윈 도 우 dllhost.exe 정체좀요
2014.01.05 20:00
dllhost.exe 검색하니 웜 일수도 있고 아닐수도 있다고해서
일단 삭제해봤어요
바탕화면 속성(개인설정) 하면 에러
내컴퓨터 속성크릭하면 무반응등 에러 등등
- cpu 메모리 과다사용증상 있다는데 저는 정상인거 같고요
댓글 [5]
-
DaBin 2014.01.05 20:30
-
축이당게 2014.01.05 20:50
답변감사해요 꾸벅 ..
요번에 셋팅한거에서 조금 의심되서 질문드린건데
아무튼 감사하고요 다시셋팅해야겠네요 ^^
치료하고쓰는거도 좀 그렇고해서요
-
네버그린 2014.01.05 21:50
정상입니다.
이것이 하는 일이 있으니 상시 구동은 당연한거겠죠만, 경로가 system32에 있지 않다면 그것이 문제겠죠.
프로세스를 보면 특이할만한 시피유점유 증폭 같은 일이 없는걸보니 정상입니다.
8.1인 제거에도 있습니다^^
-
축이당게 2014.01.06 00:48
system32 / syswow64 두군대만 있네요
-
네버그린 2014.01.06 18:53
64비트 운영체제군요. 전 32비트랍니다.
그림에 두개 떠있는거 보이시죠? 정상입니다. syswow64에 대해서는 밑에...
--------^읽어보세요^-------------
64비트 윈도우즈에서 GetSystemDirectory 함수를 호출하면 어떤 결과가 나올까.
만약 32비트 프로세스에서 실행을 한다면 c:\windows\system32 가 나오게 된다.
그리고, 64비트 프로세스에서도 마찬가지로 c:\windows\system32 가 나오게 된다.
하지만 이건 같은것이 아니다.
32비트 프로세스에서 c:\windows\system32 폴더에 뭔가를 쓰게 되면 실질적으로는 c:\windows\syswow64 폴더에 써지게 된다. 즉, 내부적으로 저렇게 리다이렉트가 되는 것이다.
경로를 코드상에 c:\windows\system32 로 하드코딩한 경우도 있을 것이고 GetSystemDirectory 같은 거로 구했을 수도 있을 것이다.
두 경우 다 보이기에는 c:\windows\system32 로 보이지만, 운영체제 내부적으로 syswow64 폴더로 리다이렉트를 해주게 된다. 이렇게 64비트 운영체제에서 32비트 프로세스가 호환되도록 해놓은 것이다.
64비트 프로세스에서는 c:\windows\system32 가 코드상으로나 물리적으로나 시스템폴더가 된다.
용어상으로는 32비트 프로세스는 system32, 64비트 프로세스는 syswow64 일거 같으나, 위와 같이 전혀 그렇지가 않은 것이다.
SysWow64 폴더는 32비트 프로세스를 위한 폴더인 것이다.
간단한 테스트로, 탐색기로 c:\windows\system32에 있는 cmd.exe 와 c:\windows\syswow64 에 있는 cmd.exe 를 실행시킨다.
작업 관리자로 보면 system32에 있는 cmd.exe는 64비트로 실행되고 있고, syswow64에 있는 cmd.exe는 32비트로 실행된다.
syswow64에 있는 cmd.exe 에서 경로를 cd c:\windows\system32 로 옮겨 본다.
그런 후 그 폴더로 파일을 하나 복사해본다.
탐색기로 그 복사된 파일을 찾아보면 c:\windows\system32 폴더에는 없고, syswow64 폴더에 복사된 것을 확인할 수 있다.
물론, syswow64의 cmd.exe 에서는 system32 에 파일이 복사된 것으로 나온다... 즉, 리다이렉트가 된 것이어서 프로세스에서는 자신이 system32에 있는것으로 판단하지 syswow64 경로에 있다고 판단을 못하는 것이다.
마찬가지로 system32에 있는 cmd.exe로 꼭같은 작업을 해보면 정상적으로 c:\windows\system32에 파일이 복사됨을 알 수가 있다.
[출처] system32폴더와 syswow64폴더|작성자 김기용
| 번호 | 제목 | 글쓴이 | 조회 | 등록일 |
|---|---|---|---|---|
| [공지] | 질문과 답변 게시판 이용간 유의사항 | gooddew | - | - |
| 45192 | 기 타| 윈도우 iso파일 두개 합치는법좀요 [1] | 국떨 | 1274 | 01-06 |
| 45191 | 윈 도 우| 레지스트리 shell folders(user shell folders) 변경 문제? [2] | .NET | 1208 | 01-06 |
| 45190 | 기 타| 공유기와 허브 연결시.. [6] | 오백원 | 2224 | 01-06 |
| 45189 | 윈 도 우| 절전모드에서 원상태로 돌아올 때 오류 관련 질문 [1] | 세이레이 | 1106 | 01-06 |
| 45188 | 윈 도 우| 윈도우7 64비트 순정 + 윈도우7 64비트 튜닝버젼을 usb에 ... [2] | 얼능가자 | 1713 | 01-06 |
| 45187 | 윈 도 우| 8.1 에서 SKY HDTV 사용자분 계시나요??? [7] | 알미뜽 | 4221 | 01-06 |
| 45186 | 윈 도 우| 윈도우 임베디드 8.1 버젼 금융결제 관련 [4] | 금빛어둠 | 2286 | 01-06 |
| 45185 | 하드웨어| 노트북, 모니터(TV 겸용) 사운드 출력 관련 질문 드립니다. [1] | 졸려요 | 1961 | 01-06 |
| 45184 | 하드웨어| LG 컴퓨터 터치전원 보드연결법 [1] | small | 1587 | 01-06 |
| 45183 | 윈 도 우| 바탕화면에 다운 받은 폴더 삭제시 권한 요구 문제 [1] | 하라♥ | 1555 | 01-06 |
| 45182 | 기 타| bcd 수정 도와주세요. [2] | IS진 | 1811 | 01-05 |
| 45181 | 기 타| 아들녀석 강의시간에 사용할 녹음기 좀 추천해 주세요... [5] | 파워클래식 | 1507 | 01-05 |
| 45180 | 윈 도 우| 윈도우 업데이트가 안됩니다. [4] | ◕‿◕ | 2804 | 01-05 |
| 45179 | 윈 도 우| 윈도우 업데이트... 꼭 해야하나요? [9] | 국떨 | 2694 | 01-05 |
| 45178 | 서버 / IT| dbo.access란 테이블은 어떤건가요? [2] | 박군 | 1479 | 01-05 |
| 45177 | 소프트웨어| 엑셀2013은 외부링크가 많이되어있으면 | SIM | 1850 | 01-05 |
| 45176 | 윈 도 우| 윈도우7 ie10 환경에서 daum 홈페이지 플래시 광고창 안뜨... [4] | hotcity7 | 2271 | 01-05 |
| 45175 | 소프트웨어| [엑셀2013] 질문입니다. [1] | 자비 | 1337 | 01-05 |
| » | 윈 도 우| dllhost.exe 정체좀요 [5] | 축이당게 | 4652 | 01-05 |
| 45173 | 윈 도 우| 윈도우 7을 봉인하려 하는데요.. [3] | 센터짱 | 1533 | 01-05 |
DLLHOST.EXE 가 실행중이라면 - virus
https://www.windowexe.com/bbs/board.php?q=dllhost-exe-c-windows-gbictfmon-dllhost-exe
DLLHOST.EXE 가 실행중이라면 - virus
수동치료 방법
1. 시작 -> 설정 -> 제어판 -> 관리도구 -> 서비스 아이콘을 더블클릭한다.
2. 실행중인 서비스명중 다음 서비스가 있는지 확인후 있다면 해당 서비스를 중지하도록 한다.
- WINS Client
- Network Connections Sharing
3. CTRL+ALT+DEL 키를 동시에 눌러 작업관리자를 실행후 -> 프로세스 탭으로 이동한다.
4. 현재 실행중인 프로세스 목록중에서 DLLHOST.EXE 가 실행중이라면 선택후
'프로세스 종료' 버튼을 눌러 종료하도록 한다.
* 서비스가 종료되면 해당 프로세스도 같이 종료되는 경우가 있다.
이 경우는 별도로 프로세스를 종료하지 않아도 된다.
5. \WinNT\System32\Wins 또는 \Windows\System32\Wins 폴더로 이동후
다음과 같은 파일을 삭제한다.
- DLLHOST.EXE
- SVCHOST.EXE
증 상
웜은 윈도우 시스템 폴더(일반적으로 \Winnt\system32, \windows\system32)의 하위폴더인 Wins 폴더에 아래의 파일들을 복사된 후 실행된다.
- dllhost.exe (10,240 바이트)
웜 본체로서 실행압축된 형태이며 Visual C++ 로 작성 되었다.
V3는 Win32/Welchia.worm.10240 로 진단
- svchost.exe (19,728 바이트)
원래는 tftpd.exe 파일이며 정상적인 파일로서 진단하지 않는다.
그리고 다음의 레지스트리 값에 추가된후 서비스로 등록되여 부팅시 마다 실행되도록 한다.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcPatch
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\RpcPatch
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcPatch
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcTftpd