Wie ich das Problem mit der hohen CPU-Auslastung von svchost analysiert habe [geschlossen]


8

Mein Computer wurde von einem Trojaner angegriffen, der sich als Dienst im Prozess netsvcs svchost manifestierte. Dieser Prozess kann mit Process Explorer als 'svchost -k netsvcs' identifiziert werden.

Die Symptome, die ich anzeigte, dass mein Gerät infiziert war, waren:

    1. Mit ethereal konnte ich den ununterbrochenen HTTP-Verkehr von meinem Computer zu verschiedenen Websites wie ESPN und Online-Musik-Streamern sehen.
    2. Normalerweise öffnet Dr. Watson innerhalb von 10 bis 15 Minuten ein Dialogfeld, in dem angezeigt wird, dass der generische Hostprozess fehlgeschlagen ist.
    3. Der Prozess-Explorer zeigte an, dass der Prozess 'svchost -k netsvcs' 100% CPU beansprucht.
    4. Dateien in C: \ Dokumente und Einstellungen \ NetworkService \ Lokale Einstellungen \ Temporäre Internetdateien \ Content.IE5 wurden vom Prozess 'svchost -k netsvcs' gesperrt.

Hier ist, was ich getan habe, um genau zu bestimmen, welcher Dienst der Schuldige war.

Die Liste der Dienste, die Windows beim Start im Container netsvcs svchost ausführen wird, finden Sie unter folgendem Speicherort: HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ SvcHost \ netsvcs . Jede Zeichenfolge im Wert MULTI_REG_SZ ist der Name eines Dienstes unter: HKLM \ SYSTEM \ CurrentControlSet \ Services .

Für jeden in netsvcs aufgelisteten Dienst habe ich einen eigenen Eintrag in SvcHost erstellt und dann den ImagePath des Dienstes aktualisiert, um anzugeben, unter welchem ​​svchost der Dienst jetzt ausgeführt werden soll.

Als Beispiel: Um den Dienst AppMgmt unter seinem eigenen svchost auszuführen, gehen wir wie folgt vor:

    1. Erstellen Sie unter SvcHost einen neuen Multi-String-Wert mit dem Namen 'appmgmt' mit dem Wert 'AppMgmt'.
    2. Erstellen Sie unter SvcHost einen neuen Schlüssel mit dem Namen 'appmgmt' mit den gleichen Werten wie unter 'netsvcs' (normalerweise REG_DWORD: AuthenticationCapabilities = 12320 und REG_DWORD: CoInitializeSecurityParam = 1).
    3. Ändern Sie unter CurrentControl \ Services \ AppMgmt ImagePath in% SystemRoot% \ system32 \ svchost.exe -k appmgmt.

Ich habe das obige Verfahren für alle dreißig Dienste durchlaufen, die unter netsvcs ausgeführt werden. Dadurch konnte ich genau bestimmen, welcher Dienst für die oben aufgeführten Symptome verantwortlich war. Wenn Sie den Dienst kennen, können Sie mithilfe des Prozess-Explorers leicht feststellen, welche Dateien der Dienst gesperrt und geladen hat und welche Registrierungseinträge er verwendet hat. Mit all diesen Daten war es ein einfacher Schritt, den Dienst von meiner Maschine zu löschen.

Ich hoffe, dieser Beitrag ist hilfreich für andere Personen, die von einem infizierten Svchost-Prozess betroffen sind.


Haben Sie herausgefunden, was die Malware war?
Ciaran

Ich kenne den Namen der Malware nicht. Die DLL- und Registrierungsentitäten, die ich löschen musste, schienen zufällig generiert zu sein (dh fgtyu.dll in system32).
user64842
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.