收藏
下载资源

svchost.exe病毒专杀工具杀毒

上传人:marr****208 文档编号:116867476 上传时间:2019-11-17 格式:DOC 页数:9 大小:33KB
返回 下载 相关 举报
svchost.exe病毒专杀工具杀毒_第1页
第1页 / 共9页
svchost.exe病毒专杀工具杀毒_第2页
第2页 / 共9页
svchost.exe病毒专杀工具杀毒_第3页
第3页 / 共9页
svchost.exe病毒专杀工具杀毒_第4页
第4页 / 共9页
svchost.exe病毒专杀工具杀毒_第5页
第5页 / 共9页
点击查看更多>>
资源描述

《svchost.exe病毒专杀工具杀毒》由会员分享,可在线阅读,更多相关《svchost.exe病毒专杀工具杀毒(9页珍藏版)》请在金锄头文库上搜索。

1、svchost.exe病毒专杀工具杀毒因为svchost进程启动各种服务,所以病毒、木马也想尽办法来利用它,企图利用它的特性来迷惑用户,达到感染、入侵、破坏的目的(如冲击波变种病毒“w32.welchia.worm”)。但windows系统存在多个svchost进程是很正常的,在受感染的机器中到底哪个是病毒进程呢?以下是小编收集的svchost.exe病毒专杀工具杀毒,仅供大家阅读参考!svchost.exe病毒专杀工具杀毒svchost.exe: 不是病毒,这是一个属于微软Windows操作系统的系统程序,微软官方对它的解释是:Svchost.exe 是从动态链接库 (DLL) 中运行的服务

2、的通用主机进程名称。这个程序对系统的正常运行是非常重要,而且是不能被结束的。 常被病毒冒充的进程名有:svch0st.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的,它们把可执行程序指向svchost,由svchost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”“管理工具”服务,双击其中“ClipBook”服务,在其属性面板中可以发现对应的可执行文件路径“C:WINDOWSsystem32clipsrv.e

3、xe”。再双击“Alerter”服务,可以发现其可执行文件路径为“C:WINDOWSsystem32svchost.exe -kLocalService”,而“Server”服务的可执行文件路径为“C:WINDOWSsystem32svchost.exe -knetsvcs”。正是通过这种调用,可以省下不少系统资源,因此系统中出现多个svchost.exe,其实只是系统的服务而已。在Windows2000系统中一般存在2个svchost.exe进程,一个是RPCSS(RemoteProcedureCall)服务进程,另外一个则是由很多服务共享的一个svchost.exe;而在WindowsXP

4、中,则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于6个,如果不是使用Vista或以上系统,就要小心了,很可能是病毒假冒的,检测方法也很简单,使用一些进程管理工具,例如Windows优化大师的进程管理功能,查看svchost.exe的可执行文件路径,如果在“C:WINDOWSsystem32”目录外,那么就可以判定是病毒了。清除办法 1.用unlocker删除类似于C:SysDayN6这样的文件夹:例如C:Syswm1i、C:SysAd5D等等,这些文件夹有个共同特点,就是名称为 Sys* (*是三到五位的随机字母),这样的文件夹有几个就删几个。 2.

5、开始运行输入“regedit”打开注册表,展开注册表到以下位置:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun删除右边所有用纯数字为名的键,如<66><333><50><4> 3.重新启动计算机,病毒清除完毕。svchost.exe病毒专杀工具杀毒清除SVCHOST.EXE病毒 查看:svchost.exe进程是什么 在开始菜单的运行中输入cmd,出现命令行提示,输入命令“tasklist /svc >c:.txt”(例如:C:Documents and Settings

6、Administrator>tasklist /svc >c:.txt),就会在C盘根目录生成1.txt文档,打开1.txt能够看到如下内容: 查找svchost.exe的PID值和服务名称。 * 图像名 PID 服务 = = = System Idle Process 0 暂缺 System 4 暂缺 smss.exe 1168 暂缺 csrss.exe 1228 暂缺 winlogon.exe 1260 暂缺 services.exe 1308 Eventlog, PlugPlay lsass.exe 1320 PolicyAgent, ProtectedStorage, Sa

7、mSs ibmpmsvc.exe 1484 IBMPMSVC ati2evxx.exe 1520 Ati HotKey Poller svchost.exe 1544 DcomLaunch, TermService svchost.exe 1684 RpcSs svchost.exe 380 AudioSrv, BITS, Browser, CryptSvc, Dhcp, EventSystem, FastUserSwitchingCompatibility, helpsvc, lanmanserver, lanmanworkstation, Netman, Nla, RasMan, Sche

8、dule, seclogon, SENS, SharedAccess, ShellHWDetection, TapiSrv, Themes, TrkWks, W32Time, winmgmt, wscsvc, wuauserv, WZCSVC btwdins.exe 420 btwdins ati2evxx.exe 456 暂缺 EvtEng.exe 624 EvtEng S24EvMon.exe 812 S24EventMonitor svchost.exe 976 Dnscache svchost.exe 1192 Alerter, LmHosts, RemoteRegistry, SSD

9、PSRV, WebClient spoolsv.exe 1852 Spooler IPSSVC.EXE 272 IPSSVC AcPrfMgrSvc.exe 288 AcPrfMgrSvc guard.exe 1064 AVG Anti-Spyware Guard avp.exe 1124 AVP mDNSResponder.exe 1284 Bonjour Service inetinfo.exe 1848 IISADMIN, W3SVC ibguard.exe 3464 InterBaseGuardian RegSrvc.exe 3556 RegSrvc svchost.exe 3596

10、stisvc SUService.exe 3968 SUService TPHDEXLG.exe 3788 TPHDEXLGSVC TpKmpSvc.exe 3804 TpKmpSVC tvtsched.exe 3836 TVT Scheduler wdfmgr.exe 3920 UMWdf vmware-authd.exe 3956 VMAuthdService vmount2.exe 3576 vmount2 vmnat.exe 4112 VMware NAT Service vmnetdhcp.exe 4360 VMnetDHCP AcSvc.exe 4388 AcSvc ibserve

11、r.exe 4684 InterBaseServer explorer.exe 5416 暂缺 alg.exe 5704 ALG SynTPEnh.exe 3776 暂缺 SvcGuiHlpr.exe 4912 暂缺 TPHKMGR.exe 5088 暂缺 UNavTray.exe 5120 暂缺 TpShocks.exe 5136 暂缺 TPONSCR.exe 4532 暂缺 avp.exe 4648 暂缺 TpScrex.exe 4412 暂缺 CRavgas.exe 5196 暂缺 ctfmon.exe 5284 暂缺 VStart.exe 6020 暂缺 QQ.exe 6124 暂缺

12、TXPlatform.exe 5584 暂缺 dllhost.exe 4164 COMSysApp davcdata.exe 1232 暂缺 Maxthon.exe 2212 暂缺 EmEditor.exe 2004 暂缺 cmd.exe 6360 暂缺 conime.exe 2928 暂缺 wmiprvse.exe 5552 暂缺 tasklist.exe 1900 暂缺 * 假如看到哪个Svchost.exe进程后面提示的服务信息是“暂缺”,而不是个具体的服务名,那么他就是病毒进程了,记下这个病毒进程对应的PID数值(进程标识符),即可在任务管理器的进程列表中找到他,结束进程后,在C盘搜索

13、Svchost.exe文档,也能够用第三方进程工具直接查看该进程的路径,正常的Svchost.exe文档是位于%systemroot%System32目录中的,而假冒的Svchost.exe病毒或木马文档则会在其他目录,例如“w32.welchina.worm”病毒假冒的Svchost.exe就隐藏在WindowsSystem32Wins目录中,将其删除,并完全清除病毒的其他数据即可。 二、SVCHOST.EXE病毒高级骗术 一些高级病毒则采用类似系统服务启动的方式,通过真正的Svchost.exe进程加载病毒程式,而Svchost.exe是通过注册表数据来决定要装载的服务列表的,所以病毒通常

14、会在注册表中采用以下方法进行加载: 添加一个新的服务组,在组里添加病毒服务名在现有的服务组里直接添加病毒服务名 修改现有服务组里的现有服务属性,修改其“ServiceDll”键值指向病毒程式判断方法:病毒程式要通过真正的Svchost.exe进程加载,就必须要修改相关的注册表数据,能够打开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNT CurrentVersionSvchost,观察有没有增加新的服务组,同时要留意服务组中的服务列表,观察有没有可疑的服务名称,通常来说,病毒不会在只有一个服务名称的组中添加,往往会选择LocalService和netsvcs这两个加载服务较多的组,以干扰分析,更有通过修改服务属性指向病毒程式的,通过注册表判断起来都比较困难,这时能够利用前面介绍的服务管理专家,分别打开LocalService和netsvcs分支,逐个检查右边服务列表中的服务

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 大杂烩/其它

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号