为什么我的进程列表中有多个svchost.exe项在同时运行?

时间:2021-05-06 05:51:39
我用的是win2000专业版的系统,最近我在无意中发现在“任务管理器”中的“进程”列表中同时运行着多个“svchost.exe”,上网找了关于“svchost.exe”的相关资料,发现它是黑客或者木马攻击的对象,我的计算机是不是也被攻击了啊?

10 个解决方案

#1


计算机管理-》服务,可以看到很多服务是svchost提供,有些可以停止掉

#2


这是正常的进程

#3


正常的现象。

#4


正常,你可以看一下这篇文章:
http://article.pchome.net/2004/03/19/18012.htm

#5


Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位 
  在系统的%systemroot%\system32文件夹下。在启动的时候,Svchost.exe检查注册表中的位置来构建需要 
  加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务, 
  以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。 
   
   Svchost.exe 组是用下面的注册表值来识别。 
   
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost 
  每个在这个键下的值代表一个独立的Svchost组,并且当你正在看活动的进程时,它显示作为一个单独的 
  例子。每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。每个Svchost组都包含一个 
  或多个从注册表值中选取的服务名,这个服务的参数值包含了一个ServiceDLL值。 
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service 
   
  更多的信息 
  为了能看到正在运行在Svchost列表中的服务。 
  开始-运行-敲入cmd 
  然后在敲入 tlist -s (tlist 应该是win2k工具箱里的冬冬) 
   Tlist 显示一个活动进程的列表。开关 -s 显示在每个进程中的活动服务列表。如果想知道更多的关于 
  进程的信息,可以敲 tlist pid。 
   
   Tlist 显示Svchost.exe运行的两个例子。 
   0 System Process 
   8 System 
   132 smss.exe 
   160 csrss.exe Title: 
   180 winlogon.exe Title: NetDDE Agent 
   208services.exe 
   Svcs: AppMgmt, Browser, Dhcp, dmserver, Dnscache, Eventlog, lanmanserver, LanmanWorkstation, LmHosts, Messenger, PlugPlay, ProtectedStorage, seclogon, TrkWks, W32Time, Wmi 
   220 lsass.exe Svcs: Netlogon,PolicyAgent,SamSs 
   404 svchost.exe Svcs: RpcSs 
   452 spoolsv.exe Svcs: Spooler 
   544 cisvc.exe Svcs: cisvc 
   556 svchost.exe Svcs: EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv 
   580 regsvc.exe Svcs: RemoteRegistry 
   596 mstask.exe Svcs: Schedule 
   660 snmp.exe Svcs: SNMP 
   728 winmgmt.exe Svcs: WinMgmt 
   852 cidaemon.exe Title: OleMainThreadWndName 
   812 explorer.exe Title: Program Manager 
   1032 OSA.EXE Title: Reminder 
   1300 cmd.exe Title: D:\WINNT5\System32\cmd.exe - tlist -s 
   1080 MAPISP32.EXE Title: WMS Idle 
   1264 rundll32.exe Title: 
   1000 mmc.exe Title: Device Manager 
   1144 tlist.exe 
  在这个例子中注册表设置了两个组。 
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost: 
   netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc 
   rpcss :Reg_Multi_SZ: RpcSs 

    一般3~5个是正常的

#6


正常正常,只要你的机子速度没有问题,就不要担心。

#7


如果它还战用CPU的话,不怀疑是冲击波和震荡波病毒

#8


如果你的电脑速度很慢,一定是冲击波和震荡波病毒,到微软网站上捎一下冲击波和震荡波几个字,然后下载相应的程序,就可以了,我刚搞定,我格式化了重装都不行,下了一个软件就好了.

#9


svchost 的cpu占有率问题:

svchost.exe 是启动DLL服务的主进程,从任务管理器中就可以看出,一般是多个被启动。要想解决此问题首先必须判断哪一服务组浪费了资源。 
您好像是Windows XP,具体做法是: 

1。在运行中输入 cmd 
2。在命令提示符输入 tasklist -svc。 
3。判明是哪组服务浪费了资源后,输入net stop <服务名> 逐个停止服务,就可判明是哪个服务的问题。 
注:Windows XP Home Edition 没有 tasklist 命令。 

System Idle Process是CPU没有任务时所执行的 空进程,所以在没有执行消耗CPU资源的程序时,总是维持在近100%的使用率。 
(比如:如果System Idle Process是 99%的话,那么CPU 只是使用了1%。) 
微软警告universal plug play存在严重安全漏洞 

  在Universal Plug and Play服务中的三个漏洞,它们使得硬件自动探测一个网络环境,从而将你机器的所有主管权交给一个恶意的第三方,微软警告说。 

  第一,也是至今为止最大的危险是,在一个处理通报指示的未检查缓冲,这个影像了win98 me,以及windows最安全的操作系统,win xp。通过发送一个恶意的通报指示,一个攻击者能够在UPnP服务中运行代码,这个服务使用的是xp系统级特权,以及在98么ME上需要操作系统的权利。这就使得攻击者能够拥有整个系统。 

  其次,一个拒绝服务漏洞使得一个攻击者发送一个通报指示教一个有UPnP服务的机器,使得它从一个特定的服务器的特定端口下载它需要的部分。如果服务器打算回应这个要求,它们目标机器将处于无休止的循环中,最终耗尽所有的资源,最终的方式就是重起。 

  第三,一个攻击者能够使用拒绝式服务攻击漏洞来发送一个通报指示给很多的机器,并且使它们转向一个第三方服务器,这个服务器会马上塞满伪造的请求,并且可能超载。 

  UPnP的服务是自动出现在winxp和ME上的(虽然在Me上不是默认的设定),并且在win98上面,只有使用了因特网连接共享才会启动这个功能,但是,你没有启动这个功能并不意味着你是安全的,如果你是一个OEM版本的系统的话。这可能由厂家自动使用了;所以如果你感到疑惑的话,一定要下载正确的补叮

#10


一般的这种进程在3-5个,如果太多了就要考虑是否中毒了

#1


计算机管理-》服务,可以看到很多服务是svchost提供,有些可以停止掉

#2


这是正常的进程

#3


正常的现象。

#4


正常,你可以看一下这篇文章:
http://article.pchome.net/2004/03/19/18012.htm

#5


Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位 
  在系统的%systemroot%\system32文件夹下。在启动的时候,Svchost.exe检查注册表中的位置来构建需要 
  加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务, 
  以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。 
   
   Svchost.exe 组是用下面的注册表值来识别。 
   
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost 
  每个在这个键下的值代表一个独立的Svchost组,并且当你正在看活动的进程时,它显示作为一个单独的 
  例子。每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。每个Svchost组都包含一个 
  或多个从注册表值中选取的服务名,这个服务的参数值包含了一个ServiceDLL值。 
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service 
   
  更多的信息 
  为了能看到正在运行在Svchost列表中的服务。 
  开始-运行-敲入cmd 
  然后在敲入 tlist -s (tlist 应该是win2k工具箱里的冬冬) 
   Tlist 显示一个活动进程的列表。开关 -s 显示在每个进程中的活动服务列表。如果想知道更多的关于 
  进程的信息,可以敲 tlist pid。 
   
   Tlist 显示Svchost.exe运行的两个例子。 
   0 System Process 
   8 System 
   132 smss.exe 
   160 csrss.exe Title: 
   180 winlogon.exe Title: NetDDE Agent 
   208services.exe 
   Svcs: AppMgmt, Browser, Dhcp, dmserver, Dnscache, Eventlog, lanmanserver, LanmanWorkstation, LmHosts, Messenger, PlugPlay, ProtectedStorage, seclogon, TrkWks, W32Time, Wmi 
   220 lsass.exe Svcs: Netlogon,PolicyAgent,SamSs 
   404 svchost.exe Svcs: RpcSs 
   452 spoolsv.exe Svcs: Spooler 
   544 cisvc.exe Svcs: cisvc 
   556 svchost.exe Svcs: EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv 
   580 regsvc.exe Svcs: RemoteRegistry 
   596 mstask.exe Svcs: Schedule 
   660 snmp.exe Svcs: SNMP 
   728 winmgmt.exe Svcs: WinMgmt 
   852 cidaemon.exe Title: OleMainThreadWndName 
   812 explorer.exe Title: Program Manager 
   1032 OSA.EXE Title: Reminder 
   1300 cmd.exe Title: D:\WINNT5\System32\cmd.exe - tlist -s 
   1080 MAPISP32.EXE Title: WMS Idle 
   1264 rundll32.exe Title: 
   1000 mmc.exe Title: Device Manager 
   1144 tlist.exe 
  在这个例子中注册表设置了两个组。 
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost: 
   netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc 
   rpcss :Reg_Multi_SZ: RpcSs 

    一般3~5个是正常的

#6


正常正常,只要你的机子速度没有问题,就不要担心。

#7


如果它还战用CPU的话,不怀疑是冲击波和震荡波病毒

#8


如果你的电脑速度很慢,一定是冲击波和震荡波病毒,到微软网站上捎一下冲击波和震荡波几个字,然后下载相应的程序,就可以了,我刚搞定,我格式化了重装都不行,下了一个软件就好了.

#9


svchost 的cpu占有率问题:

svchost.exe 是启动DLL服务的主进程,从任务管理器中就可以看出,一般是多个被启动。要想解决此问题首先必须判断哪一服务组浪费了资源。 
您好像是Windows XP,具体做法是: 

1。在运行中输入 cmd 
2。在命令提示符输入 tasklist -svc。 
3。判明是哪组服务浪费了资源后,输入net stop <服务名> 逐个停止服务,就可判明是哪个服务的问题。 
注:Windows XP Home Edition 没有 tasklist 命令。 

System Idle Process是CPU没有任务时所执行的 空进程,所以在没有执行消耗CPU资源的程序时,总是维持在近100%的使用率。 
(比如:如果System Idle Process是 99%的话,那么CPU 只是使用了1%。) 
微软警告universal plug play存在严重安全漏洞 

  在Universal Plug and Play服务中的三个漏洞,它们使得硬件自动探测一个网络环境,从而将你机器的所有主管权交给一个恶意的第三方,微软警告说。 

  第一,也是至今为止最大的危险是,在一个处理通报指示的未检查缓冲,这个影像了win98 me,以及windows最安全的操作系统,win xp。通过发送一个恶意的通报指示,一个攻击者能够在UPnP服务中运行代码,这个服务使用的是xp系统级特权,以及在98么ME上需要操作系统的权利。这就使得攻击者能够拥有整个系统。 

  其次,一个拒绝服务漏洞使得一个攻击者发送一个通报指示教一个有UPnP服务的机器,使得它从一个特定的服务器的特定端口下载它需要的部分。如果服务器打算回应这个要求,它们目标机器将处于无休止的循环中,最终耗尽所有的资源,最终的方式就是重起。 

  第三,一个攻击者能够使用拒绝式服务攻击漏洞来发送一个通报指示给很多的机器,并且使它们转向一个第三方服务器,这个服务器会马上塞满伪造的请求,并且可能超载。 

  UPnP的服务是自动出现在winxp和ME上的(虽然在Me上不是默认的设定),并且在win98上面,只有使用了因特网连接共享才会启动这个功能,但是,你没有启动这个功能并不意味着你是安全的,如果你是一个OEM版本的系统的话。这可能由厂家自动使用了;所以如果你感到疑惑的话,一定要下载正确的补叮

#10


一般的这种进程在3-5个,如果太多了就要考虑是否中毒了