none
如何查出svchost.exe的異常連線? RRS feed

  • 問題

  • 請問各位先進!

    目前客戶那邊有台主機,有發現發送異常的連線封包(如下圖)



    請問要如何查出這個連線是svchost.exe引用到哪個有問題的dll檔,以便進行相關的清除動作呢? 感恩~~
    2010年2月9日 上午 01:09

解答

  • 感謝各位的協助,目前使用 Microsoft Windows 惡意軟體移除工具 (KB890830) 工具掃描 ,終於把問題都處理掉了



    再次感謝,Tks .... ^^
    • 已標示為解答 Vincent Lin 2010年2月11日 上午 08:24
    2010年2月11日 上午 08:21

所有回覆

  • 看看合不合用:Process Explorer

    開啟下半部的檢視視窗

    察看某個 wvchost.exe 其下的程式所使用的 dll
    開啟特定 PID 的 svchost.exe 服務索引標籤
    察看特定 PID 的 svchost.exe 所使用的 dll


    ☞ 這裡是「免費的討論區」付費支援服務請造訪 此處享受尊榮服務
    如果回覆對您有幫助,請記得按下標示為解答」
    在本討論區使用正體中文(即繁體中文),是對參與的朋友的一種尊重,因此請用本討論區的語言:正體中文。
    2010年2月9日 上午 02:05
  • 先感謝您的回覆!

    請問一下,目前我們有找到一個可疑的程式,請問這個位於c:\windows\system32\webem\下的svchost可以刪除嗎?



    另外,這個PID所套用的 kbdft.dll 可以刪除嗎?感恩~~
    2010年2月10日 上午 02:03
  • 我看了一下正常的Server 2003內似乎沒有 C:\windows\system32\wbem\svchost.exe
    而kbdft.dll你可以對它點兩下..然後看看路徑是什麼

    我查了一下也沒查到此檔案的相關資訊..可以的話你可以找到它的路徑
    然後暫時把它重新命名,在重新開機測試看看

    另外..這個svchost.exe和發出奇怪封包的svchost.exe的Process ID是否一樣呢?

    Thanks


    不管問題有沒有解決..麻煩都回來回報一下..對回答者也算是一種尊重:)
    微軟技術支援網站
    2010年2月10日 上午 02:25
  • 感謝您的回覆!

    kbdft.dll的檔案路徑如下:


    另外再補充 PID 844的可疑連結:












    請問由以上相關資料,可以得知如和解決問題嗎?感恩 ~~
    2010年2月10日 上午 02:37
  • 感覺 PID 844 的svchost.exe怪怪的..一般來說路徑應該是 C:\windows\system32\svchost.exe
    不會是IEXPLORE.EXE才對

    建議你下面動作

    1.系統是否有更新到最新?
    2.檢查IE是否有載入一些奇怪的附加元件
    3.用防毒軟體先完全掃毒一下
    4.在Process Explorer裡面看一下 PID 844的顏色是什麼. 紫色? 粉紅色?
    5.在PID 844的Property裡面 - Image標籤 - 點選下面的Verify , 然後看看上面是Not Verified 還是 Verified

    Thanks
    不管問題有沒有解決..麻煩都回來回報一下..對回答者也算是一種尊重:)
    微軟技術支援網站
    2010年2月11日 上午 02:06
  • 感謝各位的協助,目前使用 Microsoft Windows 惡意軟體移除工具 (KB890830) 工具掃描 ,終於把問題都處理掉了



    再次感謝,Tks .... ^^
    • 已標示為解答 Vincent Lin 2010年2月11日 上午 08:24
    2010年2月11日 上午 08:21