下载

3下载券

加入VIP
  • 专属下载特权
  • 现金文档折扣购买
  • VIP免费专区
  • 千万文档免费下载

上传资料

关闭

关闭

关闭

封号提示

内容

首页 SVCHOST.EXE 病毒专杀工具

SVCHOST.EXE 病毒专杀工具.doc

SVCHOST.EXE 病毒专杀工具

qcq520
2010-11-06 0人阅读 举报 0 0 暂无简介

简介:本文档为《SVCHOST.EXE 病毒专杀工具doc》,可适用于IT/计算机领域

SVCHOSTEXE病毒专杀工具svchostexe其实是是nt核心系统的非常重要的进程很多病毒、木马也会调用svchostexe。关于svchostexe是否是病毒的主要看他所在的位置有人已经编写了SVCHOSTEXE病毒专杀工具懒人有福了关于SVCHOSTEXE是不是病毒的可以查看这篇文章http:wwwdayanmeicomblogphpIDhtmSVCHOSTEXE病毒专杀工具可以在本文末尾找到下载地址在开始菜单的运行中输入cmd出现命令行提示输入命令“tasklistsvc>c:txt”(例如:C:DocumentsandSettingsAdministrator>tasklistsvc>c:txt)就会在C盘根目录生成txt文件打开txt可以看到如下内容:查找svchostexe的PID值和服务名称。图像名                      PID服务                                        ============================================================================SystemIdleProcess           暂缺                                        System                        暂缺                                        smssexe                    暂缺                                        csrssexe                   暂缺                                        winlogonexe                暂缺                                        SERVICESEXE                Eventlog,PlugPlay                          LSASSEXE                   ProtectedStorage                            SVCHOSTEXE                 DcomLaunch                                  SVCHOSTEXE                 RpcSs                                       SVCHOSTEXE                 AudioSrv,CryptSvc,dmserver,EventSystem,                                  lanmanworkstation,Netman,RasMan,seclogon,                                SENS,SharedAccess,ShellHWDetection,                                       TapiSrv,winmgmt                            EXPLOREREXE               暂缺                                        realschedexe              暂缺                                        CTFMONEXE                 暂缺                                        dllhostexe                 COMSysApp                                   TMexe                     暂缺                                        TTPlayerexe               暂缺                                        cmdexe                    暂缺                                        conimeexe                 暂缺                                        tasklistexe               暂缺                                        wmiprvseexe               暂缺                                        如果看到哪个Svchostexe进程后面提示的服务信息是“暂缺”而不是一个具体的服务名那么它就是病毒进程了记下这个病毒进程对应的PID数值(进程标识符)即可在任务管理器的进程列表中找到它结束进程后在C盘搜索Svchostexe文件也可以用第三方进程工具直接查看该进程的路径正常的Svchostexe文件是位于systemrootSystem目录中的而假冒的Svchostexe病毒或木马文件则会在其他目录例如“wwelchinaworm”病毒假冒的Svchostexe就隐藏在WindowsSystemWins目录中将其删除并彻底清除病毒的其他数据即可。二、SVCHOSTEXE病毒高级骗术一些高级病毒则采用类似系统服务启动的方式通过真正的Svchostexe进程加载病毒程序而Svchostexe是通过注册表数据来决定要装载的服务列表的所以病毒通常会在注册表中采用以下方法进行加载:添加一个新的服务组在组里添加病毒服务名在现有的服务组里直接添加病毒服务名修改现有服务组里的现有服务属性修改其“ServiceDll”键值指向病毒程序判断方法:病毒程序要通过真正的Svchostexe进程加载就必须要修改相关的注册表数据可以打开HKEYLOCALMACHINESoftwareMicrosoftWindowsNTCurrentVersionSvchost观察有没有增加新的服务组同时要留意服务组中的服务列表观察有没有可疑的服务名称通常来说病毒不会在只有一个服务名称的组中添加往往会选择LocalService和netsvcs这两个加载服务较多的组以干扰分析还有通过修改服务属性指向病毒程序的通过注册表判断起来都比较困难这时可以利用前面介绍的服务管理专家分别打开LocalService和netsvcs分支逐个检查右边服务列表中的服务属性尤其要注意服务描述信息全部为英文的很可能是第三方安装的服务同时要结合它的文件描述、版本、公司等相关信息进行综合判断。例如这个名为PortLessBackDoor的木马程序在服务列表中可以看到它的服务描述为“IntranetServices”而它的文件版本、公司、描述信息更全部为空如果是微软的系统服务程序是绝对不可能出现这种现象的。从启动信息“C:WINDOWSSystemsvchostexeknetsvcs”中可以看出这是一款典型的利用Svchostexe进程加载运行的木马知道了其原理清除方法也很简单了:先用服务管理专家停止该服务的运行然后运行regeditexe打开“注册表编辑器”删除HKEYLOCALMACHINESystemCurrentControlSetServicesIPRIP主键重新启动计算机再删除systemrootSystem目录中的木马源程序“svchostdlldll”通过按时间排序又发现了时间完全相同的木马安装程序“PortlessInstexe”一并删除即可。svchostexe是nt核心系统的非常重要的进程对于、xp来说不可或缺。很多病毒、木马也会调用它。三、SVCHOSTEXE病毒专杀工具SVCHOSTEXE病毒专杀工具下载

用户评价(0)

关闭

新课改视野下建构高中语文教学实验成果报告(32KB)

抱歉,积分不足下载失败,请稍后再试!

提示

试读已结束,如需要继续阅读或者下载,敬请购买!

文档小程序码

使用微信“扫一扫”扫码寻找文档

1

打开微信

2

扫描小程序码

3

发布寻找信息

4

等待寻找结果

我知道了
评分:

/4

SVCHOST.EXE 病毒专杀工具

VIP

在线
客服

免费
邮箱

爱问共享资料服务号

扫描关注领取更多福利