日期:2014-05-17  浏览次数:22494 次

svchost.exe 持续占用 25% 的 CPU
Win7系统
强行关闭貌似无影响。

通过 TASKLIST -SVC 查看是红色的那个:
alg.exe 3484 ALG
USBKeyTools.exe 3644 暂缺
vmware-tray.exe 3664 暂缺
hqtray.exe 3672 暂缺
svchost.exe 3868 PolicyAgent
svchost.exe 3940 FontCache, SSDPSRV, upnphost
MOE.exe 3064 暂缺
SearchIndexer.exe 1360 WSearch
wlcomm.exe 4472 暂缺
TM.exe 4648 暂缺
TXPlatform.exe 4924 暂缺
UNS.exe 3304 UNS

不定期发作。

------解决方案--------------------
用进程工具process explorer查看一下该svchost.exe命令行参数,看看是启动的什么命令占用了这么多的cpu时间。
------解决方案--------------------
去服务里停掉SSDP Discovery服务后再观察一下
------解决方案--------------------
svchost.exe是一个属于微软Windows操作系统的系统程序,微软官方对它的解释是:Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。这个程序对系统的正常运行是非常重要,而且是不能被结束的。

------解决方案--------------------
应该不是病毒,我查看了下我的任务管理器,有11个svchost.exe
win7 旗舰版
------解决方案--------------------
在我win7 64的机器上,C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation这个命令行的服务搜索了一下,一共11个,状态如下:
Application Identity 手动,已停止
Media Center Extender Service 禁用,已停止
Quality Windows Audio Video Experience 手动,已停止
Adaptive Brightness 手动,已停止
SSDP Discovery 手动,已停止
TPM Base Services 手动,已停止
UPnP Device Host 手动,已停止
Windows Connect Now - Config Registrar 手动,已停止
Function Discovery Resource Publication 手动,已启动
Smart Card 自动,已启动
Windows Font Cache Service 自动,已启动

已启动的只有3个服务,就是最后3个,服务名称分别是:FDResPub、SCardSvr、FontCache
对比你这个命令行启动的三个服务:FontCache、 SSDPSRV、 upnphost,FontCache不用说了,一般都是要自动运行的,两个已启动的SSDPSRV和upnphost服务的启动都是手动类型的,而upnphost又是依赖于SSDPSRV的,这两个手动启动的服务同时运行了,应该是有使用UPnP网络协议的应用程序启动了upnphost服务,upnphost服务又启动了所依赖的SSDPSRV服务。据此思路分析,你cpu占用时间高的时候是C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation这个命令行占用的,那么,这个命令行启动的三个服务中应该是手动启动了upnphost服务的某个应用程序占用了cpu过多的时间。所以,你回想一下发病时,是启动了什么使用UPnP协议的应用程序?据我所知,迅雷、一些网络视频软件如风行网络电影等都是支持UPnP协议的,是否发病时运行了类似的程序?另外,很多路由器也是支持开启UPnP的,不知你是否使用了路由器上网?是否开启了路由的UPnP功能?
------解决方案--------------------
是不是病毒主要看是谁释放了这个DLL,加载这个DLL的SVCHOST做了什么事情,例如LPC域名请求,IP请求,这些都属于可疑行为,如果楼主有工具可以检测下这些地址或者域名属于什么公司或者个人,还有就是这种DLL被加载后,要么自己getDC要么释放PE文件,将其启动后GETDC,如果有类似的行为,那就必然是木马了