在系统中创建一个名为WksPatch_Mutex的互斥体，该互斥体存在的目的是为了保证系统进
   程中始终有且只有一个蠕虫进程在运行。

2、将自身拷贝成%System%\\drivers\\svchost.exe (注：%Windir%是一个变数，根据系统
   安装的目录路径而改变，默认情况下是c:\\windows或c:\\winnt)

3、创建一个系统服务：
   服务名：WksPatch
   服务程序：%System%\\drivers\\svchost.exe
   服务描述：由%string1% %string2% %string3%三个字符组成，字符串内容随机从下 表中抽取。
   A、字符串%string1%
      System
      Security
      Remote
      Routing
      Performance
      Network
      License
      Internet
   B、字符串%string2%
      Provider
      Sharing
      Messaging
      Client
   C、字符串%string3%
      Provider
      Sharing
      Messaging
      Client
   举例说明：构造好的服务描述名可能是Security Logging Sharing

4、删除服务名为RpcPatch的服务，如果它存在的话。（注：这个服务是Nachi蠕虫留下的）

5、检测注册表中是否有W32.Mydoom.A@mm 和W32.Mydoom.B@mm蠕虫创建的下列表项：
   HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ComDlg32\\Version
   HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ComDlg32\\Version
      
6、如果通过上述检测发现系统中存在W32.Mydoom.A@mm 和W32.Mydoom.B@mm 蠕虫的话，该蠕
   虫将做以下操作：
   a、删除下列文件
      %System%\\ctfmon.dll
      %System%\\Explorer.exe
      %System%\\shimgapi.dll
      %System%\\TaskMon.exe
   b、删除注册表
      HEKY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
      项中的Taskmon值
      删除注册表
      HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
     项中的Taskmon值
    c、恢复注册表
       HKEY_CLASSES_ROOT\\CLSID\\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\\InProcServer32
       项中的值为\"@\"=\"%SystemRoot%\\System32\\webcheck.dll\"
    d、重写HOSTS文件的内容为：
       #
       #
       127.0.0.1 localhost

7、创建随机的IP地址，并向这些地址发送攻击数据包，攻击数据包括以下这些：
    a、发往TCP 135端口利用Microsoft RPC接口远程任意代码可执行漏洞的数据包
    b、发往TCP 80端口利用IIS5.0的WEBDAV漏洞的数据包
    c、发往TCP 445端口利用Workstation服务缓冲溢出漏洞的数据包
    d、发往TCP 445端口利用Locator服务远程缓冲区溢出漏洞的数据包
      
8、运行HTTP服务在一个随机的端口，使得其他机器可以到被感染的机器下载蠕虫。

9、如果被感染的系统为日文系统，蠕虫会搜寻IIS的虚拟目录和%Windir%\\Help\\\\IISHelp\\common目
   录中的带有下列后缀的文件：.

     .shtml
     .shtm
     .stm
     .cgi
     .php
     .html
     .htm
     .asp

10、将上述查找到的文件覆盖成下面这个.htm文件：


11、如果系统版本是中文简体，中文繁体，韩文，英文的话，蠕虫将从微软的update站点下载
    下列补丁程序：  
   download.microsoft.com/download/4/d/3/4d375d48-04c7-411f-959b-3467c5ef1e9a/
   WindowsXP-KB828035-x86-CHS.exe

   download.microsoft.com/download/a/4/3/a43ea017-9abd-4d28-a736-2c17dd4d7e59/
   WindowsXP-KB828035-x86-KOR.exe

   download.microsoft.com/download/e/a/e/eaea4109-0870-4dd3-88e0-a34035dc181a/
   WindowsXP-KB828035-x86-ENU.exe

   download.microsoft.com/download/9/c/5/9c579720-63e9-478a-bdcb-70087ccad56c/
   Windows2000-KB828749-x86-CHS.exe

   download.microsoft.com/download/0/8/4/084be8b7-e000-4847-979c-c26de0929513/
   Windows2000-KB828749-x86-KOR.exe

   download.microsoft.com/download/3/c/6/3c6d56ff-ff8e-4322-84cb-3bf9a915e6d9/
   Windows2000-KB828749-x86-ENU.exe

12、安装补丁程序然后重新启动系统。

13、满足下列条件之一，蠕虫将自动删除：
    a、系统日期为2004年6月1号以后
    b、蠕虫在系统上运行了120天

解决办法：
一、使用专杀工具
    你可以到我们的网站上下载专杀工具：   FixWelch.exe.
    下载后请关闭其他应用程序后运行该专杀工具。

二、手动查杀
   1、关闭系统的自动恢复功能(winxp自带的功能)
   2、升级你的杀毒软件到最新的病毒库
   3、重新启动系统到安全模式下
   4、使用杀毒软件进行全盘扫描，发现病毒程序选择删除
   5、重新启动系统

*
游客『于波』于2004-3-22 20:44:13发表评论： 评分：3分
    你们有什么的办法吗请告诉我,谢谢了
*
游客『chao』于2004-3-20 14:02:05发表评论： 评分：3分
    我也碰到这种问题了，最后的解决办法是重装系统了

真拿它没办法#83
*
会员『任征宇』于2004-2-20 9:19:03发表评论： 评分：3分
    据我所知,SVCHOST.exe是Service Host的意思,它掌管“服务”的运行。如果它被染毒，是很大的事情。杀起来可能也有一定的困难。估计要重装系统，最重要是安全补丁。因为这很可能是由网络传来的。因为我也没有遇到过，所以也帮不了你。

病毒报告：“震荡波杀手”（Worm.Cycle.a）

www.rising.com.cn   2004-5-11 15:04:00
信息源:瑞星公司

 发现日期：5月11日

    利用微软的LSASS漏洞进行传播，该病毒会清除“震荡波”和“冲击波”，但同样会造成网络堵塞和系统异常重启，传播感染速度可能会非常快。另外，病毒在系统时间为5月18日时，对BBC.COM、BBCNEWS.com和IRNA.com(伊斯兰共和新闻社)进行拒绝服务攻击。从病毒体里留下的信息来看，该病毒的作者可能是对伊朗政府不满的人，他在病毒里公布信息说对伊朗的人权和自由不满意，以病毒攻击的方式来进行发泄。
    一、病毒评估

    1．病毒中文名：震荡波杀手
    2．病毒英文名：Worm.Cycle.a
    3．病毒别名： W32.Cycle(Symantec)
    4．病毒大小：10,240字节
    5．病毒类型：蠕虫病毒
    6．病毒危险等级：★★★★
    7．病毒传播途径：网络,文件感染
    8．病毒依赖系统：Windows NT/2000/XP
    二、技术细节

    病毒运行后将自己复制到%WINDIR%\\system目录下，文件名：svchost.exe并在注册表HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run及HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Ru中加入自己的键值：Generic Host Service，病毒也将自己注册成服务以这些方式达到随系统启动而运行的目的。

    病毒将建立一些病毒使用的互斥量，使中了该病毒的系统将对一些病毒有免疫力。这些互斥量为：Jobaka3、Jobaka3l、SkynetSasserVersionWithPingFast、JumpallsNlsTillt当病毒发现系统进程存在以下进程名时将杀死该进程：msblast.exe、avserve.exe、avserve2.exe、skynetave.exe接着病毒将启动一些功能线程实现病毒的一些动作。

    1.tftp服务器：

    病毒将监听69端口，实现一个tftp服务器。用来在利用漏洞攻击成功时把病毒文件传到被攻击系统上以达到传播的目标。

     2.利用漏洞对和当前系统存在连接的系统进行攻击

    病毒得到所有已和当前系统建立TCP联接的系统地址，并尝试利用漏洞MS-4011对其进行攻击。

     3.后门：

    病毒在监听TCP的 3332端口，以实现一个后门服务。（该功能没有完成，可能在下一个版本里进行完善。）

    4.对局域网进行攻击

    病毒得到当前系统的IP地址，并以此为基数进行计算，尝试利用漏洞MS-4011对其得到的ip地址进行攻击。

    5.Dos攻击

    当系统时间为5月18号以后时，病毒将对www.irna.com或www.bbc.com,www.bbcnews.com发动dos攻击.

    6.病毒还将在%WINDIR%目录下生成一个名为：cyclone.txt的文件文件内容为：

Hi,My name is Cyclone and I live in Iran,
and I want to speak with you about problems that we have in iran:
A.In Iran we don\'t have any kind of freedom, because we have islamic republic in iran:
   1.we can\'t speak freely about regime, we can\'t speak even a little bit against them!!!
   2.I have to be a moslem otherwise they don\'t care about me!
   3.we CAN\'T even wear the clothes and styles that we wants!
   4.women MUST wear a cloth that no one can even see their hair!!!
   5.they do not allow our national celebrations to be held, they beat us!!
   6.Many more...
B.The human rights is not implemented in Iran and there is no justice,
   1.Lynch is very common in Iran. If you are against the regime then you may silently killed, or if there is a tribunal, you can\'t say anything, everyone works against you there.
   2.1985-1990, the Islamic Republic of IRAN has been killed more than 10,000 Iranian youngs. that has been comfirmed by the documentations! This people killed without any tribunal or any proof.
   3.there is a punishment that is used so much during this years, in this punishment, the person who must be killed stand in a hole then others attack him with stones, this will continue until he/she dead. there is some pictures and videos that shows this terrible torture!
   4.Many more...
C.Misery and poverty grows in Iran, because the islamic republic leaders steal the money, they stolen the money that provided by selling oil, and then the people must die because they don\'t have enough money to even buy a bread!!!
D.Misery and poverty cause vice to grow, you see many young people in Iran using drugs and I think this is also a trick by the government to not allow us to arise against them!
E.Islamic republic gave Iran a bad name. before islamic republic we can travel        
anywhere in the world without any problem but now we have so much problems if we want to travel a foreign country, anyone think that we are terrorist. THE PEOPLE OF IRAN ARE NOT TERRORIST, THE ISLAMIC REPUBLIC OF IRAN IS TERRORIST.
The people of Iran trying to arise, but failed to do. About one year ago, Iranian people try to say to the world that we don\'t need Islamic republic but the government and police beat the people who try to tell the truth and they killed some people.
You see that they don\'t even care about their own people, think what happen if they gain access to an ATOMIC BOMB!!! it\'s very dangerous for the world.
With all of this conditions and injustices, european governments still support islamic republic, they say that they just care about their own country!
and I want to show them our WRATH!
All of the european people are my friends and I never want to harm them, just government and the Politicians!
If you protest against iraq war and say why there must be a war against iraq, and if you do this for humanity, please do anything that you can do for helping iranian people.
at least make your country not to support islamic republic anymore, I\'m deadly sure that if european countries do not support islamic republic. it will be destroyed after 3-6 months!
so please help!I don\'t want to damage, I just want my country to grow, to improve!!! I have no other way to tell this words to world, sorry!!

    三、解决方案
    1. 进行升级

    瑞星公司将于当天进行升级，升级后的软件版本号为16.26.10，该版本以上的瑞星杀毒软件可以彻底查杀此病毒，瑞星杀毒软件标准版和网络版的用户可以直接登陆瑞星网站（http://www.rising.com.cn/）下载升级包进行升级，或者使用瑞星杀毒软件的“智能升级”功能。

    2. 使用在线杀毒和下载版

    用户还可以使用瑞星公司的在线杀毒与下载版产品清除该病毒，这两款产品有多种支付途径，用户可以登陆网址：http://online.rising.com.cn/来使用在线杀毒产品，或者登陆网址： http://go.rising.com.cn/来使用下载版产品。


    3. 打电话求救

    如果遇到关于该病毒的其它问题，用户可以随时拨打瑞星反病毒急救电话：010-82678800来寻求反病毒专家的帮助！


    4. 手动清除

    （1） 打开注册表编辑器,删除如下键值<如果存在的话>:
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
\"Generic Host Service\"=\"%WINDIR%\\system\\svchost.exe\"
    （2）打开任务管理器查看是否存在进程名为: svchost.exe（文件为%WINDIR%\\system\\svchost.exe）终止它

    （3）将%WINDIR%\\system目录下的文件: svchost.exe删除

     注:%SYSDIR%位Windows系统的安装目录，在Windows 9X/ME/XP下默认为:C:\\WINDOWS\\SYSTEM,Win2K下默认为:C:\\WINNT\\SYSTEM32。

   四、安全建议：

    1. 建立良好的安全习惯。例如：不要轻易打开一些来历不明的邮件及附件，不要上一些不太了解的网站，不要运行从互联网上下载的未经杀毒处理的软件等，这些必要的习惯会使您的计算机更加安全。

    2. 关闭或删除系统中不需要的服务。默认情况下，操作系统会安装一些辅助服务，如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便，而又对用户没有太大作用，如果删除它们，就能大大减少被攻击的可能性，增强电脑的安全。

    3. 经常升级安全补丁。据统计，大部分网络病毒都是通过系统安全漏洞进行传播的，象冲击波、大无极、SCO炸弹、网络天空等。漏洞的存在，会造成杀毒杀不干净的状况，所以应该定期到微软网站去下载最新的安全补丁，堵住系统的漏洞。

    4. 使用复杂的密码。有许多网络病毒是通过猜测简单密码的方式攻击系统的，因此使用复杂的密码，将会大大提高计算机的安全系数，减少被病毒攻击的概率。

    5. 迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源，再次感染其它计算机。

    6. 了解一些病毒知识。这样您就可以及时发现新病毒并采取相应措施，在关键时刻使自己的计算机免受病毒破坏。如果能了解一些注册表知识，就可以定期看一看注册表的自启动项是否有可疑键值；如果能了解一些内存知识，就可以经常看看内存中是否有可疑程序。

    7. 最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天，使用毒软件进行防毒，是越来越经济的选择，不过用户在安装了反病毒软件之后，应该经常进行升级、将一些主要监控打开（如邮件监控）、遇到问题要及时上报， 这样才能真正保障计算机的安全。


报告人：LiuGang

**********************
看来你中了“震荡波杀手”
**********************

更新过病毒库了，应该可以杀死“震荡波杀手”的啊

我用ADSL上网，前几天染上病毒，用AVP更新病毒库后扫了两启启遍，病毒似乎都被消灭了，再用AVP扫没有发现病毒。
但现在只要ADSL一连上网，系统立即奇慢无比，看win2000的任务管理器，发现一个svchost.exe的CPU达99%，各位高人可知是什么病毒，如何清除？
 

我也老遇到这些问题，我觉得是这样的，有时可能是局域网内其他电脑攻击你，导致占用很多资源。反正我是重新启动一下就好了。