我發現進程「服務主機:輔助登入」在任務管理器中的 Windows 進程下運行,命令列檔案位於 system32 中svchost.exe,我發現它也在我的用戶名下運行了至少十次(不僅僅是SYSTEM 和LOCAL SERVICE)。我還有服務主機:遠端過程調用,以及大約 80 個其他服務主機正在運行,但 CPU 較低。
我的問題是,這是惡意軟體的明顯跡象嗎? Windows 安全系統沒有發現任何威脅,自從我注意到這一點以來,我一直讓我的電腦處於離線狀態,以防它有幫助。
答案1
沒有什麼好驚慌的。
服務主機:二次登入是一項運行以允許以不同使用者身分執行上班。
二次登入 輔助登入 (seclogon) 服務允許在備用憑證下啟動進程。這允許用戶在不同安全主體的上下文中建立進程。此服務的常見用途是管理員,他們可以作為受限用戶登錄,但必須具有管理權限才能運行特定應用程式。他們可以使用輔助登入來臨時運行此類應用程式。如果服務已停用,則此類登入存取權不可用,且對 CreateProcessWithLogonW API 的呼叫將會失敗。
當使用擴充上下文功能表中的「以不同使用者身分執行」選項(右鍵點選某個項目時按住 Shift 鍵可開啟該選單)啟動程式或應用程式時,此服務就會啟動。
多場會議服務主機始終存在於現代 Windows 上。我的系統上運行著 14 個。
服務主機 (svchost.exe) 是一個共享服務進程,可作為從 DLL 檔案載入服務的外殼。
因此,您會看到多個此類 svchost.exe 同時運行。如果需要的話,這種服務分組也有助於更好的控制和調試。在 svchost 中執行的服務被實作為動態連結程式庫或 dll 檔案。
無論如何,您的系統上應該運行一個像樣的病毒掃描程式和/或惡意軟體偵測器。