清除Svchost.exe
在上一篇中介绍了Svchost.exe的系统进程,现在我们来讲一下Svchost.exe做为病毒的特征以及清除方法。
一、Svchost.exe做为病毒它有两个特征。
1、用病毒自己做为进程
这种方式运行的Svchost.exe病毒没有直接利用真正的Svchost.exe进程,而是启动了另外一个名称同样是Svchost.exe的病毒进程,由于这个假冒的病毒进程并没有加载系统服务,它和真正的Svchost.exe进程是不同的,只需在命令行窗口中运行一下“Tasklist /svc”,如果看到哪个Svchost.exe进程后面提示的服务信息是“暂缺”,而不是一个具体的服务名,那么它就是病毒进程了,如图正常的XP带的进程:
正常的Svchost.exe文件是位于%systemroot%\System32目录中的,而假冒的Svchost.exe病毒或木马文件则会在其他目录,例如:
“w32.welchina.worm”病毒假冒的Svchost.exe就隐藏在Windows\System32\Wins目录中,将其删除,并彻底清除病毒的其他数据即可
2、做为系统的进程加载服务。
病毒就是真正的Svchost.exe进程加载病毒程序,而Svchost.exe是通过注册表数据来决定要装载的服务列表的,所以病毒通常会在注册表中采用以下四个方法进行加载
会修改注册表的,所以病毒通常会在注册表中采用以下方法进行加载:
二、添加一个新的服务组,在组里添加病毒服务名
三、在现有的服务组里直接添加病毒服务名
四、修改现有服务组里的现有服务属性,修改其“ServiceDll”键值指向病毒程序
判断方法:
病毒程序要通过真正的Svchost.exe进程加载,就必须要修改相关的注册表数据,可以打开[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost],观察有没有增加新的服务组,同时要留意服务组中的服务列表,观察有没有可疑的服务名称,通常来说,病毒不会在只有一个服务名称的组中添加,往往会选择LocalService和netsvcs这两个加载服务较多的组,以干扰分析,还有通过修改服务属性指向病毒程序的,通过注册表判断起来都比较困难,这时可以利用前面介绍的服务管理专家,分别打开LocalService和netsvcs分支,逐个检查右边服务列表中的服务属性,尤其要注意服务描述信息全部为英文的,很可能是第三方安装的服务,同时要结合它的文件描述、版本、公司等相关信息,进行综合判断。例如这个名为PortLess BackDoor的木马程序,在服务列表中可以看到它的服务描述为“Intranet Services”,而它的文件版本、公司、描述信息更全部为空,如果是微软的系统服务程序是绝对不可能出现这种现象的。从启动信息“C:\WINDOWS\System32\svchost.exe -k netsvcs”中可以看出这是一款典型的利用Svchost.exe进程加载运行的木马,知道了其原理,
清除方法也很简单了:
先用服务管理专家停止该服务的运行,然后运行regedit.exe打开“注册表编辑器”,删除[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPRIP]主键,重新启动计算机,再删除%systemroot%\System32目录中的木马源程序“svchostdll.dll”,通过按时间排序,又发现了时间完全相同的木马安装程序“PortlessInst.exe”,一并删除即可。
清除Svchost.exe病毒方法:
第一步:进入安全模式(电脑启动时按F8),打开我的电脑,搜索SVCHOST,将搜索到的文件除了%systemroot%\System32这个文件夹里的之外的都删除。
第二步:进入注册表,搜索SVCHOST,将搜索到的除开[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost]这个值的不动之外,其他的都删除掉。然后重新搜索一遍,进行整理
[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost]这个值项。根据上面所说的判断方法来进行整理。
第三步、重启动电脑。
转自恶意软件清理专题站
本文转自starger51CTO博客,原文链接: http://blog.51cto.com/starger/18515,如需转载请自行联系原作者
清除Svchost.exe相关推荐
- sys驱动不能是exe_电脑小技巧如何处理svchost.exe进程
电脑小技巧--电脑做无线热点 电脑小技巧--U盘坏了如何修复 电脑小技巧--自动维护计划.任务关闭.禁用 电脑小技巧--预防U盘中毒 电脑小技巧--提高U盘读写速度 电脑小技巧--调整引导高级选项加快 ...
- Svchost.exe进程详解及Svchost.exe病毒清除方法
Svchost.exe是什么? svchost.exe是nt核心系统的非常重要的进程,对于2000.xp来说,不可或缺.很多病毒.***也会调用它.所以,深入了解这个程序,是玩电脑的必修课之一. ...
- 关于解决伪装成svchost.exe的病毒的清除(界面不断失去焦点,不断播放单击音效)
刚装完win7系统,在下载必要应用软件的时候,不知道哪里混进来了病毒程序,导致了主屏幕不断失去焦点,窗口不断切回,打开任何的应用程序,几秒后就会切回到主屏幕.之后卡成狗的悲惨状况,使用360等杀毒软件 ...
- Svchost.exe病毒
Svchost.exe是病毒的两种情况 1.利用假冒Svchost.exe名称的病毒程序 这种方式运行的病毒并没有直接利用真正的Svchost.exe进程,而是启动了另外一个名称同样是Svchost. ...
- Svchost.exe占用CPU100%全面解析与进程说明
在win.ini文件中,在[WINDOWS]下面,"run="和"load="是可能加载"***"程序的途径,必须仔细留心它们.一般情况下, ...
- 微软的自动更新问题,导致svchost.exe占用cpu超过50%
最近发现电脑启动后,1分钟左右,svchost.exe的cpu占用率逐渐飙高,占用率超过50%长达数分钟,以为是GG桌面的问题,就给卸了,结果照旧.又还怀是kis的问题,卸了以后问题依旧.不得已,找到 ...
- Svchost.exe是病毒的两种情况
1.利用假冒Svchost.exe名称的病毒程序 这种方式运行的病毒并没有直接利用真正的Svchost.exe进程,而是启动了另外一个名称同样是Svchost.exe的病毒进程,由于这个假冒的病毒进程 ...
- win7开机后svchost..exe占用CPU和内存很高的解决方法
近来,经常发现win7系统开机后反应超慢,经过检查发现占用CPU和内存很高.这种情况要持续十几分钟,之后就正常了. 各种开机项目都禁止了,还是如此.有可以的服务也禁止了,依旧如此.实在搞不明白了,难道 ...
- win7开机后svchost.exe占用内存的问题解决
强烈推荐一个大神的人工智能的教程:http://www.captainbed.net/zhanghan svchost.exe是一个属于微软Window ...
- 辨别亦真亦假的Svchost.exe
本文主要包括以下内容: 1.了解Svchost.exe的功能 2.判断真假Svchost.exe进程 3.清除伪装成Svchost.exe的病毒.木马 Svchost.exe.lsass.exe.wd ...
最新文章
- App 运营的指标具体都有哪些?(二)
- java批量导出word_java 批量生成word 文件
- python编程从入门到实践 之 数据可视化部分总结和回顾(未完待续)
- iPhone开发过程中调试多次Release问题 message sent to deallocated
- 今天收到 OCP 证书
- 美加州希望立法叫停加密手机
- Redis集群添加节点
- python入门基础系列八_Python 入门系列 —— 21. dict 的介绍
- linux python怎么用_【Python for Linux怎么用】Python for Linux好不好_使用技巧-ZOL软件百科...
- 为什么说车联网安全将成为热门产业
- 远程诊断技术在汽车 OTA 刷新应用的研究
- JDK安装与环境变量配置(Win10)
- 网狐cocos2d-lua棋牌二次开发搭建教程
- 数字积分法直线插补c语言,5.数字积分法直线插补.pdf
- #151: 每一本正式出版的图书都有一个ISBN号码与之对应,ISBN码包括9位数字、1位识别码和3位分隔符,其规定格式如“x-xxx-x...
- 几何分布的期望和方差公式推导_学习笔记:几种特殊分布之间的关系
- C#工具栏的各种工具
- Android 11版本号仍有甜点名称 只是不再公开:红丝绒蛋糕
- 4、Hangfire在AspNetCore中的使用(一)
- 书论52 姜夔《续书谱》