windows系统进程之真假dllhost.exe

1.进程描述:[dllhost.exe]
  

  进程文件: dllhost or dllhost.exe
  
  进程名称: DCOM DLL Host进程
  
  描  述: DCOM DLL Host进程支持基于COM对象支持DLL以运行Windows程序。
  
  介  绍:com代理,系统附加的dll组件越多,则dllhost占用的cpu资源和内存资源就越多,而8月的“冲击波杀手”大概让大家对它比较熟悉吧。
  
2 解决Web服务器出现的dllhost.exe错误
  
  我的Web服务器出了问题。一个弹出话框显示“dllhost.exe出现错误”。当我查看应用事件日志时发现有很多Active Server Pages Event 5这样的错误。它们在错误信息中显示为“line 0内存溢出”。这种错误以前每隔几天就发生一次,但现在是每隔几小时就发生一次。重启后也只能维持一阵子。你对此有什么看法吗?
  
  我还没碰到过这种问题,但我在微软的参考信息中看到Exchange Outlook Web Access使用过程中描述过这样的错误。([url]http://support.microsoft.com/?kbid=224327[/url])
  
  该链接建议你安装最新的Exchange升级版。如果你在使用Exchange,不妨尝试一下。如果没有,我就要给你一些建议,它们同那些存在ASP 3.0方面问题的人的建议一样:
  
  确保你有所有最新升级版和服务包。
  
  在每个Web应用中允许进程隔离。
  
  将应用程序升级到ASP.NET。
  
  将Web 服务器升级到Windows Server 2003。
  
  

3、FAQ集合:

了解真相 dllhost.exe是病毒吗?
  
  dllhost.exe 解释
  
  dllhost.exe是什么?
  
  dllhost.exe是运行COM+的组件,即COM代理,运行Windows中的Web和FTP服务器必须有这个东西。
  
  什么时候会出现dllhost.exe?
  
  运行COM+组件程序的时候就会出现。例如江民KV2004
  
  冲击波杀手又是怎么一回事?
  
  冲击波杀手借用了dllhost.exe作为进程名,但是由于Windows不允许同一个目录下有同名文件的存在,因此,冲击波杀手把病毒体:dllhost.exe放到了C:\Windows\System32\Wins目录里面(Windows 2000是C:\WINNT\System32\Wins,全部假设系统安装在C盘),但是真正的dllhost.exe应该放 在C:\Windows\System32(Windows 2000是C:\WINNT\System32)
  
  换句话说就是:冲击波(Worm.WelChia)为了迷惑用户,避免病毒的执行体被进程管理器终止,采用了dllhost.e xe这个和Windows组件一样的名字,但是并不是说进程里面出现dllhost.exe就等于感染了worm.welchi a
  
  再看看这里的FAQ吧
  
  第一个误区————进程出现Dllhost.exe就等于中了病毒
  Dllhost.exe是系统文件,但是进程里面出现Dllhost.exe进程不等于中了病毒
  
  第二个误区————一见Dllhost.exe进程就杀死
  其实这样做是不好的。很多程序都需要Dllhost.exe,例如KV2004实时监控运行的时候或IIS在解析一些ASP文件 的时候,进程中都会出现Dllhost.exe
  
  之所以大家恐惧Dllhost.exe进程,恐怕是由于冲击波(杀手)的问题。
  其实冲击波(杀手)只不过采取了一个偷梁换柱的方法。因为任务管理器里面无法看出进程中exe文件的路径,所以让大家在分析问题 的时候出现一些偏差。
  
  感染冲击波(杀手)的典型特征不是进程中出现Dllhost.exe,而是RPC服务出现问题(冲击波)和System32\w ins目录里面出现svchost.exe和dllhost.exe文件(冲击波杀手)。注意路径!!
  
  那么,Dllhost.exe是什么呢?Dllhost.exe是 COM+ 的主进程。正常下应该位于system32目录里面和system32\dllcache目录里面。而system32\win s目录里面是不会有dllhost.exe文件的。 

 
  • 0
    点赞
  • 0
    评论
  • 0
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

©️2021 CSDN 皮肤主题: 精致技术 设计师:CSDN官方博客 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值