SVCHO ST.EXE病毒清除及专杀工具
发布时间 2008-03-3108:00:00来源新客网络学院转载作者新客网络学院转载点击 4059一、手工清除SVCHO ST.EXE病毒
查看 svcho st.exe进程是什么
在开始菜单的运行中输入cmd 出现命令行提示输入命令“ta sklist/svc>c:1.txt”
例如 C:D ocume nts and S e tting sAdministrato r>tasklis t /svc>c:1.txt 就会在C盘根目录生成1.txt文件打开1.txt可以看到如下内容
查找svcho st.exe的PID值和服务名称。
************************************************************************
******
图像名 PID服务
===============================
mDNSResponder.exe 1284 Bonjour Serviceinetinfo.exe 1848 IISADMIN,W3SVCibguard.exe 3464 InterBaseGuardianRegSrvc.exe 3556 RegSrvcsvchost.exe 35Array6 stisvc
SUService.exe 3Array68 SUService
TPHDEXLG.exe 3788 TPHDEXLGSVCTpKmpSvc.exe 3804TpKmpSVCtvtsched.exe 3836 TVT Schedulerwdfmgr.exe 3Array20 UMWdfvmware-authd.exe 3Array56 VMAuthdServicevmount2.exe 3576 vmount2vmnat.exe 4112 VMwareNAT Servicevmnetdhcp.exe 4360 VMnetDHCP
AcSvc.exe 4388AcSvcibserver.exe 4684 InterBaseServerexplorer.exe 5416暂缺alg.exe 5704ALG
SynTPEnh.exe 3776暂缺
SvcGuiHlpr.exe 4Array12暂缺
TPHKMGR.exe 5088暂缺
UNavTray.exe 5120暂缺
TpShocks.exe 5136暂缺
TPONSCR.exe 4532暂缺avp.exe 4648暂缺
TpScrex.exe 4412暂缺
CRavgas.exe 51Array6暂缺ctfmon.exe 5284暂缺
VStart.exe 6020暂缺
QQ.exe 6124暂缺
TXPlatform.exe 5584暂缺dllhost.exe 4164 COMSysAppdavcdata.exe 1232暂缺
Maxthon.exe 2212暂缺
EmEditor.exe 2004暂缺cmd.exe 6360暂缺conime.exe 2Array28暂缺wmiprvse.exe 5552暂缺tasklist.exe 1Array00暂缺
符) 即可在任务管理器的进程列表中找到它结束进程后在C盘搜
索Svchost.exe文件也可以用第三方进程工具直接查看该进程的路径正常的Svchost.exe文件是位于%systemroot%System32目录中的而假冒的Svcho st.exe病毒或木马文件则会在其他目录例如“w32.welc hina.worm”病毒假冒的
Svchost.exe就隐藏在WindowsSystem32Wins目录中将其删除并彻底清除病毒的其他数据即可。
二、 SVCHOST.EXE病毒高级骗术
一些高级病毒则采用类似系统服务启动的方式通过真正的Svchost.exe进程加载病毒程序而Svchost.exe是通过注册表数据来决定要装载的服务列表的所以病毒通常会在注册表中采用以下方法进行加载 添加一个新的服务组在组里添加病毒服务名在现有的服务组里直接添加病毒服务名修改现有服务组里的现有服务属性修改其“ServiceDll”键值指向病毒程序判断方法:病毒程序要通过真正的Svchost.exe进程加载就必须要修改相关的注册表数据可以打开
[HKEY_LO CAL_M A CHINES oftwareMic ro softWindo wsNTCurr entVe rs io nSvchost]观察有没有增加新的服务组 同时要留意服务组中的服务列表观察有没有可疑的服务名称通常来说病毒不会在只有一个服务名称的组中添加往往会选择LocalService和netsvcs这两个加载服务较多的组 以干扰分析还有通过修改服务属性指向病毒程序的通过注册表判断起来都比较困难这时可以利用前面介绍的服务管理专家分别打开Lo calServic e和netsvc s分支逐个检查右边服务列表中的服务属性尤其要注意服务描述信息全部为英文的很可能是第三方安装的服务 同时要结合它的文件描述、版本、公司等相关信息进行综合判断。例如这个名为PortLess BackDoor的木马程序在服务列表中可以看到它的服务描述为“Intranet Services”而它的文件版本、公司、描述信息更全部为空如果是微软的系统服务程序是绝对不可能出现这种现象的。从启动信息“C:WINDOWSSystem32svchost.exe-k netsvcs”中可以看出这是一款典型的利用Svcho st.exe进程加载运行的木马知道了其原理清除方法也很简单了先用服务管理专家停止该服务的运行然后运行re gedit.e xe打开“注册表编辑器”删除
[HKEY_LO CAL_MACHINESyste mCurre ntC o ntro lS et
Servic esIPRIP]主键重新启动计算机再删除%systemroot%System32目录中的木马源程序“s vc ho s td ll.d ll”通过按时间排序又发现了时间完全相同的木马安装程序“Portle ssInst.exe”一并删除即可。 svchost.exe是nt核心系统的非常重要的进程对于2000、 xp来说不可或缺。很多病毒、木马也会调用它。
三、 SVCHO ST.EXE病毒专杀工具
SVCHO S T.EXE病毒专杀工具下载 Autorun病毒防御者/Auto Guard e r2下载
昔日数据,国内商家,成立于2020年,主要销售湖北十堰和香港HKBN的云服务器,采用KVM虚拟化技术构架,不限制流量。当前夏季促销活动,全部首月5折促销,活动截止于8月11日。官方网站:https://www.xrapi.cn/5折优惠码:XR2021湖北十堰云服务器托管于湖北十堰市IDC数据中心,母鸡采用e5 2651v2,SSD MLC企业硬盘、 rdid5阵列为数据护航,100G高防,超出防...
hosteons当前对美国洛杉矶、达拉斯、纽约数据中心的VPS进行特别的促销活动:(1)免费从1Gbps升级到10Gbps带宽,(2)Free Blesta License授权,(3)Windows server 2019授权,要求从2G内存起,而且是年付。 官方网站:https://www.hosteons.com 使用优惠码:zhujicepingEDDB10G,可以获得: 免费升级10...
适逢中国农历新年,RAKsmart也发布了2月促销活动,裸机云、云服务器、VPS主机全场7折优惠,新用户注册送10美元,独立服务器每天限量秒杀最低30.62美元/月起,美国洛杉矶/圣何塞、日本、香港站群服务器大量补货,1-10Gbps大带宽、高IO等特色服务器抄底价格,机器可选大陆优化、国际BGP、精品网及CN2等线路,感兴趣的朋友可以持续关注下。裸机云新品7折,秒杀产品5台/天优惠码:Bare-...