我正在运行Windows Server 2003 Standard(对我来说很难过),我已经应用了所有的安全更新,现在我被一个不断受到svchost攻击的框卡住了。
进程ID总是在700左右,如果我使用tasklist / svc,我可以看到RpcSs正在导致它。
我尝试了各种谷歌search,如closures自动软件更新服务,删除防病毒软件,清除系统项目,删除远程屏幕服务,如RDP,VNC,LogMeIn等。
我仍然坚持这个运行在90%的RpcSs,现在我已经完全掌握了这个系统,但是我不想通过完整的重新安装来查看是否会再次发生。
您可以尝试使用Sysinternals工具Process Explorer和Process Monitor 。 例如,在Process Explorer中 – select相关的svchost.exe实例,右键单击并select属性,然后转到线程选项卡。 你可能会在那里看到一个dll的名字,给你一个线索。
我似乎有一些恶意软件使用这个过程,我们不得不使用可启动磁盘与赛门铁克端点恢复工具和当前defs删除。 这是一种由安装的AV滑落的rootkit。