lsass.exe

2008.07.13 23:22 | 프로세스

질 문

사용자 삽입 이미지

아래의 대문자 LSASS, 도대체 정체가 뭡니까?
c:\windows 폴더에 떡하니 들어앉아 있는데

처치가 안 됩니다 -_-;

아, 그리고 농협 스파이웨어로 진단하면 Riskware.w32.lsass라고 나오고,
혹시 이게 익스플로러 오류와 관련있는지도 질문합니다.

해 결



윈도우의 업데이트를 이용해서 패치를 받으세요
웜바이러스이므로 패치를 받으면 제대로 돌아 갈겁니다.

lsass.exe는
윈도우 로그온시 계정과 윈도우의 보안정책을 이어주는 가교 역할을 합니다.

윈도우에서는 없어서는 안되는 필수 프로세스입니다.

윈도우의 약점을 이용한 웜바이러스 이므로
꼭 윈도우의 업데이트를 통해 패치를 받아야 합니다.



추 가




사용자 삽입 이미지

프로세스 익스플로러라고 하는 프로그램으로 윈도우의 내부를 보면
위의 그림과 같습니다

상단에 보면 system이 있고
밑에 winlogon.exe
하위에 lsass.exe가 있는 것을 확인 할 수 있을 겁니다.

로그온이 되고 로그온의 계정을 읽어서 윈도우의 사용자계정과
이어주는 고리 입니다.

윈도우의 로그온이 되는 계정과는 별개의 시스템에서 이끄는 프로세스이므로
꼭 필요한 프로세스입니다.
이것을 삭제를 하면 계속 재부팅이 되겠지요.

복구하는 방법은 윈도우 cd가 있어야 하고..
윈도우cd를 부팅을 한다음

복구메뉴로 들어가서
cd의 i386폴더에 있는 lsass.e_ 로 되어 있는 파일을 찾아서
expand 명령으로 압축을 풀어서 다시 system32 폴더에 넣으면 되는데...

엊그저께 부터 lsass.exe로 검색이 많이 들어와서 무슨일인가 봤더니..
안철수 문제였네요..

당 하신 분들은 황당 하셨겠네요..
재부팅이 계속 되었을 테니까요..

어쩝니까...
이번에 한번의 실수로 회사가 망할수도 있다는 사실도 배워야 할 것이고..
백업이 중요하다는 것도 배웠을 겁니다.

12년동안 수도 없이 포맷때문에 데이타 날라가서 살리는 방법 없냐고
물어보는 사람들 거의 매주 한통 씩은 질문을 받으니까요.
암튼 서로에게 한가지 씩은 배웠으니까...

서로 돕고 사는 민족아닙니까..
잘 나가는 it업체 이번에 혼쭐 한 번 내주고 끝내는게...

신고
Tag : lsass.exe

질 문

System ldle Precess 가 갑자가 시피유 만이 사용해요 어떻게 해주세요
어떻게 하는지 알려주세요 (너무 느려지고)

갑자가 순간 파란창에 글씨가 순간 나와서 재부팅 되요 좀 알려주세요
사진도 첨부 할게요
 

사용자 삽입 이미지

분석 및 해결

spoolsv.exe 프린터
wauclt.exe 업데이트
itrack.exe 사용자가 자동실행하게 둔 프로그램
svchost.exe 윈도우 서비스
TSAdBOT.exe 사용자가 자동실행하게 둔 프로그램
svchost.exe 윈도우 서비스
mixer.exe 볼륨조절
HanWarcPlus.exe 게임이라고 생각됨
svchost.exe 윈도우 서비스
svchost.exe 윈도우 서비스
svchost.exe 윈도우 서비스
lsass.exe 로그인에서 받아서 사용자의 계정과, 권한 부여하는 프로세스
services.exe 윈도우의 서비스제어
winlogon.exe 로그인
csrss.exe 클라이언트/서버환경의 매니저 사용자 확인 사용자계정활성화, 윈도우의 GUI활성화
smss.exe 세션매니저 프로그램의 세션이나 공유등의 세션등을 관리
explorer.exe 윈도우의 전체관리하는 쉘
System 커널모드 쓰레드들의 시작점이 되는 프로세스

System Idel Process 윈도우의 졸린상태

이렇게 분석을 해놓고 현재의 작업관리자의 상태로는 아무이상이 없습니다

프로그램을 실행시켰다고 해도
프로그램 내에서 아무일도 하지 않고 단지 실행만 했다면
다시 윈도우의 졸린상태로 들어갑니다.

중요한 것은 하단의 전체 cpu의 사용량인데 8%정도이이고

그 중에서 8% 중에서 프로세스중에 system idle process가
94%를 차지 한다고 이해를 해야 하겠지요

전체 cpu의 리소스를 사용한다고 생각하면 안되죠.

추 가


사용자 삽입 이미지

위 그림처럼 저도 이 메일을 사용하지만
idle 프로세스가 99%를 사용하지만 실제로 전체 cpu는 0%를 사용하고 있지요

질문 그림에서 보니까
업데이트하는 프로세스가 있는데 cpu를 점유를 하는것이 조금걸리기는 합니다.
한 번 업데이트를 제어판에서 잠시 꺼놓고 다시 부팅해서
체크를 해보세요..

전체 CPU 사용량을 먼저 확인을 하고
그 다음에 작업관리자 안에 각각 프로세스의 점유율을 체크를 해보세요.

윈도우에서는 프로그램을 한꺼번에 실행시키는 것이 아니고
스케쥴러에서 순차적으로 메모리와 디스크에 할당을 하면서
프로그램을 실행시키죠..

그러므로 cpu의 점유율과 각각의 프로세스의 점유율과는 차이가 있겠지요

포그라운드(창을 직접사용하는 프로세스) 와 백그라운드에서 사용되는
프로세스와는 cpu에서 사용되는 점유율을 달리 줄 수 밖에 없지요..

아무 프로그램을 실행하지 않고, 그냥 컴퓨터를 켜놓기만 했다면
system idle process의 점유율이 90%이상이 정상입니다.
만약 특정 프로세스가 cpu의 점유율을 독차지 한다면 그 프로세스는
문제가 좀 있는 프로세스입니다.

프로그램을 실행할 때 cpu 점유율이 올라가고
실행된 후에는 다시 떨어지다가
메뉴나 프로그램의 기능을 사용하면 다시 올라가는 순환구조인데..

프로그램을 실행시킨 후 부터 계속 90%이상을 잡는 프로세스가 있다면
프로그램이 깨진 것입니다.
프로그램의 내부 로직이 뭔가 맛이 가서 무한루프를 돌면
cpu도 따라서 계속 점유율이 올라가게 됩니다.
이런 경우에는 디스크에 문제가 있어서 파일이 깨졌거나
win32... 계열 바이러스에 걸린 경우에 주로 나타납니다

신고

질 문

다른 유사한 질문들이 올라와 있는 것을 보고 질문을 올립니다..

rundll32.exe
taskmgr.exe
wdfmgr.exe
svchost.exe
nvsvc32.exe
alg.exe
explorer.exe
ctfmon.exe
spoolsv.exe

svchost.exe
svchost.exe
svchost.exe
svchost.exe

lasse.com
services.exe
winlogon.exe
csrss.exe
smss.exe
system
system idle process

해 결

lasse.com 이 걸리네요

윈도우에서 사용하는 파일은
lsass.exe 인데 로그온과 계정과 관계된 파일인데
이름이 비슷하면서
확장자가 com으로 된 것이 바이러일 것 같네요
바이러스 체크를 해보세요


추 가

사무실이나 pc가 있는 곳에 가면 자동적으로 작업관리자를 먼저
보고 컴퓨터를 만지는 버릇이 있습니다.
내 컴퓨터가 아니기 때문에 현재 컴퓨터의 상태를 보기 위해서 입니다.

질문에서 보면
rundll32는 제어판을 열때 많이 사용이되거나
프린터를 사용할 때 사용할 수 있습니다.
프린터는 드라이버를 아직도 16비트 엔진을 사용하기 때문입니다.

wdfmgr.exe 는 윈도우매니지먼트를 해주는 파일이고
nvsvc32.exe은 그래픽카드의 서비스
alg.exe 윈도우방화벽과 관계된 파일이고
나머지는 일반적인 윈도우 부팅 시 자동으로 실행되는
윈도우서비스 부분의 프로세스 들 입니다.

lasse.com
컴퓨터에서 사용되는 실행파일은 exe com 두가지의 확장자 인데
32비트에서는 com을 거의 사용하지 않습니다.

com 은 도스에서 주로 사용하던 실행파일인데
크기도 작고.. 실행속도가 빠릅니다.
크기가 작고, 실행이 빨라서 도스 시절에 많이 사용했지요..
도스시절의 메모리는 기껏해서 640K바이트의 도스메모리만
사용하였기 때문입니다.

요즘 가끔 "16비트 하위시스템 xxxx " 라고 에러사인이 나오는것을
보면 확장자가 com인 파일이 자동실행되는 경우이므로
이 파일을 검색하는 것이 빠를 수 있습니다.

제가 이 파일을 찍은 이유는
윈도우 시스템 파일인 lsass.exe 파일이름을 흉내를 냈고
확장자가 com 이라는 것입니다.

com 파일이 나쁜 이유는 이 파일들은 실행하는데
dll파일이 필요가 없이
독자적인 실행으로 훌륭하게 맡은 바 소임을 할 수 있기 때문입니다.

크기도 작고 속도를 빨라서
부팅때 자동 실행이 되어도 실행이 되는지 모를 정도 입니다.

98에서는 com파일이 좀 있습니다.
command.com도 있고 sys.com도 있고 여러가지 있습니다.

그러나 윈도우xp에는 거의 사용하지 않습니다.

혹시라도 가끔 작업관리자를 들여다 보고
com 확장자를 가진 파일이 떠 있다면 백도어 즉 해킹이나
바이러스를 의심을 해보세요

신고

질 문

프로그램을 시작하면 Xp가 대기 상태 일떄 쓰는 프로세스 있죠
System idle Process 라고 이게 CPU 90이상이 되거든요

어떤 프로그램을 실행하면 그 프로그램 프로세스가 올라가야하는데
안올라가네요.. 그러구 늦게 뜰때두 있고 안뜰대두 있구요

이 문제 떄문에 지금 Xp 재설치 4번정도 한거 같네요
웜 때문에 Lan선도 빼구 해봤구요
서비스팩 2 까지 설치 바이러스 검사 다 해봤습니다..

정말 어떻게 해결법을 못찾겠네요..

해 결


System Idle Process는 CPU를 프로세스가 사용하고 남은 나머지 입니다.
프로세스들이 CPU를 10% 사용하고 있다고 할 때,
System Idle Process는 90%가 되는 것입니다.
얼마나 CPU에 여유가 있는지 확인하라고 나오는 부분입니다
.

그러므로 어떤 프로그램도 실행하지 않고 있다묜
System idle Process 90%는 이해가 가겠지요

cpu의 점유율이 올라 갈때는
프로그램이 실행될 때...
프로그램에서 데이타 파일을 불러올 때..
각 프로그램의 메뉴 즉 기능을 사용할 때..
많이 올라 갑니다.

프로그램을 실행을 시켜놓고 아무런 작업도 하지 않는 다면
System idle Process 프로세스로 다시 넘어갑니다.

추 가

재질문
======
동영상, 음악 실행 시켜도 항상 System idle Process가 90 이상 먹네요..
실행을 하면 컴퓨터가 반응을 늦게 하는것 같습니다..
전 항상 여러가지 작업을 같이 하거든요..


실행당시의 cpu의 성능을 체크를 해봐야 합니다.
예를 들어서 엑셀에서 매크로를 실행할때 당시의 작업관리자를 보면
그림과 같이 순식간에 99까지 올라갑니다

사용자 삽입 이미지


그 다음에는 다시 system idle process로 제어권이 넘어갑니다
계속 명령을 주어서 cpu가 계산을 하게 만들면 올라가는 건데..

동영상은 계속해서 미디어의 속성값이나 사이즈 네트워크 전송의 패킷을
받아서 계산을 하는 과정이라서 cpu점유율이 높아 질 수 밖에 없는데...

그러면 제어판/고급/성능 탭에서
아래 그림과 같이 되어 있는지 확인을 해보세요
사용자 삽입 이미지

이와 같이 해도 안된다면
디스크 조각모음을 해보고 그래도 안되면

예전에 한번 바이러스 감염이 되어서 파일들이 깨진 경우에
실행이 제대로 안되는 경우일 겁니다.

다시 윈도우 전체를 설치를 해보는 것이 좋겠습니다.

신고

질문

안녕하세요..windows xp를 사용합니다.

작업관리자에 들어가면 프로세스 부분에 spoolsv의
cpu 점유율이 항상 90% 가까이 잡아먹고 있어서 컴터속도가 상당히 늘어집니다.

윔바이러스같기도 하고 일단은 v3로 검색을 해도 바이러스라는건 나오지 않는군요..
해결책 부탁드립니다..감사합니다.

해 결


작업관리자에서 SPOOLSV CPU 점유율 100%일 때

사용자 삽입 이미지

1. 제어판/프린터를 열어서 안에 들어 있는 모든 드라이버를 삭제를 하세요
사용자 삽입 이미지

그림에서 보듯이 요즘은 프린터와 관련된 드라이버 보다는
아래한글의 netffice
아크로뱃의 pdfwriter distiller
스크린캡처 프로그램의 드라이버등
여러가지의 소프트웨어적인 드라이버가 많은데 모두 삭제를 하세요

특히 한글의 netffice가 XP에서 문제가 있더군요
만약 UMS(NETFFICE)가 지워지지 않는다면
c:Windowssystem32 etffice.dll
c:Windowssystem32mtifmon.dll
이 두 파일을 삭제합니다.
그리고 나서 다시 부팅을 해서 비교를 해보세요

2. Spooler는 프린터 서비스 입니다.
윈도우에서 자동으로 지원되는 서비스 입니다.
이 서비스를 제어할 수 있는데

제어판/관리도구/서비스에서 Print Spooler라는 서비스를 "수동"으로 바꾸고
사용자 삽입 이미지
사용자 삽입 이미지

다시 부팅해서 같은 방법으로 비교를 하세요

3. 바이러스 일 가능성입니다.

Win32 계열의 바이러스인 경우 32비트용 프로그램을 깨뜨리기 때문에
일어날 수 있습니다.
파일의 내부적으로 깨져서 제대로 프로세스나 쓰레드(thread)를 종료하지 못하고
계속해서 반복시키는 경우에 일어날 수 있는 문제 이지요

바이러스를 체크를 해야 겠지요

신고

질문

컴퓨터 사용도중에 프로그램(인터넷 포함)을 실행하려고 하면,
시스템 리소스가 부족하여 요청하신 작업을 완료할 수 없다는 경고창이 뜹니다.
당연히 프로그램은 실행이 안 되구요..

전 시스템 리소스가 부족하다는 경고창이 뜨면, 그냥 컴퓨터를 껐다가 다시 켜는데요...
예전엔 이런문제가 없었는데, 며칠 전 부터 거의 매일 이런문제가 생깁니다...

바이러스체크, 디스크 조각모음 같은건 해봤구요..

용산에서 부품사서 조립한지는 2년이 좀 넘었구요..
OS : XP Pro/CPU : 2.4(Intel) 이고 메모리는 256두개 입니다.
2달쯤 전에 메인보드에 문제가 있어서 메인보드만 다른걸로 교환했구요..(집 근처 A/S에서 점검 및 교환함)

장치관리자에서 여러가지가 제대로 작동하는지 확인해 봤습니다.
드라이버가 설치되지 않은 것들이 몇개 있던데요..
충돌이 일어나는건 없었습니다.

바이러스와 메드웨어 검사 해 봤구요..

작업관리자 화면은 첨부로 올려드립니다

사용자 삽입 이미지
사용자 삽입 이미지

  해 결


작업관리자의 성능 탭을 보면
cpu나 pf 페이징 파일에 대한 화면을 보며는 별 이상은 없네요

다만 걱정된다면
윈도우에서 아무것도 하지 않는 상태에서
cpu의 그래프가 불규칙하게 나온다면 문제가 됩니다.
아무 프로그램도 실행하지 않는다면 거의 1% 미만을 사용을 해야
제대로 된 상태가 됩니다.
질문에서 보는 그래프와 같다면 프로그램이 수행 중이라는 이야기 입니다.

내가 아무것도 하지 않는데
작업관리자의 [성능] 그래프가 오르락 내리락 할 때는
백도어나 다른 바이러스 프로그램을 의심하고
일단 인터넷이나 랜카드와 연결된 모든 선을 빼놓고 다시 부팅해서
살펴보세요..

웜바이러스, 악성코드, 해킹을 찾아내는 열쇠가 됩니다.

프로세스 탭을 보니까
설치한 프로그램을 마음껏 사용하고 있다는 생각이 듭니다.

enstart.exe는 바이러스 이고
hp*로 시작되는 파일이 좀 의심이 갑니다

무엇보다도 자동실행되는 프로세스가 장난이 아닐 것 같네요
lcdplayer
v3*, ahn* 백신
nate* 메신저
ati* 그래픽카드 유틸리티 등
각종 update와 관련된 프로세스들은
보통 레지스트리에 저장되어서 부팅되면서
자동 실행되는 프로그램들이기 때문에 부팅 될 때 부터
속도가 제대로 되지 않을 겁니다.

부팅이 되고 바로 작업관리자를 봤을 때 주의 할 것이 있는데
바로 rundll32.exe 입니다.

부팅 후 바로 rundll32.exe가 사용되고 있다면
십중 팔고 하드웨어 중에 문제가 생긴 것이 있으니까

제어판/시스템/하드웨어/장치관리자를 확인을 해보세요


신고

질 문

제 컴은 윈도우 xp 노트북입니다.

컴을 켜고 윈도우 작업 관리자를 켜면 프로세스에 svchost가 4개가 올라와있는데

문제는 그중 하나가 메모리 사용량이 계속 증가한다는 겁니다.
(프로그램을 사용하지 않아도)

결국 15분정도 지나면 페이지 파일(PF)가 1.3Gb까지 올라가서 컴이
무쟈게 느려져서..
다시 재부팅을 할수밖에 없는상황입니다.

그 문제의 파일이 svchost.exe/ local service 로 나와 있는데
프로세스 강제종료로 종료하면 문제는 해결되지만
재부팅하면 이놈이 다시 올라와있어요..

이놈 삭제하는 방법좀 알려주세요..

v3으로 검색한 결과 바이러스는 없었습니다.

해 결


svchost.exe의 역활은 dll파일을 실행을 합니다.
제어판/관리도구/서비스에 있는 서비스를 실행시켜 주는 중요한
시스템 파일입니다

바이러스가 아닙니다.

작업관리자에 떠있는 svchost.exe의 역활

winlogon.exe 실행되고 로그온을 하면
service.exe가 실행이 됩니다.
그리고 나서 서비스에서
제어판/관리도구/서비스에서 자동실행되는
서비스(즉 dll파일)을 실행하는 것이 svchost.exe 파일입니다.


윈도우는 항상
svchost는 4-6,7개정도가 항상 올라가 있습니다.
C:\WINDOWS\system32\svchost -k rpcss
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\WINDOWS\system32\svchost.exe -k NetworkService
C:\WINDOWS\system32\svchost.exe -k LocalService
C:\WINDOWS\system32\svchost -k DcomLaunch  dcom관련 서비스
C:\WINDOWS\system32\svchost.exe -k imgsvc cd굽기관련서비스

제어판/관리도구/서비스에 자동실행되는 서비스가 많아지면
그만큼 svchost.exe가 하는 일이 많아지게 되므로
숫자가 늘거나, 메모리 사용량이
부팅되면서 많아 질 수 밖에 없습니다.

레지스트리 그림

사용자 삽입 이미지


질문에서 보면

local sevice 메모리의 용량이 무지하게 올라간다는 것이 문제가 있네요
원인을 볼때는
dll파일에서 계속 같은 dll파일을 호출을 하거나 다른 dll파일을 계속 콜해서
페이징파일을 다른 루틴(dll 파일이 실행되는 순서)을 실행할 수 없게 만드는
모양 같습니다.

윈도우 버그에 의한 오류이거나 바이러스에 의한 영향으로 나눌 수 있겠네요

윈도우xp의 업데이트로 업데이트를 먼저하고
네트워크선을 빼놓고 바이러스 검사를 해보세요

쉽게 찾기에는 무리가 있습니다.

확률적으로 바이러스일 가능성이 많습니다.

아래 작업관리자의 그림외에 이상한 그림이 더 떠있는지 확인을 해보고
바이러스 검사서 부터
자동실행되는 프로그램 제거 등의 조치를 해야 합니다.

무엇보다도 svchost.exe의 메모리를 차지하는 용량을 고려해서 그림을 잘 보세요

추가정보


작업관리자에 나타나지 않는 dll파일들을 찾아보도록 하겠습니다.

작업관리자를 호출한 그림입니다.
작업관리자에서는 실행파일명 만 나옵니다

사용자 삽입 이미지

도스 창(cmd)에서 tasklist 엔터를 치면 작업관리자와 같은 화면이 나옵니다.

사용자 삽입 이미지

더 자세하게 보려고
도스창에서 tasklist/m > aa.txt라고 칩니다.
그러면 아래 화면이 aa.txt파일로 저장이 됩니다.
그것을 텍스트 파일로 저장해서 보세요

pid 프로세스 id 입니다.
모듈은 여기서는 dll파일로 이해하면 됩니다.
이미지 이름                  PID 모듈                                         
========================= ====== =============================================
System Idle Process            0 N/A                                          
System                         4 N/A                                          
svchost.exe                  644   rpc에 관련된 프로세스
                                 ntdll.dll, kernel32.dll, ADVAPI32.dll,       
                                 RPCRT4.dll, rpcss.dll, msvcrt.dll,           
                                 WS2_32.dll, WS2HELP.dll, USER32.dll,         
                                 GDI32.dll, Secur32.dll, IMM32.DLL, LPK.DLL,  
                                 USP10.dll, userenv.dll, mswsock.dll,         
                                 wshtcpip.dll, wshisn.dll, WSOCK32.dll,       
                                 DNSAPI.dll, iphlpapi.dll, winrnr.dll,        
                                 WLDAP32.dll, rasadhlp.dll, CLBCATQ.DLL,      
                                 ole32.dll, OLEAUT32.dll, COMRes.dll,         
                                 VERSION.dll, msi.dll, Apphelp.dll            

svchost.exe                  688 윈도우의 운영하기 위해서 필요한 dll파일
                                 ntdll.dll, kernel32.dll, ADVAPI32.dll,       
                                 RPCRT4.dll, ole32.dll, GDI32.dll,            
                                 USER32.dll, IMM32.DLL, LPK.DLL, USP10.dll,   
                                 shsvcs.dll, msvcrt.dll, SHLWAPI.dll,         
                                 shell32.dll, comctl32.dll, comctl32.dll,     
                                 WINSTA.dll, dhcpcsvc.dll, DNSAPI.dll,        
                                 WS2_32.dll, WS2HELP.dll, iphlpapi.dll,       
                                 Secur32.dll, UxTheme.dll, rsaenh.dll,        
                                 wzcsvc.dll, rtutils.dll, WMI.dll,            
                                 OLEAUT32.dll, CRYPT32.dll, MSASN1.dll,       
                                 WTSAPI32.dll, ESENT.dll, WLDAP32.dll,        
                                 NETAPI32.dll, rastls.dll, ATL.DLL,           
                                 CRYPTUI.dll, WINTRUST.dll, IMAGEHLP.dll,     
                                 WININET.dll, MPRAPI.dll, ACTIVEDS.dll,       
                                 adsldpc.dll, SAMLIB.dll, SETUPAPI.dll,       
                                 RASAPI32.dll, rasman.dll, TAPI32.dll,        
                                 WINMM.dll, SCHANNEL.dll, USERENV.dll,        
                                 WinSCard.dll, raschap.dll, msv1_0.dll,       
                                 CLBCATQ.DLL, COMRes.dll, VERSION.dll,        
                                 schedsvc.dll, NTDSAPI.dll, mswsock.dll,      
                                 wshtcpip.dll, wshisn.dll, WSOCK32.dll,       
                                 NTMARTA.DLL, MSIDLE.DLL, audiosrv.dll,       
                                 wkssvc.dll, cryptsvc.dll, certcli.dll,       
                                 dmserver.dll, ersvc.dll, es.dll, pchsvc.dll, 
                                 srvsvc.dll, seclogon.dll, sens.dll,          
                                 srsvc.dll, POWRPROF.dll, trkwks.dll,         
                                 w32time.dll, MSVCP60.dll, wmisvc.dll,        
                                 wbemcomn.dll, VSSAPI.DLL, wuauserv.dll,      
                                 wuaueng.dll, ADVPACK.dll, sfc.dll,           
                                 sfc_os.dll, browser.dll, SXS.DLL,            
                                 comsvcs.dll, MTXCLU.DLL, colbact.DLL,        
                                 CLUSAPI.DLL, RESUTILS.DLL, mtxoci.dll,       
                                 oci.dll, NETRAP.dll, termsrv.dll,            
                                 ICAAPI.dll, AUTHZ.dll, mstlsapi.dll,         
                                 REGAPI.dll, netman.dll, NETSHELL.dll,        
                                 credui.dll, upnp.dll, SSDPAPI.dll,           
                                 hnetcfg.dll, wbemcore.dll, esscli.dll,       
                                 FastProx.dll, wmiutils.dll, repdrvfs.dll,    
                                 wmiprvsd.dll, NCObjAPI.DLL, wbemess.dll,     
                                 netcfgx.dll, rasadhlp.dll, rasmans.dll,      
                                 WINIPSEC.DLL, tapisrv.dll, PSAPI.DLL,        
                                 rastapi.dll, unimdm.tsp, uniplat.dll,        
                                 kmddsp.tsp, ndptsp.tsp, ipconf.tsp,          
                                 h323.tsp, hidphone.tsp, HID.DLL, rasppp.dll, 
                                 ntlsapi.dll, ipxwan.dll, adptif.dll,         
                                 RASDLG.dll, winhttp.dll, ncprov.dll,         
                                 xactsrv.dll, wbemsvc.dll                     

svchost.exe                 756  네트워크 서비스를 위해 필요한 프로세스
                                 ntdll.dll, kernel32.dll, ADVAPI32.dll,       
                                 RPCRT4.dll, dnsrslvr.dll, msvcrt.dll,        
                                 USER32.dll, GDI32.dll, DNSAPI.dll,           
                                 WS2_32.dll, WS2HELP.dll, iphlpapi.dll,       
                                 IMM32.DLL, LPK.DLL, USP10.dll, mswsock.dll,  
                                 wshtcpip.dll                                 

svchost.exe                 768  local에서 필요한 서비스
                                 ntdll.dll, kernel32.dll, ADVAPI32.dll,       
                                 RPCRT4.dll, ole32.dll, GDI32.dll,            
                                 USER32.dll, IMM32.DLL, LPK.DLL, USP10.dll,   
                                 lmhsvc.dll, msvcrt.dll, iphlpapi.dll,        
                                 WS2_32.dll, WS2HELP.dll, webclnt.dll,        
                                 WININET.dll, SHLWAPI.dll, CRYPT32.dll,       
                                 MSASN1.dll, OLEAUT32.dll, comctl32.dll,      
                                 shell32.dll, comctl32.dll, Secur32.dll,      
                                 wsock32.dll, regsvc.dll, ssdpsrv.dll,        
                                 mswsock.dll, wshtcpip.dll                    


도스창에서 tasllist/m 친 그림입니다.

사용자 삽입 이미지

svchost.exe는 수많은 dll(서비스관련파일)을 몰고 다닙니다.
문제는 윈도우의 버그를 이용하여
가짜 dll파일로 위장한 경우에는 문제가 심각해집니다.
이런 문제는 윈도우업데이트가 될 때까지 기다려야 합니다

신고

질문

부팅 후 오류 창이 뜰때도 있고 안뜰때도 있어요.
속도가 느려진거 말고 다른 증세는 없는거 같고요.

이유와 해결방법 좀 알려주세요~~~~

사용자 삽입 이미지
 

    해  결


먼저 generic host process이 무엇인지 알아보는 그림입니다

process explorer라는 윈도우의 프로세스를 살펴보는 유틸리티를 사용했습니다.

사용자 삽입 이미지

윈도우에 로그온을 하면서
윈도우의 서비스가 진행이 되는데
이때 진행되는 윈도우의 서비스를 실행시켜주는 프로세스가 svchost.exe 입니다.

윈도우의 서비스에는

하드웨어의 드라이버를 불러오는 서비스
네트워크, 로그온정책, 네트워크 등등
제어판/관리도구/서비스에 있는 것 항목이 실행이 됩니다.
사용자 삽입 이미지

아래 그림은 레지스트리의 서비스가 설정되어 있는 키입니다
사용자 삽입 이미지

해결하는 절차.

1. 우선 바이러스 검사를 먼저 해보세요.
 msblast.exe라는 웜바이러스 때문일 수 있습니다.

2. 제어판/시스템/하드웨어/장치관리자에서 잘못된(노란느낌표)는 있는지 확인하고
   있다면 제거를 하거나 드라이버를 제대로 설치를 해야 합니다.

3. 제어판/관리도구/서비스에 있는 remote xxxx라는 서비스가 몇개 있는데
   이 remote xxx 서비스들에 충돌에 의한 것이라서 윈도우 업데이트를 통한
   패치를 해야 합니다.

추가정보


svchost.exe가 서비스를 진행시킵니다.
그래서 항상 4-5개정도의 svchost.exe가 실행이 되어서 윈도우가 움직입니다.
svchost.exe는 서비스와 관계되는 dll파일을 실행시키는 역활을 합니다.

질문에서 그림을 분석하자면
svchost.exe가 어떤 서비스를 불러오는 과정에 에러가 나는 것이고

속도가 느려진 다는 것도 바이러스가 아닌 다음에야
하드웨어의 드라이버가 문제가 될 경우에 윈도우의 리소스를 많이 잡아 먹음으로
하드웨어 장치를 점검을 해봐야 겠지요..

그리고 또 생각을 해볼 것이..
프로그램중에 자동실행이 되지 않고
서비스 단(레지스트리를 참고하세요)에 기생하여 실행되는 프로그램들이 있습니다
방화벽이나 기타 시스템 유틸리티등등 ...
이런 프로그램들이 설치되어 있는가도 함께 생각을 해봐야 합니다.

신고

티스토리 툴바