我正在运行 Windows Server 2003 Standard(令我非常讨厌),我已经应用了所有安全更新,但现在我被困在一个不断受到 svchost 攻击的盒子里。
进程 ID 始终在 700 左右,如果我使用 tasklist /svc,我可以看到这是由 RpcSs 引起的。
我尝试了谷歌搜索中出现的各种方法,例如关闭自动软件更新服务、删除防病毒软件、删除系统托盘项、删除远程屏幕服务(如 RDP、VNC、LogMeIn 等)。
我仍然被困在 RpcSs 以 90% 的速度运行,我现在已经完全忍无可忍了,但我真的不想坐下来重新安装,只是为了看看它是否会再次发生。
答案1
您可以尝试使用系统内部工具进程探索器和进程监控。例如,在进程资源管理器中 - 选择相关的 svchost.exe 实例,右键单击并选择属性,然后转到线程选项卡。您可能会在那里看到一个 dll 名称,它会给您提供线索。
答案2
我曾见过一些恶意软件利用此过程,我们不得不使用带有 Syamantec Endpoint Recovery Tool 和当前 defs 的可启动磁盘来删除它。这是某种从已安装的 AV 中溜走的 rootkit。