SVCHO ST.EXE病毒清除及专杀工具
发布时间 2008-03-3108:00:00来源新客网络学院转载作者新客网络学院转载点击 4059一、手工清除SVCHO ST.EXE病毒
查看 svcho st.exe进程是什么
在开始菜单的运行中输入cmd 出现命令行提示输入命令“ta sklist/svc>c:1.txt”
例如 C:D ocume nts and S e tting sAdministrato r>tasklis t /svc>c:1.txt 就会在C盘根目录生成1.txt文件打开1.txt可以看到如下内容
查找svcho st.exe的PID值和服务名称。
************************************************************************
******
图像名 PID服务
===============================
mDNSResponder.exe 1284 Bonjour Serviceinetinfo.exe 1848 IISADMIN,W3SVCibguard.exe 3464 InterBaseGuardianRegSrvc.exe 3556 RegSrvcsvchost.exe 35Array6 stisvc
SUService.exe 3Array68 SUService
TPHDEXLG.exe 3788 TPHDEXLGSVCTpKmpSvc.exe 3804TpKmpSVCtvtsched.exe 3836 TVT Schedulerwdfmgr.exe 3Array20 UMWdfvmware-authd.exe 3Array56 VMAuthdServicevmount2.exe 3576 vmount2vmnat.exe 4112 VMwareNAT Servicevmnetdhcp.exe 4360 VMnetDHCP
AcSvc.exe 4388AcSvcibserver.exe 4684 InterBaseServerexplorer.exe 5416暂缺alg.exe 5704ALG
SynTPEnh.exe 3776暂缺
SvcGuiHlpr.exe 4Array12暂缺
TPHKMGR.exe 5088暂缺
UNavTray.exe 5120暂缺
TpShocks.exe 5136暂缺
TPONSCR.exe 4532暂缺avp.exe 4648暂缺
TpScrex.exe 4412暂缺
CRavgas.exe 51Array6暂缺ctfmon.exe 5284暂缺
VStart.exe 6020暂缺
QQ.exe 6124暂缺
TXPlatform.exe 5584暂缺dllhost.exe 4164 COMSysAppdavcdata.exe 1232暂缺
Maxthon.exe 2212暂缺
EmEditor.exe 2004暂缺cmd.exe 6360暂缺conime.exe 2Array28暂缺wmiprvse.exe 5552暂缺tasklist.exe 1Array00暂缺
符) 即可在任务管理器的进程列表中找到它结束进程后在C盘搜
索Svchost.exe文件也可以用第三方进程工具直接查看该进程的路径正常的Svchost.exe文件是位于%systemroot%System32目录中的而假冒的Svcho st.exe病毒或木马文件则会在其他目录例如“w32.welc hina.worm”病毒假冒的
Svchost.exe就隐藏在WindowsSystem32Wins目录中将其删除并彻底清除病毒的其他数据即可。
二、 SVCHOST.EXE病毒高级骗术
一些高级病毒则采用类似系统服务启动的方式通过真正的Svchost.exe进程加载病毒程序而Svchost.exe是通过注册表数据来决定要装载的服务列表的所以病毒通常会在注册表中采用以下方法进行加载 添加一个新的服务组在组里添加病毒服务名在现有的服务组里直接添加病毒服务名修改现有服务组里的现有服务属性修改其“ServiceDll”键值指向病毒程序判断方法:病毒程序要通过真正的Svchost.exe进程加载就必须要修改相关的注册表数据可以打开
[HKEY_LO CAL_M A CHINES oftwareMic ro softWindo wsNTCurr entVe rs io nSvchost]观察有没有增加新的服务组 同时要留意服务组中的服务列表观察有没有可疑的服务名称通常来说病毒不会在只有一个服务名称的组中添加往往会选择LocalService和netsvcs这两个加载服务较多的组 以干扰分析还有通过修改服务属性指向病毒程序的通过注册表判断起来都比较困难这时可以利用前面介绍的服务管理专家分别打开Lo calServic e和netsvc s分支逐个检查右边服务列表中的服务属性尤其要注意服务描述信息全部为英文的很可能是第三方安装的服务 同时要结合它的文件描述、版本、公司等相关信息进行综合判断。例如这个名为PortLess BackDoor的木马程序在服务列表中可以看到它的服务描述为“Intranet Services”而它的文件版本、公司、描述信息更全部为空如果是微软的系统服务程序是绝对不可能出现这种现象的。从启动信息“C:WINDOWSSystem32svchost.exe-k netsvcs”中可以看出这是一款典型的利用Svcho st.exe进程加载运行的木马知道了其原理清除方法也很简单了先用服务管理专家停止该服务的运行然后运行re gedit.e xe打开“注册表编辑器”删除
[HKEY_LO CAL_MACHINESyste mCurre ntC o ntro lS et
Servic esIPRIP]主键重新启动计算机再删除%systemroot%System32目录中的木马源程序“s vc ho s td ll.d ll”通过按时间排序又发现了时间完全相同的木马安装程序“Portle ssInst.exe”一并删除即可。 svchost.exe是nt核心系统的非常重要的进程对于2000、 xp来说不可或缺。很多病毒、木马也会调用它。
三、 SVCHO ST.EXE病毒专杀工具
SVCHO S T.EXE病毒专杀工具下载 Autorun病毒防御者/Auto Guard e r2下载
Pia云是一家2018的开办的国人商家,原名叫哔哔云,目前整合到了魔方云平台上,商家主要销售VPS服务,采用KVM虚拟架构 ,机房有美国洛杉矶、中国香港和深圳地区,洛杉矶为crea机房,三网回程CN2 GIA,带20G防御,常看我测评的朋友应该知道,一般带防御去程都是骨干线路,香港的线路也是CN2直连大陆,目前商家重新开业,价格非常美丽,性价比较非常高,有需要的朋友可以关注一下。活动方案...
MechanicWeb怎么样?MechanicWeb好不好?MechanicWeb成立于2008年,目前在美国洛杉矶、凤凰城、达拉斯、迈阿密、北卡、纽约、英国、卢森堡、德国、加拿大、新加坡有11个数据中心,主营全托管型虚拟主机、VPS主机、半专用服务器和独立服务器业务。MechanicWeb只做高端的托管vps,这次MechanicWeb上新Xeon W-1290P处理器套餐,基准3.7GHz最高...
CloudServer是一家新的VPS主机商,成立了差不多9个月吧,提供基于KVM架构的VPS主机,支持Linux或者Windows操作系统,数据中心在美国纽约、洛杉矶和芝加哥机房,都是ColoCrossing的机器。目前商家在LEB提供了几款特价套餐,最低月付4美元(或者$23.88/年),购买更高级别套餐还能三个月费用使用6个月,等于前半年五折了。下面列出几款特别套餐配置信息。CPU:1cor...