發信人: sasasa.bbs@whshs.cs.nccu.edu.tw (我是路人---來亂的)
日期: 28 Nov 2004 11:11:42 GMT
標題: svchost...
信群: tw.bbs.comp.virus    看板: virus/A10QJCJE
來源: <4FPENU$7PI@whshs.cs.nccu.edu.tw>:42781, whshs.cs.nccu.edu.tw
組織: 政大狂狷年少

我無聊把某一個svchost終止程序後
就發生了讓人懷念的小視窗
60秒重開機...
請問這是代表電腦裡面還有病毒殘留嗎?
--
   [1;37m╔═══╗  [m┼────────────────────────╮[m
   [1;37m║[33m狂狷  [37m║  [m│[1;37m＊ [35mOrigin：[1;32m[ 狂 狷 年 少 ] whshs.cs.nccu.edu.tw[m ╰─╮
   [1;37m║  [33m年少[37m║[m  ┼╮                         [1;33m< IP：140.119.164.16 >[0;37m   ╰─╮
   [1;37m╚╦═╦╝  [m  ╰ [1;37m ＊[36m From[1;30m：sw169-174-11.adsl.seed.net.tw             [m
[1;37;44m   ─╨─╨─ [33mＫＧＢＢＳ[37m ─  [32m◎[36m 遨翔"BBS"的[4;37m狂狷[m[1;36;44m不馴；屬於[4;37m年少[;1;36;44m的輕狂色彩 [32m◎  [m


>----------------------------------------------------------------------------<
發信人: chis.bbs@bbs.npttc.edu.tw (11/29語教系童心未泯)
日期: 28 Nov 2004 11:39:59 GMT
標題: Re: svchost...!?
信群: tw.bbs.comp.virus    看板: Virus/A10QJE8F
來源: <4FPFAl$4S5@bbs.npttc.edu.tw>:42782, bbs.npttc.edu.tw
組織: MYBBS


我也很想知道那到底是什麼...

  因為它不只出現一個

  而是好幾個

  被不同的使用者管理著......

  那到底是什麼鼕鼕ㄋ?????????????


※ 引述《sasasa.bbs@whshs.cs.nccu.edu.tw (我是路人---來亂的)》之銘言：
> 我無聊把某一個svchost終止程序後
> 就發生了讓人懷念的小視窗
> 60秒重開機...
> 請問這是代表電腦裡面還有病毒殘留嗎?
--

  ~~~~~~~~許多的情緒糾結成一團積在心中就叫 [記憶]~~~~~~~~
   何妨，我們試圖留下那些未綁死的結；放下那些打不開的結。
   如此，我們都可以快樂一點、平靜一些……。
  ~~~~~~~~~~~回首來時蕭瑟處    也無風雨也無晴~~~~~~~~~~~~

--
[1;32m※ Origin: [33m屏東師院  木瓜園 [37m<bbs.npttc.edu.tw> [m
[1;32m※ From  : [36m172.18.6.31[m

>----------------------------------------------------------------------------<
發信人: heyyou0119.bbs@bbs.badcow.com.tw (毛  \(￣▽￣)
日期: 28 Nov 2004 13:39:57 GMT
標題: Re: svchost...!?
信群: tw.bbs.comp.virus    看板: Virus
來源: <4FPIGF$JLZ@bbs.badcow.com.tw>:42784, 
組織: 不良牛牧場

我想知道處理程序中那一堆東西到底是什麼...
有一次無聊亂關...
結果桌面的東西全不見了..= =
※ 引述《chis.bbs@bbs.npttc.edu.tw (11/29語教系童心未泯)》之銘言：
: 我也很想知道那到底是什麼...
:   因為它不只出現一個
:   而是好幾個
:   被不同的使用者管理著......
:   那到底是什麼鼕鼕ㄋ?????????????
: ※ 引述《sasasa.bbs@whshs.cs.nccu.edu.tw (我是路人---來亂的)》之銘言：
: > 我無聊把某一個svchost終止程序後
: > 就發生了讓人懷念的小視窗
: > 60秒重開機...
: > 請問這是代表電腦裡面還有病毒殘留嗎?
--
[1m╭──── [31mO[32mr[33mi[34mg[35mi[36mn[m:[1;36m<不良牛牧場>[33m bbs.badcow.com.tw [32m(210.200.247.200)[37m─────╮[m
[1m│        [5;33m ↘ [;1;32;40mWelcome to SimFarm BBS [37m-- [31mFrom : [[37m140.120.235.31[31m][37;40m             │[m
[1m╰[;32;40m◣◣[1m◢ ◢◢[34m《[37m不良牛免費撥接→電話:[36m40586000[37m→帳號:[36mzoo[37m→密碼:[36mzoo[34m》[;32;40m ◣◣[1m◢ [37m─╯[m

>----------------------------------------------------------------------------<
發信人: jsz.bbs@bbs.kimo.com.tw ()
日期: 28 Nov 2004 15:23:52 GMT
標題: Re: svchost...!?
信群: tw.bbs.comp.virus    看板: virus/A10QJRC8
來源: <4FPL2e$74t@bbs.kimo.com.tw>:42794, 210.59.145.177
組織: Yahoo!奇摩大摩域

※ 引述《sasasa.bbs@whshs.cs.nccu.edu.tw (我是路人---來亂的)》之銘言：
> 我無聊把某一個svchost終止程序後
> 就發生了讓人懷念的小視窗
> 60秒重開機...
> 請問這是代表電腦裡面還有病毒殘留嗎?

[1;33m全面瞭解系統中 svchost.exe 文件[m


筆者經常在一些反病毒論壇上瀏覽時，發現一些朋友對任務管理器中的svchost進程不甚
瞭解，看見存在許多svchost進程就以為自己中了病毒，其實不然。

svchost.exe是NT核心繫統非常重要的文件，對於Win2000/XP來說，不可或缺。
這些svchost進程提供很多系統服務，如：rpcss服務（remote procedure call）
、dmserver服務（logical disk manager）、dhcp服務（dhcp client）等等。

如果要瞭解每個svchost進程到底提供了多少系統服務，可以在WinXP的命令提示符窗口
中輸入「tasklist /svc」命令來查看。

[1;37m工作原理[m

一般來說，Windows系統進程分為獨立進程和共享進程兩種。
svchost.exe文件存在於%systemroot%\system32目錄下，屬於共享進程。

隨著Windows系統服務不斷增多，為了節省系統資源，微軟把很多服務都做成共享方式
，交由svchost進程來啟動。但svchost進程只作為服務宿主，並不能實現任何服務功能
，即它只能提供條件讓其他服務在這裡被啟動，而它自己卻不能給用戶提供任何服務。

這些服務是如何實現的呢?原來這些系統服務是以動態鏈接庫（dll）形式實現的
，它們把可執行程式指向svchost，由svchost調用相應服務的動態鏈接庫來啟動服務。

那svchost又怎麼知道某個系統服務該調用哪個動態鏈接庫呢?這是通過系統服務
在註冊表中設置的參數來實現的。

[1;37m具體實例[m

下面以Remote Registry服務為例，來看看svchost進程是如何調用DLL文件的。
在WinXP中，點擊「開始→運行」，輸入「services.msc」命令，會彈出服務對
話框，然後打開「Remote Registry」屬性對話框，可以看到Remote Registry
服務的可執行文件的路徑為「C:\Windows\System32\svchost -k LocalService」
（圖1），這說明Remote Registry服務是依靠svchost調用「LocalService」參數
來實現的，而參數的內容則是存放在系統註冊表中的。

在運行對話框中輸入「regedit.exe」後回車，打開註冊表編輯器，找到
「HKEY_LOCAL_MACHINE\System\currentcontrolset\services\Remote Registry」項
，再找到類型為「reg_expand_sz」的「Imagepath」項，其鍵值為
「%systemroot%\system32\svchost -k LocalService」（這就是在服務窗口中看到
的服務啟動命令），另外在「parameters」子項中有個名為「ServiceDll」的鍵
，其值為「% systemroot%\system32\regsvc.dll」，其中「regsvc.dll」就是
Remote Registry服務要使用的動態鏈接庫文件。這樣svchost進程通過讀取
「Remote Registry」服務註冊表訊息，就能啟動該服務了。

也正是因為svchost的重要性，所以病毒、木馬也想盡辦法來利用它，企圖利用它
的特性來迷惑用戶，達到感染、入侵、破壞的目的。那麼應該如何判斷到底哪個是
病毒進程呢?正常的svchost.exe文件應該存在於「C:\Windows\system32」目錄下
，如果發現該文件出現在其他目錄下就要小心了。

提示：svchost.exe文件的調用路徑可以通過「系統訊息→軟體環境→正在運行任務」
來查看.

[1;37mCRETIX Security萾 - http://www.hacker.org.tw[m

[1;37m原創作者: 電腦報[1;37m
[1;37m文章來源: EFASHIONBOY 正體台灣化: CRETIX Security[m
--
[0m[1;33m※ Origin: [36mYahoo!奇摩 大摩域 [37m<telnet://bbs.kimo.com.tw> [m
[1;35m◆ From: [1;32m61-223-140-89.dynamic.hinet.net[m

>----------------------------------------------------------------------------<
發信人: sunny.bbs@bbs.mgt.ncu.edu.tw (艾杜莎女人)
日期: 28 Nov 2004 15:57:28 GMT
標題: Re: svchost...!?
信群: tw.bbs.comp.virus    看板: Virus
來源: <4FPLh3$J9g@bbs.mgt.ncu.edu.tw>:42797, bbs.mgt.ncu.edu.tw
組織: 中央資管龍貓資訊天地


請問

我發現中毒的檔案是svch0st

這個跟svchost是一樣嗎 (我看很久才發現它是0 不是o...@@a)

(因為我想刪掉這個中毒的檔案)


==> jsz.bbs@bbs.kimo.com.tw () 提到:
: [1;33m全面瞭解系統中 svchost.exe 文件[m
: 筆者經常在一些反病毒論壇上瀏覽時，發現一些朋友對任務管理器中的svchost進程不甚
: 瞭解，看見存在許多svchost進程就以為自己中了病毒，其實不然。
: svchost.exe是NT核心繫統非常重要的文件，對於Win2000/XP來說，不可或缺。
: 這些svchost進程提供很多系統服務，如：rpcss服務（remote procedure call）
: 、dmserver服務（logical disk manager）、dhcp服務（dhcp client）等等。
: 如果要瞭解每個svchost進程到底提供了多少系統服務，可以在WinXP的命令提示符窗口
: 中輸入「tasklist /svc」命令來查看。
: [1;37m工作原理[m

--
◎[1;31m龍[32m貓[33m資[34m訊[35m天[36m地[0m([1mbbs.mgt.ncu.edu.tw[0m)
◎[[1;33;46msunny[0m]From: adsl-61-66-168-118.BC.sparqnet.net


>----------------------------------------------------------------------------<
發信人: chis.bbs@bbs.npttc.edu.tw (11/29語教系童心未泯)
日期: 28 Nov 2004 19:01:25 GMT
標題: Re: svchost...!?
信群: tw.bbs.comp.virus    看板: Virus/A10QK845
來源: <4FPQYb$2O6@bbs.npttc.edu.tw>:42802, bbs.npttc.edu.tw
組織: MYBBS


真詳細的解說....^^

    謝謝你ㄏㄏ
  我終於懂ㄌ

※ 引述《jsz.bbs@bbs.kimo.com.tw》之銘言：
> ※ 引述《sasasa.bbs@whshs.cs.nccu.edu.tw (我是路人---來亂的)》之銘言：
> > 我無聊把某一個svchost終止程序後
> > 就發生了讓人懷念的小視窗
> > 60秒重開機...
> > 請問這是代表電腦裡面還有病毒殘留嗎?
> [1;33m全面瞭解系統中 svchost.exe 文件[m
> 筆者經常在一些反病毒論壇上瀏覽時，發現一些朋友對任務管理器中的svchost進程不甚
> 瞭解，看見存在許多svchost進程就以為自己中了病毒，其實不然。
> svchost.exe是NT核心繫統非常重要的文件，對於Win2000/XP來說，不可或缺。
> 這些svchost進程提供很多系統服務，如：rpcss服務（remote procedure call）
> 、dmserver服務（logical disk manager）、dhcp服務（dhcp client）等等。
> 如果要瞭解每個svchost進程到底提供了多少系統服務，可以在WinXP的命令提示符窗口
> 中輸入「tasklist /svc」命令來查看。
> [1;37m工作原理[m
> 一般來說，Windows系統進程分為獨立進程和共享進程兩種。
> svchost.exe文件存在於%systemroot%\system32目錄下，屬於共享進程。
> 隨著Windows系統服務不斷增多，為了節省系統資源，微軟把很多服務都做成共享方式
> ，交由svchost進程來啟動。但svchost進程只作為服務宿主，並不能實現任何服務功能
> ，即它只能提供條件讓其他服務在這裡被啟動，而它自己卻不能給用戶提供任何服務。
> 這些服務是如何實現的呢?原來這些系統服務是以動態鏈接庫（dll）形式實現的
> ，它們把可執行程式指向svchost，由svchost調用相應服務的動態鏈接庫來啟動服務。
> 那svchost又怎麼知道某個系統服務該調用哪個動態鏈接庫呢?這是通過系統服務
> 在註冊表中設置的參數來實現的。
> [1;37m具體實例[m
> 下面以Remote Registry服務為例，來看看svchost進程是如何調用DLL文件的。
> 在WinXP中，點擊「開始→運行」，輸入「services.msc」命令，會彈出服務對
> 話框，然後打開「Remote Registry」屬性對話框，可以看到Remote Registry
> 服務的可執行文件的路徑為「C:\Windows\System32\svchost -k LocalService」
> （圖1），這說明Remote Registry服務是依靠svchost調用「LocalService」參數
> 來實現的，而參數的內容則是存放在系統註冊表中的。
> 在運行對話框中輸入「regedit.exe」後回車，打開註冊表編輯器，找到
> 「HKEY_LOCAL_MACHINE\System\currentcontrolset\services\Remote Registry」項
> ，再找到類型為「reg_expand_sz」的「Imagepath」項，其鍵值為
> 「%systemroot%\system32\svchost -k LocalService」（這就是在服務窗口中看到
> 的服務啟動命令），另外在「parameters」子項中有個名為「ServiceDll」的鍵
> ，其值為「% systemroot%\system32\regsvc.dll」，其中「regsvc.dll」就是
> Remote Registry服務要使用的動態鏈接庫文件。這樣svchost進程通過讀取
> 「Remote Registry」服務註冊表訊息，就能啟動該服務了。
> 也正是因為svchost的重要性，所以病毒、木馬也想盡辦法來利用它，企圖利用它
> 的特性來迷惑用戶，達到感染、入侵、破壞的目的。那麼應該如何判斷到底哪個是
> 病毒進程呢?正常的svchost.exe文件應該存在於「C:\Windows\system32」目錄下
> ，如果發現該文件出現在其他目錄下就要小心了。
> 提示：svchost.exe文件的調用路徑可以通過「系統訊息→軟體環境→正在運行任務」
> 來查看.
> [1;37mCRETIX Security萾 - http://www.hacker.org.tw[m
> [1;37m原創作者: 電腦報[1;37m
> [1;37m文章來源: EFASHIONBOY 正體台灣化: CRETIX Security[m
--

  ~~~~~~~~許多的情緒糾結成一團積在心中就叫 [記憶]~~~~~~~~
   何妨，我們試圖留下那些未綁死的結；放下那些打不開的結。
   如此，我們都可以快樂一點、平靜一些……。
  ~~~~~~~~~~~回首來時蕭瑟處    也無風雨也無晴~~~~~~~~~~~~

--
[1;32m※ Origin: [33m屏東師院  木瓜園 [37m<bbs.npttc.edu.tw> [m
[1;32m※ From  : [36m172.18.6.31[m

>----------------------------------------------------------------------------<
發信人: Desire.bbs@micro.bio.ncue.edu.tw (desire)
日期: 29 Nov 2004 00:42:57 GMT
標題: Re: svchost...!?
信群: tw.bbs.comp.virus    看板: 
來源: <A10QKS4H$virus@micro.bio.ncue.edu.tw>:42808, micro.bio.ncue.edu.tw
組織: 吟風‧眺月‧擎天崗

※ 引述《sunny.bbs@bbs.mgt.ncu.edu.tw (艾杜莎女人)》之銘言：
> 請問
> 我發現中毒的檔案是svch0st
> 這個跟svchost是一樣嗎 (我看很久才發現它是0 不是o...@@a)
> (因為我想刪掉這個中毒的檔案)
> ==> jsz.bbs@bbs.kimo.com.tw () 提到:
> : [1;33m全面瞭解系統中 svchost.exe 文件[m
> : 筆者經常在一些反病毒論壇上瀏覽時，發現一些朋友對任務管理器中的svchost進程不甚
> : 瞭解，看見存在許多svchost進程就以為自己中了病毒，其實不然。
> : svchost.exe是NT核心繫統非常重要的文件，對於Win2000/XP來說，不可或缺。
> : 這些svchost進程提供很多系統服務，如：rpcss服務（remote procedure call）
> : 、dmserver服務（logical disk manager）、dhcp服務（dhcp client）等等。
> : 如果要瞭解每個svchost進程到底提供了多少系統服務，可以在WinXP的命令提示符窗口
> : 中輸入「tasklist /svc」命令來查看。
> : [1;37m工作原理[m
svch0st可以刪除
..
..
..
..
..


--
 [1;43m◤[46m◥[m Or[1mig[30min[m: [41m 彰化師大生物系˙吟風‧眺月‧擎天崗 [36;47m micro.bio.ncue.edu.tw [m
 [1;44m◣[41m◢[m A[1mut[30mho[mr: [1;33mDesire [30m從 [31m211.22.185.13 [30m發表[m

>----------------------------------------------------------------------------<
.