我在任务管理器中发现 Windows 进程下运行着进程“服务主机:辅助登录”,命令行文件位于 system32 中svchost.exe,我发现该进程至少在我的用户名下运行了十次(不仅仅是 SYSTEM 和 LOCAL SERVICE)。我还有服务主机:远程过程调用,以及大约 80 个其他服务主机正在运行,但 CPU 较低。
我的问题是,这是恶意软件的明显迹象吗?我该如何禁用它?Windows 安全没有发现任何威胁,自从注意到这一点以来,我一直将计算机保持离线状态,以防万一。
答案1
没有什么可恐慌的。
服务主机: 二次登录是一项运行以允许以不同用户身份运行上班。
二次登录 辅助登录 (seclogon) 服务允许使用备用凭据启动进程。这允许用户在不同安全主体的上下文中创建进程。此服务的一个常见用途是管理员可以作为受限用户登录,但必须具有管理权限才能运行特定应用程序。他们可以使用辅助登录临时运行此类应用程序。如果禁用此服务,则这种类型的登录访问不可用,并且对 CreateProcessWithLogonW API 的调用将失败。
当使用扩展上下文菜单(右键单击某个项目时按住 Shift 键即可打开)中的以不同用户身份运行选项启动程序或应用程序时,此服务将启动。
多次会议进程管理器在现代 Windows 中始终存在。我的系统上运行着 14 个。
服务主机 (svchost.exe) 是一个共享服务进程,作为从 DLL 文件加载服务的外壳。
因此,您会看到多个这样的 svchost.exe 同时运行。这种服务分组还有助于在需要时更好地控制和调试。在 svchost 中运行的服务以动态链接库或 dll 文件的形式实现。
无论如何,您的系统上都应该运行一个不错的病毒扫描程序和/或恶意软件检测器。