작업 관리자의 Windows 프로세스에서 실행되는 "서비스 호스트: 보조 로그온" 프로세스를 발견했습니다. system32 에 명령줄 파일이 있습니다. 이 프로세스는 svchost.exe(SYSTEM 및 LOCAL SERVICE뿐만 아니라) 내 사용자 이름으로도 최소 10번 이상 실행되는 것으로 나타났습니다. 또한 Service Host: Remote Procedure Call과 약 80개의 다른 서비스 호스트가 실행 중이지만 CPU가 부족합니다.
내 질문은 이것이 맬웨어의 명백한 징후이며 어떻게 비활성화합니까?입니다. Windows 보안에서는 위협이 발견되지 않았으며 도움이 될 경우를 대비하여 이 사실을 확인한 이후로 컴퓨터를 오프라인 상태로 유지했습니다.
답변1
당황할 것이 없습니다.
서비스 호스트: 보조 로그온허용하기 위해 실행되는 서비스입니다.다른 사용자로 실행일하다.
보조 로그온 보조 로그온(seclogon) 서비스를 사용하면 대체 자격 증명으로 프로세스를 시작할 수 있습니다. 이를 통해 사용자는 다양한 보안 주체의 컨텍스트에서 프로세스를 만들 수 있습니다. 이 서비스는 제한된 사용자로 로그온할 수 있지만 특정 응용 프로그램을 실행하려면 관리 권한이 있어야 하는 관리자가 일반적으로 사용합니다. 보조 로그온을 사용하여 해당 응용 프로그램을 일시적으로 실행할 수 있습니다. 서비스가 비활성화되면 이 유형의 로그온 액세스를 사용할 수 없으며 CreateProcessWithLogonW API 호출이 실패합니다.
이 서비스는 확장된 상황에 맞는 메뉴(항목을 마우스 오른쪽 버튼으로 클릭할 때 Shift 키를 누른 채 열 수 있음)에서 다른 사용자로 실행 옵션을 사용하여 프로그램이나 애플리케이션이 시작될 때 시작됩니다.
여러 세션서비스 호스트최신 Windows에는 항상 존재합니다. 내 시스템에는 14개가 실행되고 있습니다.
서비스 호스트(svchost.exe)는 DLL 파일에서 서비스를 로드하기 위한 셸 역할을 하는 공유 서비스 프로세스입니다.
따라서 이러한 svchost.exe가 동시에 여러 개 실행되는 것을 볼 수 있습니다. 이러한 서비스 그룹화는 필요할 경우 더 나은 제어 및 디버깅에도 도움이 됩니다. svchost에서 실행되는 서비스는 동적으로 연결된 라이브러리 또는 dll 파일로 구현됩니다.
에서윈도우 클럽
그럼에도 불구하고 시스템에서 실행 중인 적절한 바이러스 스캐너 및/또는 맬웨어 탐지기가 있어야 합니다.