电脑老中 svchost.exe病毒
发布网友
发布时间:2022-04-22 02:42
共6个回答
热心网友
时间:2023-07-15 11:03
1.SVCHOST病毒解决方法
一、Svchost.exe做为病毒它有两个特征。
1、用病毒自己做为进程
这种方式运行的Svchost.exe病毒没有直接利用真正的Svchost.exe进程,而是启动了另外一个名称同样是Svchost.exe的病毒进程,由于这个假冒的病毒进程并没有加载系统服务,它和真正的Svchost.exe进程是不同的,只需在命令行窗口中运行一下“Tasklist /svc”,如果看到哪个Svchost.exe进程后面提示的服务信息是“暂缺”,而不是一个具体的服务名,那么它就是病毒进程了,如图正常的XP带的进程:
20073516714866.jpg (67.57 KB)
2007-12-4 13:48
正常的Svchost.exe文件是位于%systemroot%\System32目录中的,而假冒的Svchost.exe病毒或木马文件则会在其他目录,例如:
“w32.welchina.worm”病毒假冒的Svchost.exe就隐藏在Windows\System32\Wins目录中,将其删除,并彻底清除病毒的其他数据即可
2、做为系统的进程加载服务。
病毒就是真正的Svchost.exe进程加载病毒程序,而Svchost.exe是通过注册表数据来决定要装载的服务列表的,所以病毒通常会在注册表中采用以下四个方法进行加载
会修改注册表的,所以病毒通常会在注册表中采用以下方法进行加载:
二、添加一个新的服务组,在组里添加病毒服务名
三、在现有的服务组里直接添加病毒服务名
四、修改现有服务组里的现有服务属性,修改其“ServiceDll”键值指向病毒程序
判断方法:
病毒程序要通过真正的Svchost.exe进程加载,就必须要修改相关的注册表数据,可以打开[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost],观察有没有增加新的服务组,同时要留意服务组中的服务列表,观察有没有可疑的服务名称,通常来说,病毒不会在只有一个服务名称的组中添加,往往会选择LocalService和netsvcs这两个加载服务较多的组,以干扰分析,还有通过修改服务属性指向病毒程序的,通过注册表判断起来都比较困难,这时可以利用前面介绍的服务管理专家,分别打开LocalService和netsvcs分支,逐个检查右边服务列表中的服务属性,尤其要注意服务描述信息全部为英文的,很可能是第三方安装的服务,同时要结合它的文件描述、版本、公司等相关信息,进行综合判断。例如这个名为PortLess BackDoor的木马程序,在服务列表中可以看到它的服务描述为“Intranet Services”,而它的文件版本、公司、描述信息更全部为空,如果是微软的系统服务程序是绝对不可能出现这种现象的。从启动信息“C:\WINDOWS\System32\svchost.exe -k netsvcs”中可以看出这是一款典型的利用Svchost.exe进程加载运行的木马,知道了其原理,
清除方法也很简单了:
先用服务管理专家停止该服务的运行,然后运行regedit.exe打开“注册表编辑器”,删除[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPRIP]主键,重新启动计算机,再删除%systemroot%\System32目录中的木马源程序“svchostdll.dll”,通过按时间排序,又发现了时间完全相同的木马安装程序“PortlessInst.exe”,一并删除即可。
清除Svchost.exe病毒方法:
第一步:进入安全模式(电脑启动时按F8),打开我的电脑,搜索SVCHOST,将搜索到的文件除了%systemroot%\System32这个文件夹里的之外的都删除。
第二步:进入注册表,搜索SVCHOST,将搜索到的除开[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\
CurrentVersion\Svchost]这个值的不动之外,其他的都删除掉。然后重新搜索一遍,进行整理
第三步、重启动电脑。
一、手工清除SVCHOST.EXE病毒
查看:svchost.exe进程详解
在开始菜单的运行中输入cmd,出现命令行提示,输入命令“tasklist /svc >c:\1.txt”(例如:C:\Documents and Settings\Administrator>tasklist /svc >c:\1.txt),就会在C盘根目录生成1.txt文件,打开1.txt可以看到如下内容:
查找svchost.exe的PID值和服务名称。
******************************************************************************
图像名 PID 服务
========================= ====== =============================================
System Idle Process 0 暂缺
System 4 暂缺
smss.exe 1168 暂缺
csrss.exe 1228 暂缺
winlogon.exe 1260 暂缺
services.exe 1308 Eventlog, PlugPlay
lsass.exe 1320 PolicyAgent, ProtectedStorage, SamSs
ibmpmsvc.exe 1484 IBMPMSVC
ati2evxx.exe 1520 Ati HotKey Poller
svchost.exe 1544 DcomLaunch, TermService
svchost.exe 1684 RpcSs
svchost.exe 380 AudioSrv, BITS, Browser, CryptSvc, Dhcp,
EventSystem, FastUserSwitchingCompatibility,
helpsvc, lanmanserver, lanmanworkstation,
Netman, Nla, RasMan, Schele, seclogon,
SENS, SharedAccess, ShellHWDetection,
TapiSrv, Themes, TrkWks, W32Time, winmgmt,
wscsvc, wuauserv, WZCSVC
btwdins.exe 420 btwdins
ati2evxx.exe 456 暂缺
EvtEng.exe 624 EvtEng
S24EvMon.exe 812 S24EventMonitor
svchost.exe 976 Dnscache
svchost.exe 1192 Alerter, LmHosts, RemoteRegistry, SSDPSRV,
WebClient
spoolsv.exe 1852 Spooler
IPSSVC.EXE 272 IPSSVC
AcPrfMgrSvc.exe 288 AcPrfMgrSvc
guard.exe 10 AVG Anti-Spyware Guard
avp.exe 1124 AVP
mDNSResponder.exe 1284 Bonjour Service
inetinfo.exe 1848 IISADMIN, W3SVC
ibguard.exe 34 InterBaseGuardian
RegSrvc.exe 3556 RegSrvc
svchost.exe 3596 stisvc
SUService.exe 3968 SUService
TPHDEXLG.exe 3788 TPHDEXLGSVC
TpKmpSvc.exe 3804 TpKmpSVC
tvtsched.exe 3836 TVT Scheler
wdfmgr.exe 3920 UMWdf
vmware-authd.exe 3956 VMAuthdService
vmount2.exe 3576 vmount2
vmnat.exe 4112 VMware NAT Service
vmnetdhcp.exe 4360 VMnetDHCP
AcSvc.exe 4388 AcSvc
ibserver.exe 4684 InterBaseServer
explorer.exe 5416 暂缺
alg.exe 5704 ALG
SynTPEnh.exe 3776 暂缺
SvcGuiHlpr.exe 4912 暂缺
TPHKMGR.exe 5088 暂缺
UNavTray.exe 5120 暂缺
TpShocks.exe 5136 暂缺
TPONSCR.exe 4532 暂缺
avp.exe 48 暂缺
TpScrex.exe 4412 暂缺
CRavgas.exe 5196 暂缺
ctfmon.exe 5284 暂缺
VStart.exe 6020 暂缺
QQ.exe 6124 暂缺
TXPlatform.exe 5584 暂缺
dllhost.exe 41 COMSysApp
davcdata.exe 1232 暂缺
Maxthon.exe 2212 暂缺
EmEditor.exe 2004 暂缺
cmd.exe 6360 暂缺
conime.exe 2928 暂缺
wmiprvse.exe 5552 暂缺
tasklist.exe 1900 暂缺
******************************************************************************
如果看到哪个Svchost.exe进程后面提示的服务信息是“暂缺”,而不是一个具体的服务名,那么它就是病毒进程了,记下这个病毒进程对应的PID数值(进程标识符),即可在任务管理器的进程列表中找到它,结束进程后,在C盘搜索Svchost.exe文件,也可以用第三方进程工具直接查看该进程的路径,正常的Svchost.exe文件是位于%systemroot%\System32目录中的,而假冒的Svchost.exe病毒或木马文件则会在其他目录,例如“w32.welchina.worm”病毒假冒的Svchost.exe就隐藏在Windows\System32\Wins目录中,将其删除,并彻底清除病毒的其他数据即可。
二、SVCHOST.EXE病毒高级骗术
一些高级病毒则采用类似系统服务启动的方式,通过真正的Svchost.exe进程加载病毒程序,而Svchost.exe是通过注册表数据来决定要装载的服务列表的,所以病毒通常会在注册表中采用以下方法进行加载: 添加一个新的服务组,在组里添加病毒服务名在现有的服务组里直接添加病毒服务名 修改现有服务组里的现有服务属性,修改其“ServiceDll”键值指向病毒程序判断方法:病毒程序要通过真正的Svchost.exe进程加载,就必须要修改相关的注册表数据,可以打开[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\ CurrentVersion\Svchost],观察有没有增加新的服务组,同时要留意服务组中的服务列表,观察有没有可疑的服务名称,通常来说,病毒不会在只有一个服务名称的组中添加,往往会选择LocalService和netsvcs这两个加载服务较多的组,以干扰分析,还有通过修改服务属性指向病毒程序的,通过注册表判断起来都比较困难,这时可以利用前面介绍的服务管理专家,分别打开LocalService和netsvcs分支,逐个检查右边服务列表中的服务属性,尤其要注意服务描述信息全部为英文的,很可能是第三方安装的服务,同时要结合它的文件描述、版本、公司等相关信息,进行综合判断。例如这个名为PortLess BackDoor的木马程序,在服务列表中可以看到它的服务描述为“Intranet Services”,而它的文件版本、公司、描述信息更全部为空,如果是微软的系统服务程序是绝对不可能出现这种现象的。从启动信息“C:\WINDOWS\System32\svchost.exe -k netsvcs”中可以看出这是一款典型的利用Svchost.exe进程加载运行的木马,知道了其原理,清除方法也很简单了:先用服务管理专家停止该服务的运行,然后运行regedit.exe打开“注册表编辑器”,删除[HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\IPRIP]主键,重新启动计算机,再删除%systemroot%\System32目录中的木马源程序“svchostdll.dll”,通过按时间排序,又发现了时间完全相同的木马安装程序“PortlessInst.exe”,一并删除即可。 svchost.exe是nt核心系统的非常重要的进程,对于2000、xp来说,不可或缺。很多病毒、木马也会调用它。
SVCHOST.EXE病毒专杀工具下载:
http://www.cniter.com/upload/autorunkill/AutoGuarder2.rar
参考资料:http://waterm2203.blog.163.com/blog/static/107579720071131112625193/
热心网友
时间:2023-07-15 11:03
杀到病毒也没用,可是还是中了。我也有这种情况,因为它早在你电脑发现可移动磁盘的时候自动加载进去了。你可以在系统中进行设置一下,设置步骤如下:
在左键打击右下角的【开始】,然后在【运行】中输入“gpedit.msc”(双引号不要输入)—接着按“回车”键。这样就打开组策略。接着依次展开:【“本地计算机”策略】—【计算机配置】—【windows设置】—【安全设置】—【软件*策略】—左键单击选中【其他规则】—在右边窗口的空白处,单击右键—【新建路径规则】—写上你U盘的路径(如H:\*.exe,其中“H”是u盘在你电脑中的盘符,后面的:\*.exe都不要改变“*.exe”表示任何后缀名为“.exe”的可执行文件),“安全级别”默认是不允许的,不用自己设置了(若不是,自己手动设置为“不允许的”)。最后,你可以用一个可执行文件(后缀名为.exe的文件)在你U盘中双击运行试一下。如果不能执行,那就是成功了。
上面可是我在凌晨一个瞌睡一个字敲出来的~~呵呵~~~希望能有助于你。
热心网友
时间:2023-07-15 11:04
建议使用影子系统,特别适合打印站使用,或者保护卡都不错,大大减小中毒几率
热心网友
时间:2023-07-15 11:05
kava
热心网友
时间:2023-07-15 11:05
我前一段时间也碰到这样一个问题。当时查找了一批的资料,都没能解决。后来,在监控程序时,发现一个诡异的问题,即没打开暴风影音的时候,它还有进程在运行,于是怀疑到它的头上。有病乱投医嘛。所以就把暴风影音卸载了,结果,问题真的解决了。现在机器连续运行了两天BT了,都没出问题。问题解决了,还得再找一个别的可以取代暴风影音的软件安上,至于什么播放软件可以取代暴风,还是你自己找吧,免得有广告之嫌。
热心网友
时间:2023-07-15 11:06
远行msconfig 把多余的病毒的沟打掉 重起 就OK 也可以杀杀毒
