请教个windows系统svchost.exe进程占CPU高的问题
现象:巡检时发现windows服务器cpu利用率比平时要高这个进程CPU利用率达到75%以上。在任务管理器进程中发现一个没有名字的进程,转到详细后为svchost.exe进程。
使用Process Monitor工具通过PID检查结果:
路径:C:\\Windows\\fonts\\svchost.exe;
命令行:"svchost.exe" -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:7777 -u 45c2ShhBmuk6ukfdTLok59U86gWLXZo8kDJbpTm8uYT1U35mig1pUCbd6796AJviTPXetFrUo37XFGcEYU1k3tYe32o9qEr -p x -t 3
有几台windows 2012server 都有这个情况。
请问有碰到这情况的吗?怎么解决的?
问题已解决,谢谢大家关注。
9同行回答
- kill进程,删除注册表之后,不再重启,能暂时解决,但过一段时间又会写注册表信息(HKLMSystemCurrentControlSetServicesServc),并tcp://连接新的域名和端口。该svchost的父进程是taskhost。C:Windowsfonts目录实际找不到该程序文件,与该进程一起的还有一个conhosts进程(比系统进程conhost多一个s)也是可疑的。
进程管理里面右键查看属性,可以看到这个exe文件的实际目录,我的是在 C:/Windows/Fronts 下面,cmd进入目录之后把那几个隐藏的exe文件删掉,删之前要结束进程,修改权限。
dir *.exe /a 可以看到隐藏的文件
attrib -a -s -h xxxxx.exe 可以把文件的隐藏属性取消
cacls 修改权限
takeown 获取文件所有权
打开注册表编辑器,全局搜索进程后面的参数 cryptonight或者xmr.crypto-pool 这些,能找到一个服务的描述,去服务列表里把那个服务禁用,我这边是Servc。注册表的键我也删了。
就是不知道这玩意是怎么染上的
收起