윈 도 우 dllhost.exe 정체좀요
2014.01.05 20:00
dllhost.exe 검색하니 웜 일수도 있고 아닐수도 있다고해서
일단 삭제해봤어요
바탕화면 속성(개인설정) 하면 에러
내컴퓨터 속성크릭하면 무반응등 에러 등등
- cpu 메모리 과다사용증상 있다는데 저는 정상인거 같고요
댓글 [5]
-
DaBin 2014.01.05 20:30
-
축이당게 2014.01.05 20:50
답변감사해요 꾸벅 ..
요번에 셋팅한거에서 조금 의심되서 질문드린건데
아무튼 감사하고요 다시셋팅해야겠네요 ^^
치료하고쓰는거도 좀 그렇고해서요
-
네버그린 2014.01.05 21:50
정상입니다.
이것이 하는 일이 있으니 상시 구동은 당연한거겠죠만, 경로가 system32에 있지 않다면 그것이 문제겠죠.
프로세스를 보면 특이할만한 시피유점유 증폭 같은 일이 없는걸보니 정상입니다.
8.1인 제거에도 있습니다^^
-
축이당게 2014.01.06 00:48
system32 / syswow64 두군대만 있네요
-
네버그린 2014.01.06 18:53
64비트 운영체제군요. 전 32비트랍니다.
그림에 두개 떠있는거 보이시죠? 정상입니다. syswow64에 대해서는 밑에...
--------^읽어보세요^-------------
64비트 윈도우즈에서 GetSystemDirectory 함수를 호출하면 어떤 결과가 나올까.
만약 32비트 프로세스에서 실행을 한다면 c:\windows\system32 가 나오게 된다.
그리고, 64비트 프로세스에서도 마찬가지로 c:\windows\system32 가 나오게 된다.
하지만 이건 같은것이 아니다.
32비트 프로세스에서 c:\windows\system32 폴더에 뭔가를 쓰게 되면 실질적으로는 c:\windows\syswow64 폴더에 써지게 된다. 즉, 내부적으로 저렇게 리다이렉트가 되는 것이다.
경로를 코드상에 c:\windows\system32 로 하드코딩한 경우도 있을 것이고 GetSystemDirectory 같은 거로 구했을 수도 있을 것이다.
두 경우 다 보이기에는 c:\windows\system32 로 보이지만, 운영체제 내부적으로 syswow64 폴더로 리다이렉트를 해주게 된다. 이렇게 64비트 운영체제에서 32비트 프로세스가 호환되도록 해놓은 것이다.
64비트 프로세스에서는 c:\windows\system32 가 코드상으로나 물리적으로나 시스템폴더가 된다.
용어상으로는 32비트 프로세스는 system32, 64비트 프로세스는 syswow64 일거 같으나, 위와 같이 전혀 그렇지가 않은 것이다.
SysWow64 폴더는 32비트 프로세스를 위한 폴더인 것이다.
간단한 테스트로, 탐색기로 c:\windows\system32에 있는 cmd.exe 와 c:\windows\syswow64 에 있는 cmd.exe 를 실행시킨다.
작업 관리자로 보면 system32에 있는 cmd.exe는 64비트로 실행되고 있고, syswow64에 있는 cmd.exe는 32비트로 실행된다.
syswow64에 있는 cmd.exe 에서 경로를 cd c:\windows\system32 로 옮겨 본다.
그런 후 그 폴더로 파일을 하나 복사해본다.
탐색기로 그 복사된 파일을 찾아보면 c:\windows\system32 폴더에는 없고, syswow64 폴더에 복사된 것을 확인할 수 있다.
물론, syswow64의 cmd.exe 에서는 system32 에 파일이 복사된 것으로 나온다... 즉, 리다이렉트가 된 것이어서 프로세스에서는 자신이 system32에 있는것으로 판단하지 syswow64 경로에 있다고 판단을 못하는 것이다.
마찬가지로 system32에 있는 cmd.exe로 꼭같은 작업을 해보면 정상적으로 c:\windows\system32에 파일이 복사됨을 알 수가 있다.
[출처] system32폴더와 syswow64폴더|작성자 김기용
| 번호 | 제목 | 글쓴이 | 조회 | 등록일 |
|---|---|---|---|---|
| [공지] | 질문과 답변 게시판 이용간 유의사항 | gooddew | - | - |
| 45177 | 소프트웨어| 엑셀2013은 외부링크가 많이되어있으면 | SIM | 1850 | 01-05 |
| 45176 | 윈 도 우| 윈도우7 ie10 환경에서 daum 홈페이지 플래시 광고창 안뜨... [4] | hotcity7 | 2272 | 01-05 |
| 45175 | 소프트웨어| [엑셀2013] 질문입니다. [1] | 자비 | 1337 | 01-05 |
| » | 윈 도 우| dllhost.exe 정체좀요 [5] | 축이당게 | 4654 | 01-05 |
| 45173 | 윈 도 우| 윈도우 7을 봉인하려 하는데요.. [3] | 센터짱 | 1533 | 01-05 |
| 45172 | 윈 도 우| ie11 한글로된 파일 다운시 글자 깨지는 현상 [4] | 하라♥ | 2155 | 01-05 |
| 45171 | 윈 도 우| 윈도우7 USER-PE에 AUTODISPLAY 넣고 싶습니다. [1] | 지룡자 | 1838 | 01-05 |
| 45170 | 소프트웨어| 원노트 활용과 사용법 [4] | ◕‿◕ | 2608 | 01-05 |
| 45169 | 윈 도 우| 원노트로 일기를 쓰다보면 타이핑되는 글자속도가 느려집니다. [2] | 글루미라이 | 1561 | 01-05 |
| 45168 | 기 타| 일반 USB메모리->로컬디스크로 인식하게 할수있나요? [4] | 늘푸른소나 | 3268 | 01-05 |
| 45167 | 윈 도 우| 노트북 유선 인터넷이 갑자기 안되네요. [2] | 만추가경 | 1371 | 01-05 |
| 45166 | 기 타| 하드용량이 다를때 OS 백업하는 방법이.. [4] | 닭그네 | 1368 | 01-05 |
| 45165 | 기 타| 암호관리유틸 LastPass 대용으로 쓸만한게 있나요? [2] | 닭그네 | 1163 | 01-05 |
| 45164 | 윈 도 우| StartIsBackPlus 최신 버전 어디서 구하나요??? [2] | 파란하늘촌 | 2331 | 01-05 |
| 45163 | 기 타| 네이버 다음 [7] | ◕‿◕ | 4610 | 01-05 |
| 45162 | 기 타| MPSigStub 삭제가 되지 않아요? [1] | 밀크사랑 | 7416 | 01-05 |
| 45161 | 소프트웨어| AMDFilter 드라이버가 어디에 쓰이는 드라이버인가요 [2] | 누구.. | 1046 | 01-05 |
| 45160 | 소프트웨어| 좀어처구니없는 질문입다만! [18] | SEVEN | 1522 | 01-05 |
| 45159 | 소프트웨어| IE 실행 문제 [4] | 벗나무 | 2047 | 01-05 |
| 45158 | 소프트웨어| cyberarticle 잘아시는분 도와주세요. [3] | 레오니스 | 1428 | 01-05 |
DLLHOST.EXE 가 실행중이라면 - virus
https://www.windowexe.com/bbs/board.php?q=dllhost-exe-c-windows-gbictfmon-dllhost-exe
DLLHOST.EXE 가 실행중이라면 - virus
수동치료 방법
1. 시작 -> 설정 -> 제어판 -> 관리도구 -> 서비스 아이콘을 더블클릭한다.
2. 실행중인 서비스명중 다음 서비스가 있는지 확인후 있다면 해당 서비스를 중지하도록 한다.
- WINS Client
- Network Connections Sharing
3. CTRL+ALT+DEL 키를 동시에 눌러 작업관리자를 실행후 -> 프로세스 탭으로 이동한다.
4. 현재 실행중인 프로세스 목록중에서 DLLHOST.EXE 가 실행중이라면 선택후
'프로세스 종료' 버튼을 눌러 종료하도록 한다.
* 서비스가 종료되면 해당 프로세스도 같이 종료되는 경우가 있다.
이 경우는 별도로 프로세스를 종료하지 않아도 된다.
5. \WinNT\System32\Wins 또는 \Windows\System32\Wins 폴더로 이동후
다음과 같은 파일을 삭제한다.
- DLLHOST.EXE
- SVCHOST.EXE
증 상
웜은 윈도우 시스템 폴더(일반적으로 \Winnt\system32, \windows\system32)의 하위폴더인 Wins 폴더에 아래의 파일들을 복사된 후 실행된다.
- dllhost.exe (10,240 바이트)
웜 본체로서 실행압축된 형태이며 Visual C++ 로 작성 되었다.
V3는 Win32/Welchia.worm.10240 로 진단
- svchost.exe (19,728 바이트)
원래는 tftpd.exe 파일이며 정상적인 파일로서 진단하지 않는다.
그리고 다음의 레지스트리 값에 추가된후 서비스로 등록되여 부팅시 마다 실행되도록 한다.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcPatch
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\RpcPatch
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcPatch
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcTftpd