SVCHOST.EXE 一連上網 CPU 就飆高到 100－無尾熊IT 資訊站

SVCHOST.EXE 一連上網 CPU 就飆高到 100

序言︰最近看到很多人在問這個問題，所以順手寫了一篇，前提是確認電腦裡面沒有(幾乎)木馬或病毒喔，也就是該有的防毒軟體、防火牆、漏洞修補都有做到，而且你曾殺過木馬。就算是你中木馬、病毒，這篇提到的相關追蹤技巧也可以用到，老實說，中了什麼病毒、木馬的很好解決，教學我之後有空會再寫，但是系統衝突卻很難處理，常常會以為是病毒破壞～

建議︰一開機進入桌面，馬上叫出工作管理員出來監看

筆者電腦作業系統是 XP SP2，從未更新什麼漏洞修補程式，防毒軟體與防火牆都是使用 Kaspersky

最近症狀是一撥接上網不久，svchost.exe 就會耗盡 CPU 效能，此時要做什麼，都會回應很慢，觀察上/下傳狀況是上傳大概每次跳 1K，而下載卻是每次跳 10~20K，不曉得是在下載什麼東西啦，管他～雖然我有 TrueImage 系統映像檔，但還是懶得還原，就等吧～

待 2、3分鐘後，電腦回復正常可以繼續使用，之後就不會有這種問題，猜想應該是背景某個程式一偵測到連線上網，搶先使用網路，但基於某種原因與系統發生衝突，致使 CPU 效能被耗盡

1.先去把沒用的服務關掉吧︰什麼垃圾系統還原、遠端桌面連線、線上更新服務的通通關閉，重開機

2.開始->執行輸入 cmd 叫出 DOS 視窗

輸入命令 tasklist /svc

看到了吧，svchost 是個共享平台，這麼多個程式要藉由他的幫忙才能執行喔，如果單獨看到工作管理員裡 svchost.exe 衝到100，就跑去 windows/system32 把他砍掉，下場可是會很慘滴。

svchost.exe 本尊只有在 system32 裡面，在其他地方看到的話，不用懷疑把他砍掉吧，有些木馬會偽裝成 svch0st.exe、svhost.exe，或者在 system32 裡新增一個資料夾 wins，然後躲在裡面～

有沒有看到 wuauserv，這不就是微軟自動更新程式嗎，都去設定關閉了，還在後台啟動執行，一些非必要的可以自己去 控制台->系統管理工具->服務 設定關閉，很多在系統裡設定關閉的，其實是假關閉，都是騙人的啦～該關閉哪些服務，可以自己去網路上參考人家怎麼說。

3.輸入命令 net stop wuauserv，叫他不要再做一些偷雞摸狗的事了

4.設定防火牆的封包過濾，永久封鎖己知的微軟 RPC 連接埠，包括：

Port 135 (tcp/udp)
Port 137 (udp)
Port 138 (udp)
Port 139 (tcp)
Port 445 (tcp/udp)
Port 593 (tcp)

注意︰這會讓其他區域網路的人，無法看到你分享的資料夾，但是疾風病毒就是從這邊攻擊的，要不要封鎖，看你囉～其實變種疾風還是會繼續想辦法鑽微軟的漏洞，微軟漏洞補不完啦，所以我都沒在升級補漏洞！

5.輸入命令 netstat /an，可以查看 TCP 與 UDP 開啟的連接埠，一般起碼都會像圖中 135、139 連接埠在 Listening (監聽)，監聽大多都是不好的，圖中另外一個 1029埠，是 Windows 內建的防火牆 alg.exe，每次開機的連接埠都不太一樣，通常開啟 1024~1032 之間的連接埠。如果看到其他不明連結埠開啟，也是 Listening，表示該程式等著連線出去，這就得留意點了