svchost. exe病毒专杀工具杀毒
因为svchost进程启动各种服务所以病毒、木马也想尽办法来利用它企图利用它的特性来迷惑用户达到感染、入侵、破坏的目的(如冲击波变种病毒“” ) 。但windows系统存在多个svchost进程是很正常的在受感染的机器中到底哪个是病毒进程呢?以下是小编收集的病毒专杀工具杀毒仅供大家阅读参考!
病毒专杀工具杀毒
不是病毒这是一个属于微软Windows操作系统的系统程序微软官方对它的解释是 是从动态链接库 (DLL)中运行的服务的通用主机进程名称。这个程序对系统的正常运行是非常重要 而且是不能被结束的。
常被病毒冒充的进程名有 、 、 。 随着Windows系统服务不断增多 为了节省系统资源微软把很多服务做成共享方式 交由进程来启动。 而系统服务是以动态链接库(DLL)形式实现的 它们把可执行程序指向 svchost 由 svchost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板” → “管理工具” →服务双击其中 “Cl ipBook”服务在其属性面板中可以发现对应的可执行文件路径“C: ”。再双击“Alerter”服务可以发现其可执行文件路径为“C:
1/8
-kLocalService” 而“Server”服务的可执行文件路径为
“C: -knetsvcs”。正是通过这种调用 可以省下不少系统资源因此系统中出现多个其实只是系统的服务而已。 在Windows2000 系统中一般存在 2 个进程 一个是RPCSS(RemoteProcedureCal l)服务进程 另外一个则是由很多服务共享的一个;而在WindowsXP中 则一般有4个以上的服务进程。如果进程的数量多于6个如果不是使用Vista或以上系统就要小心了很可能是病毒假冒的检测方法也很简单使用一些进程管理工具例如Windows优化大师的进程管理功能 查看的可执行文件路径 如果在
“C:WINDOWSsystem32” 目录外那么就可以判定是病毒了。清除办法
1.用unlocker删除类似于C: SysDayN6这样的文件夹例如C: Syswm1i 、 C: SysAd5D等等这些文件夹有个共同特点就是名称为Sys*** (***是三到五位的随机字母) 这样的文件夹有几个就删几个。
2.开始——运行——输入“regedit”——打开注册表 展 开 注 册 表 到 以 下 位 置 HKEY_CURRENT_USERSof twareMicrosof tWindowsCurrentVersionRun删除右边所有用纯数字为名的键 如
3.重新启动计算机病毒清除完毕。
病毒专杀工具杀毒 清除病毒
2/8
查看进程是什么
在开始菜单的运行中输入cmd 出现命令行提示输入命令“taskl ist /svc >c: . txt” (例如 C:Documents andSettingsAdministrator>taskl ist /svc >c: . txt) 就会在C盘根目录生成文档打开能够看到如下内容
查找的PID值和服务名称。
***************************************************
***************************
图像名 PID服务
========================= ======
=============================================
System Idle Process 0暂缺
System 4暂缺
1168暂缺
1228暂缺
1260暂缺
1308 Eventlog, PlugPlay
1320 Pol icyAgent, ProtectedStorage, SamSs
1484 IBMPMSVC
1520 Ati HotKey Pol ler
1544 DcomLaunch, TermService
3/8
1684 RpcSs
380 AudioSrv, BITS, Browser, CryptSvc, Dhcp,EventSystem, FastUserSwitchingCompatibi l ity,helpsvc, lanmanserver, lanmanworkstation,Netman, Nla, RasMan, Schedule, seclogon,
SENS, SharedAccess, Shel lHWDetection,
TapiSrv, Themes, TrkWks, W32Time, winmgmt,wscsvc, wuauserv, WZCSVC
420 btwdins
456暂缺
624 EvtEng
812 S24EventMonitor
976 Dnscache
1192 Alerter, LmHosts, RemoteRegistry, SSDPSRV,WebCl ient
1852 Spooler
272 IPSSVC
288 AcPrfMgrSvc
1064 AVG Anti-Spyware Guard
1124 AVP
1284 Bonjour Service
1848 IISADMIN, W3SVC
4/8
3464 InterBaseGuardian
3556 RegSrvc
3596 stisvc
3968 SUService
3788 TPHDEXLGSVC
3804 TpKmpSVC
3836 TVT Scheduler
3920 UMWdf
3956 VMAuthdService
3576 vmount2
4112 VMware NAT Service
4360 VMnetDHCP
4388 AcSvc
4684 InterBaseServer
5416暂缺
5704 ALG
3776暂缺
4912暂缺
5088暂缺
5120暂缺
5136暂缺
4532暂缺
5/8
4648暂缺
4412暂缺
5196暂缺
5284暂缺
6020暂缺
6124暂缺
5584暂缺
4164 COMSysApp
1232暂缺
2212暂缺
2016暂缺
6360暂缺
2928暂缺
5552暂缺
1900暂缺
***************************************************
***************************
假如看到哪个进程后面提示的服务信息是“暂缺”而不是个具体的服务名 那么他就是病毒进程了记下这个病毒进程对应的PID数值(进程标识符) 即可在任务管理器的进程列表中找到他结束进程后在C盘搜索文档也能
6/8
够用第三方进程工具直接查看该进程的路径正常的文档是位于%systemroot%System32 目录中的而假冒的病毒或木马文档则会在其他目录 例如 “”病毒假冒的就隐藏在WindowsSystem32Wins 目录中将其删除并完全清除病毒的其他数据即可。
二、病毒高级骗术
一些高级病毒则采用类似系统服务启动的方式通过真正的进程加载病毒程式 而是通过注册表数据来决定要装载的服务列表的所以病毒通常会在注册表中采用以下方法进行加载 添加一个新的服务组在组里添加病毒服务名在现有的服务组里直接添加病毒服务名修改现有服务组里的现有服务属性修改其“ServiceDl l”键值指向病毒程式判断方法:病毒程式要通过真正的进程加载就必须要修改相关的注册表数据能够打开观察有没有增加新的服务组同时要留意服务组中的服务列表观察有没有可疑的服务名称通常来说 病毒不会在只有一个服务名称的组中添加往往会选择LocalService和netsvcs这两个加载服务较多的组以干扰分析更有通过修改服务属性指向病毒程式的通过注册表判断起来都比较困难这时能够利用前面介绍的服务管理专家分别打开LocalService和netsvcs分支逐个检查右边服务列表中的服务属性尤其要注意服务描述信息全部为英文的很可能是第三方安装的服务 同时要结
7/8
合他的文档描述、版本、公司等相关信息进行综合判断。例如这个名为PortLess BackDoor的木马程式在服务列表中能够看到他的服务描述为 “Intranet Services” 而他的文档版本、公司、描述信息更全部为空假如是微软的系统服务程式是绝对不可能出现这种现象的。从启动信息“C: -knetsvcs” 中能够看出这是一款典型的利用进程加载运行的木马知道了其原理清除方法也很简单了先用服务管理专家停止该服务的运行然后运行打开“注册表编辑器”删除主键重新启动电脑再删除%systemroot%System32目录中的木马源程式 “”通过按时间排序又发现了时间完全相同的木马安装程式 “” 一并删除即可。 是nt核心系统的很重要的进程对于2000、 xp来说不可或缺。很多病毒、木马也会调用他。
8/8
今天遇到一个网友,他之前一直在用阿里云虚拟主机,我们知道虚拟主机绑定域名是直接在面板上绑定的。这里由于他的网站项目流量比较大,虚拟主机是不够的,而且我看他虚拟主机已经有升级过。这里要说的是,用过阿里云虚拟主机的朋友可能会比较一下价格,实际上虚拟主机价格比云服务器还贵。所以,基于成本和性能的考虑,建议他选择云服务器。毕竟他的备案都接入在阿里云。这里在选择阿里云服务器后,他就蒙圈不知道如何绑定域名。这...
Spinservers是Majestic Hosting Solutions,LLC旗下站点,主营美国独立服务器租用和Hybrid Dedicated等,数据中心位于美国德克萨斯州达拉斯和加利福尼亚圣何塞机房。TheServerStore.com,自 1994 年以来,它是一家成熟的企业 IT 设备供应商,专门从事二手服务器和工作站业务,在德克萨斯州拥有 40,000 平方英尺的仓库,库存中始终有...
易探云香港vps主机价格多少钱?香港vps主机租用费用大体上是由配置决定的,我们选择香港vps主机租用最大的优势是免备案vps。但是,每家服务商的机房、配置、定价也不同。我们以最基础配置为标准,综合比对各大香港vps主机供应商的价格,即可选到高性能、价格适中的香港vps主机。通常1核CPU、1G内存、2Mbps独享带宽,价格在30元-120元/月。不过,易探云香港vps主机推出四个机房的优惠活动,...