SVCHO ST.EXE病毒清除及专杀工具
发布时间 2008-03-3108:00:00来源新客网络学院转载作者新客网络学院转载点击 4059一、手工清除SVCHO ST.EXE病毒
查看 svcho st.exe进程是什么
在开始菜单的运行中输入cmd 出现命令行提示输入命令“ta sklist/svc>c:1.txt”
例如 C:D ocume nts and S e tting sAdministrato r>tasklis t /svc>c:1.txt 就会在C盘根目录生成1.txt文件打开1.txt可以看到如下内容
查找svcho st.exe的PID值和服务名称。
************************************************************************
******
图像名 PID服务
===============================
mDNSResponder.exe 1284 Bonjour Serviceinetinfo.exe 1848 IISADMIN,W3SVCibguard.exe 3464 InterBaseGuardianRegSrvc.exe 3556 RegSrvcsvchost.exe 35Array6 stisvc
SUService.exe 3Array68 SUService
TPHDEXLG.exe 3788 TPHDEXLGSVCTpKmpSvc.exe 3804TpKmpSVCtvtsched.exe 3836 TVT Schedulerwdfmgr.exe 3Array20 UMWdfvmware-authd.exe 3Array56 VMAuthdServicevmount2.exe 3576 vmount2vmnat.exe 4112 VMwareNAT Servicevmnetdhcp.exe 4360 VMnetDHCP
AcSvc.exe 4388AcSvcibserver.exe 4684 InterBaseServerexplorer.exe 5416暂缺alg.exe 5704ALG
SynTPEnh.exe 3776暂缺
SvcGuiHlpr.exe 4Array12暂缺
TPHKMGR.exe 5088暂缺
UNavTray.exe 5120暂缺
TpShocks.exe 5136暂缺
TPONSCR.exe 4532暂缺avp.exe 4648暂缺
TpScrex.exe 4412暂缺
CRavgas.exe 51Array6暂缺ctfmon.exe 5284暂缺
VStart.exe 6020暂缺
QQ.exe 6124暂缺
TXPlatform.exe 5584暂缺dllhost.exe 4164 COMSysAppdavcdata.exe 1232暂缺
Maxthon.exe 2212暂缺
EmEditor.exe 2004暂缺cmd.exe 6360暂缺conime.exe 2Array28暂缺wmiprvse.exe 5552暂缺tasklist.exe 1Array00暂缺
符) 即可在任务管理器的进程列表中找到它结束进程后在C盘搜
索Svchost.exe文件也可以用第三方进程工具直接查看该进程的路径正常的Svchost.exe文件是位于%systemroot%System32目录中的而假冒的Svcho st.exe病毒或木马文件则会在其他目录例如“w32.welc hina.worm”病毒假冒的
Svchost.exe就隐藏在WindowsSystem32Wins目录中将其删除并彻底清除病毒的其他数据即可。
二、 SVCHOST.EXE病毒高级骗术
一些高级病毒则采用类似系统服务启动的方式通过真正的Svchost.exe进程加载病毒程序而Svchost.exe是通过注册表数据来决定要装载的服务列表的所以病毒通常会在注册表中采用以下方法进行加载 添加一个新的服务组在组里添加病毒服务名在现有的服务组里直接添加病毒服务名修改现有服务组里的现有服务属性修改其“ServiceDll”键值指向病毒程序判断方法:病毒程序要通过真正的Svchost.exe进程加载就必须要修改相关的注册表数据可以打开
[HKEY_LO CAL_M A CHINES oftwareMic ro softWindo wsNTCurr entVe rs io nSvchost]观察有没有增加新的服务组 同时要留意服务组中的服务列表观察有没有可疑的服务名称通常来说病毒不会在只有一个服务名称的组中添加往往会选择LocalService和netsvcs这两个加载服务较多的组 以干扰分析还有通过修改服务属性指向病毒程序的通过注册表判断起来都比较困难这时可以利用前面介绍的服务管理专家分别打开Lo calServic e和netsvc s分支逐个检查右边服务列表中的服务属性尤其要注意服务描述信息全部为英文的很可能是第三方安装的服务 同时要结合它的文件描述、版本、公司等相关信息进行综合判断。例如这个名为PortLess BackDoor的木马程序在服务列表中可以看到它的服务描述为“Intranet Services”而它的文件版本、公司、描述信息更全部为空如果是微软的系统服务程序是绝对不可能出现这种现象的。从启动信息“C:WINDOWSSystem32svchost.exe-k netsvcs”中可以看出这是一款典型的利用Svcho st.exe进程加载运行的木马知道了其原理清除方法也很简单了先用服务管理专家停止该服务的运行然后运行re gedit.e xe打开“注册表编辑器”删除
[HKEY_LO CAL_MACHINESyste mCurre ntC o ntro lS et
Servic esIPRIP]主键重新启动计算机再删除%systemroot%System32目录中的木马源程序“s vc ho s td ll.d ll”通过按时间排序又发现了时间完全相同的木马安装程序“Portle ssInst.exe”一并删除即可。 svchost.exe是nt核心系统的非常重要的进程对于2000、 xp来说不可或缺。很多病毒、木马也会调用它。
三、 SVCHO ST.EXE病毒专杀工具
SVCHO S T.EXE病毒专杀工具下载 Autorun病毒防御者/Auto Guard e r2下载
A2Hosting主机,A2Hosting怎么样?A2Hosting是UK2集团下属公司,成立于2003年的老牌国外主机商,产品包括虚拟主机、VPS和独立服务器等,数据中心提供包括美国、新加坡softlayer和荷兰三个地区机房。A2Hosting在国外是一家非常大非常有名气的终合型主机商,拥有几百万的客户,非常值得信赖,国外主机论坛对它家的虚拟主机评价非常不错,当前,A2Hosting主机庆祝1...
收到好多消息,让我聊一下阿里云国际版本,作为一个阿里云死忠粉,之前用的服务器都是阿里云国内版的VPS主机,对于现在火热的阿里云国际版,这段时间了解了下,觉得还是有很多部分可以聊的,毕竟,实名制的服务器规则导致国际版无需实名这一特点被无限放大。以前也写过几篇综合性的阿里云国际版vps的分析,其中有一点得到很多人的认同,那句是阿里云不管国内版还是国际版的IO读写速度实在不敢恭维,相对意义上的,如果在这...
这不端午节和大家一样回家休息几天,也没有照顾网站的更新。今天又出去忙一天没有时间更新,这里简单搜集看看是不是有一些商家促销活动,因为我看到电商平台各种推送活动今天又开始一波,所以说现在的各种促销让人真的很累。比如在前面我们也有看到PacificRack 商家发布过年中活动,这不在端午节(昨天)又发布一款闪购活动,有些朋友姑且较多是端午节活动,刚才有看到活动还在的,如果有需要的朋友可以看看。第一、端...