윈 도 우 dllhost.exe 정체좀요
2014.01.05 20:00
dllhost.exe 검색하니 웜 일수도 있고 아닐수도 있다고해서
일단 삭제해봤어요
바탕화면 속성(개인설정) 하면 에러
내컴퓨터 속성크릭하면 무반응등 에러 등등
- cpu 메모리 과다사용증상 있다는데 저는 정상인거 같고요
댓글 [5]
-
DaBin 2014.01.05 20:30
-
축이당게 2014.01.05 20:50
답변감사해요 꾸벅 ..
요번에 셋팅한거에서 조금 의심되서 질문드린건데
아무튼 감사하고요 다시셋팅해야겠네요 ^^
치료하고쓰는거도 좀 그렇고해서요
-
네버그린 2014.01.05 21:50
정상입니다.
이것이 하는 일이 있으니 상시 구동은 당연한거겠죠만, 경로가 system32에 있지 않다면 그것이 문제겠죠.
프로세스를 보면 특이할만한 시피유점유 증폭 같은 일이 없는걸보니 정상입니다.
8.1인 제거에도 있습니다^^
-
축이당게 2014.01.06 00:48
system32 / syswow64 두군대만 있네요
-
네버그린 2014.01.06 18:53
64비트 운영체제군요. 전 32비트랍니다.
그림에 두개 떠있는거 보이시죠? 정상입니다. syswow64에 대해서는 밑에...
--------^읽어보세요^-------------
64비트 윈도우즈에서 GetSystemDirectory 함수를 호출하면 어떤 결과가 나올까.
만약 32비트 프로세스에서 실행을 한다면 c:\windows\system32 가 나오게 된다.
그리고, 64비트 프로세스에서도 마찬가지로 c:\windows\system32 가 나오게 된다.
하지만 이건 같은것이 아니다.
32비트 프로세스에서 c:\windows\system32 폴더에 뭔가를 쓰게 되면 실질적으로는 c:\windows\syswow64 폴더에 써지게 된다. 즉, 내부적으로 저렇게 리다이렉트가 되는 것이다.
경로를 코드상에 c:\windows\system32 로 하드코딩한 경우도 있을 것이고 GetSystemDirectory 같은 거로 구했을 수도 있을 것이다.
두 경우 다 보이기에는 c:\windows\system32 로 보이지만, 운영체제 내부적으로 syswow64 폴더로 리다이렉트를 해주게 된다. 이렇게 64비트 운영체제에서 32비트 프로세스가 호환되도록 해놓은 것이다.
64비트 프로세스에서는 c:\windows\system32 가 코드상으로나 물리적으로나 시스템폴더가 된다.
용어상으로는 32비트 프로세스는 system32, 64비트 프로세스는 syswow64 일거 같으나, 위와 같이 전혀 그렇지가 않은 것이다.
SysWow64 폴더는 32비트 프로세스를 위한 폴더인 것이다.
간단한 테스트로, 탐색기로 c:\windows\system32에 있는 cmd.exe 와 c:\windows\syswow64 에 있는 cmd.exe 를 실행시킨다.
작업 관리자로 보면 system32에 있는 cmd.exe는 64비트로 실행되고 있고, syswow64에 있는 cmd.exe는 32비트로 실행된다.
syswow64에 있는 cmd.exe 에서 경로를 cd c:\windows\system32 로 옮겨 본다.
그런 후 그 폴더로 파일을 하나 복사해본다.
탐색기로 그 복사된 파일을 찾아보면 c:\windows\system32 폴더에는 없고, syswow64 폴더에 복사된 것을 확인할 수 있다.
물론, syswow64의 cmd.exe 에서는 system32 에 파일이 복사된 것으로 나온다... 즉, 리다이렉트가 된 것이어서 프로세스에서는 자신이 system32에 있는것으로 판단하지 syswow64 경로에 있다고 판단을 못하는 것이다.
마찬가지로 system32에 있는 cmd.exe로 꼭같은 작업을 해보면 정상적으로 c:\windows\system32에 파일이 복사됨을 알 수가 있다.
[출처] system32폴더와 syswow64폴더|작성자 김기용
번호 | 제목 | 글쓴이 | 조회 | 등록일 |
---|---|---|---|---|
[공지] | 질문과 답변 게시판 이용간 유의사항 | gooddew | - | - |
101358 | 윈 도 우| 요즘 윈도우 설치시 iodd vs 벤토이 어떤게 좋을까요? [6] | 크론베리 | 406 | 12-26 |
101357 | 윈 도 우| [질문] 프로그램 실행 시 해당 프로그램 언어가 일본어로 ... [4] | sensyo | 342 | 12-25 |
101356 | 기 타| 온라인 쇼핑몰에 대한 질문입니다 [9] | 커피한잔 | 417 | 12-25 |
101355 | 기 타| 이럴때는 어떻게 해야 하나요? [3] | 테츠로 | 504 | 12-25 |
101354 | 기 타| 무선공유기의 Wi-Fi 문제 [9] | 동백66 | 608 | 12-25 |
101353 | 기 타| 원도우에 있는 휴대폰과 연결. 문자 작성중 엔터시.. [2] | 승두아빠 | 376 | 12-25 |
101352 | 기 타| 윈11 이번에 업데이트 했는데. 좀 헷갈리네요~~ 회원님들 ... [2] | 승두아빠 | 500 | 12-24 |
101351 | 소프트웨어| 광고차단 기능 없이 유저 필터 기능만 있는 확장툴 있나요? [2] | 소소생 | 255 | 12-24 |
101350 | 소프트웨어| Acrobat 2024버젼입니다. 엑셀에서 인쇄 > 프린터를 Ado... [3] | 승두아빠 | 588 | 12-24 |
101349 | 소프트웨어| 다시 질문좀 드리겠습니다 /죄송합니다 [2] | kang | 445 | 12-24 |
101348 | 기 타| 디펜더 삭제 [4] | 홍낄똥 | 654 | 12-24 |
101347 | 기 타| 안녕하세요~ 질문하나 드려요 노트북!!! [7] | 전복왕 | 441 | 12-24 |
101346 | 소프트웨어| 파티션프로그램 질문드립니다 [5] | 양치기영감 | 495 | 12-24 |
101345 | 하드웨어| 노트북 무선 랜카드를 데스크탑에 사용 가능할까요? [4] | 장마로 | 571 | 12-23 |
101344 | 소프트웨어| 레인미터 dock.. [11] | pc초보 | 480 | 12-23 |
101343 | 소프트웨어| 제가 여쭈어 볼게 있어서 글을적습니다 [2] | kang | 356 | 12-23 |
101342 | 소프트웨어| 윈도우 서비스(services.msc) 목록에 없는경우 [3] | 다마스쿠스 | 252 | 12-23 |
101341 | 소프트웨어| 제가 여쭈어 볼게 있어서 글을적습니다 [4] | kang | 446 | 12-23 |
101340 | 하드웨어| pc가 화면이 안뜨고 본체의 전원이 [6] | 스킨닥 | 453 | 12-23 |
101339 | 윈 도 우| 팀즈 업데이트 이후 접속 가능하신가요? [1] | BSD | 156 | 12-23 |
DLLHOST.EXE 가 실행중이라면 - virus
https://www.windowexe.com/bbs/board.php?q=dllhost-exe-c-windows-gbictfmon-dllhost-exe
DLLHOST.EXE 가 실행중이라면 - virus
수동치료 방법
1. 시작 -> 설정 -> 제어판 -> 관리도구 -> 서비스 아이콘을 더블클릭한다.
2. 실행중인 서비스명중 다음 서비스가 있는지 확인후 있다면 해당 서비스를 중지하도록 한다.
- WINS Client
- Network Connections Sharing
3. CTRL+ALT+DEL 키를 동시에 눌러 작업관리자를 실행후 -> 프로세스 탭으로 이동한다.
4. 현재 실행중인 프로세스 목록중에서 DLLHOST.EXE 가 실행중이라면 선택후
'프로세스 종료' 버튼을 눌러 종료하도록 한다.
* 서비스가 종료되면 해당 프로세스도 같이 종료되는 경우가 있다.
이 경우는 별도로 프로세스를 종료하지 않아도 된다.
5. \WinNT\System32\Wins 또는 \Windows\System32\Wins 폴더로 이동후
다음과 같은 파일을 삭제한다.
- DLLHOST.EXE
- SVCHOST.EXE
증 상
웜은 윈도우 시스템 폴더(일반적으로 \Winnt\system32, \windows\system32)의 하위폴더인 Wins 폴더에 아래의 파일들을 복사된 후 실행된다.
- dllhost.exe (10,240 바이트)
웜 본체로서 실행압축된 형태이며 Visual C++ 로 작성 되었다.
V3는 Win32/Welchia.worm.10240 로 진단
- svchost.exe (19,728 바이트)
원래는 tftpd.exe 파일이며 정상적인 파일로서 진단하지 않는다.
그리고 다음의 레지스트리 값에 추가된후 서비스로 등록되여 부팅시 마다 실행되도록 한다.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcPatch
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\RpcPatch
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcPatch
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcTftpd