मैंने svchost उच्च CPU उपयोग समस्या का विश्लेषण कैसे किया [बंद]


8

मेरी मशीन पर एक ट्रोजन द्वारा हमला किया गया था जो खुद को नेटवेस्क svchost प्रक्रिया में एक सेवा के रूप में प्रकट करता था। इस प्रक्रिया को प्रोसेस एक्सप्लोरर का उपयोग करके 'svchost -k netsvcs' के रूप में पहचाना जा सकता है।

जिन लक्षणों से मैं संकेत कर रहा था कि मेरी मशीन संक्रमित थी, वे थे:

    1. ईथर का उपयोग करके मैं अपनी मशीन से ईएसपीएन और ऑनलाइन म्यूजिक स्ट्रीमर जैसी विभिन्न वेबसाइटों पर गैर-रोक HTTP ट्रैफ़िक देख सकता था।
    2. आमतौर पर 10 से 15 मिनट के भीतर डॉ। वाटसन एक डायलॉग बॉक्स फेंक देते हैं, जो बताता है कि जेनेरिक होस्ट प्रक्रिया विफल हो गई थी।
    3. प्रोसेस एक्सप्लोरर ने संकेत दिया कि 'svchost -k netsvcs' 100% CPU ले रहा था।
    4. C: \ Documents and Settings \ NetworkService \ Local Settings \ Temporary Internet Files \ Content.IE5 में फ़ाइलें 'svchost -k netsvcs' प्रक्रिया द्वारा लॉक की गईं।

यहाँ मैंने वही किया है जो बिल्कुल सही है जो दोषी था।

सेवाओं की सूची जो Windows netsvcs svchost कंटेनर में स्टार्टअप पर चलेगी, इस प्रतिगामी स्थान पर प्राप्त की जा सकती है: HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ SvcHost \ netsvcs । MULTI_REG_SZ मान में प्रत्येक स्ट्रिंग, स्थित सेवा का नाम है: HKLM \ SYSTEM \ CurrentControlSet \ Services

Netsvcs में सूचीबद्ध प्रत्येक सेवा के लिए मैंने SvcHost में एक अलग प्रविष्टि बनाई और फिर सेवा के ImagePath को अपडेट करने के लिए संकेत दिया कि svchost को अब किस सेवा के तहत चलाया जाना चाहिए।

एक उदाहरण के रूप में - सेवा चलाने के लिए AppMgmt के तहत यह स्वयं svchost है जो हम निम्नलिखित करेंगे:

    1. SvcHost के तहत 'Appmgmt' नाम का एक नया मल्टी-स्ट्रिंग मूल्य बनाएं, जिसका मूल्य 'AppMgmt' है।
    2. SvcHost के तहत 'netsvcs' (आमतौर पर REG_DWORD: AuthenticationCapabilities = 12320 और REG_DWORD: CoInviseSecurityParam = 1) के तहत समान मानों के साथ 'appmgmt' नामक एक नई कुंजी बनाएं।
    3. CurrentControl \ Services \ AppMgmt के तहत ImagePath को% SystemRoot% \ system32 \ svchost.exe -k appmgmt में बदलें।

मैं netsvcs के तहत चलने वाली सभी तीस-कुछ सेवाओं पर उपरोक्त प्रक्रिया से गुजरा। इसने मुझे ठीक से इंगित करने की अनुमति दी कि ऊपर सूचीबद्ध लक्षणों के लिए कौन सी सेवा जिम्मेदार थी। सेवा को जानने के बाद प्रक्रिया एक्सप्लोरर का उपयोग करके यह निर्धारित करना आसान था कि कौन सी सेवा लॉक की गई और भरी हुई है और कौन सी रजिस्ट्री प्रविष्टियों का उपयोग किया गया है। उस डेटा के सभी होने के नाते यह मेरे mmachine से सेवा को हटाने के लिए एक सरल कदम था।

मुझे उम्मीद है कि यह पोस्ट एक संक्रमित svchost प्रक्रिया से प्रभावित किसी और के लिए उपयोगी है।


क्या आपको पता चला कि मैलवेयर क्या था?
सीयारन

मैं मालवेयर का नाम नहीं जानता। डीएलई और रजिस्ट्री में प्रवेश करता है जिसे मुझे हटाने की आवश्यकता प्रतीत होती है बेतरतीब ढंग से उत्पन्न (यानी सिस्टम 32 में fgtyu.dll)।
user64842
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.