タスク マネージャーの Windows プロセスで実行されているプロセス「Service Host: Secondary Logon」を見つけました。コマンド ライン ファイルは system32 にありsvchost.exe、このプロセスは自分のユーザー名で少なくとも 10 回実行されていることがわかりました (SYSTEM と LOCAL SERVICE だけではありません)。また、Service Host: Remote Procedure Call と、約 80 個の他のサービス ホストも実行されていますが、CPU 使用率は低いです。
私の質問は、これがマルウェアの明らかな兆候なのか、そしてこれを無効にするにはどうすればよいですか? Windows セキュリティでは脅威は見つからず、これが役立つかもしれないと思って、これに気付いて以来、コンピューターをオフラインにしています。
答え1
慌てる必要はありません。
サービスホスト: セカンダリログオンは、別のユーザーとして実行働く。
セカンダリログオン セカンダリ ログオン (seclogon) サービスを使用すると、代替の資格情報でプロセスを開始できます。これにより、ユーザーはさまざまなセキュリティ プリンシパルのコンテキストでプロセスを作成できます。このサービスは、制限付きユーザーとしてログオンできるが、特定のアプリケーションを実行するには管理者権限が必要な管理者によってよく使用されます。管理者は、セカンダリ ログオンを使用して、そのようなアプリケーションを一時的に実行できます。このサービスが無効になっている場合、この種類のログオン アクセスは利用できず、CreateProcessWithLogonW API の呼び出しは失敗します。
このサービスは、拡張コンテキスト メニュー (項目を右クリックするときに Shift キーを押すと開くことができます) の [別のユーザーとして実行] オプションを使用してプログラムまたはアプリケーションを起動すると開始されます。
複数回のセッションsvchost最新の Windows には常に存在します。私のシステムでは 14 個が動作しています。
サービス ホスト (svchost.exe) は、DLL ファイルからサービスを読み込むためのシェルとして機能する共有サービス プロセスです。
したがって、複数の svchost.exe が同時に実行されていることがわかります。このサービスのグループ化は、必要に応じてより適切に制御およびデバッグするのにも役立ちます。svchost で実行されるサービスは、動的にリンクされたライブラリまたは dll ファイルとして実装されます。
いずれにせよ、システム上で適切なウイルス スキャナーやマルウェア検出器を実行する必要があります。