SVCHOST.EXE病毒清除及專殺工具 - 殺毒技術(shù) - 新客網(wǎng)

jan_hf 2009-12-08

展開全文

SVCHOST.EXE病毒清除及專殺工具新客網(wǎng) XKER.COM 時(shí)間:2008-03-31來源:新客網(wǎng)絡(luò)學(xué)院轉(zhuǎn)載點(diǎn)擊:112071 次
一、手工清除SVCHOST.EXE病毒

查看：svchost.exe進(jìn)程是什么

在開始菜單的運(yùn)行中輸入cmd，出現(xiàn)命令行提示，輸入命令“tasklist /svc >c:\1.txt”（例如：C:\Documents and Settings\Administrator>tasklist /svc >c:\1.txt），就會(huì)在C盤根目錄生成1.txt文件，打開1.txt可以看到如下內(nèi)容：
查找svchost.exe的PID值和服務(wù)名稱。
******************************************************************************
圖像名                       PID 服務(wù)
========================= ====== =============================================
System Idle Process            0 暫缺
System                         4 暫缺
smss.exe                    1168 暫缺
csrss.exe                   1228 暫缺
winlogon.exe                1260 暫缺
services.exe                1308 Eventlog, PlugPlay
lsass.exe                   1320 PolicyAgent, ProtectedStorage, SamSs
ibmpmsvc.exe                1484 IBMPMSVC
ati2evxx.exe                1520 Ati HotKey Poller
svchost.exe                 1544 DcomLaunch, TermService
svchost.exe                 1684 RpcSs
svchost.exe                  380 AudioSrv, BITS, Browser, CryptSvc, Dhcp,
                                 EventSystem, FastUserSwitchingCompatibility,
                                 helpsvc, lanmanserver, lanmanworkstation,
                                 Netman, Nla, RasMan, Schedule, seclogon,
                                 SENS, SharedAccess, ShellHWDetection,
                                 TapiSrv, Themes, TrkWks, W32Time, winmgmt,
                                 wscsvc, wuauserv, WZCSVC
btwdins.exe                  420 btwdins
ati2evxx.exe                 456 暫缺
EvtEng.exe                   624 EvtEng
S24EvMon.exe                 812 S24EventMonitor
svchost.exe                  976 Dnscache
svchost.exe                 1192 Alerter, LmHosts, RemoteRegistry, SSDPSRV,
                                 WebClient
spoolsv.exe                 1852 Spooler
IPSSVC.EXE                   272 IPSSVC
AcPrfMgrSvc.exe              288 AcPrfMgrSvc
guard.exe                   1064 AVG Anti-Spyware Guard
avp.exe                     1124 AVP
mDNSResponder.exe           1284 Bonjour Service
inetinfo.exe                1848 IISADMIN, W3SVC
ibguard.exe                 3464 InterBaseGuardian
RegSrvc.exe                 3556 RegSrvc
svchost.exe                 3596 stisvc
SUService.exe               3968 SUService
TPHDEXLG.exe                3788 TPHDEXLGSVC
TpKmpSvc.exe                3804 TpKmpSVC
tvtsched.exe                3836 TVT Scheduler
wdfmgr.exe                  3920 UMWdf
vmware-authd.exe            3956 VMAuthdService
vmount2.exe                 3576 vmount2
vmnat.exe                   4112 VMware NAT Service
vmnetdhcp.exe               4360 VMnetDHCP
AcSvc.exe                   4388 AcSvc
ibserver.exe                4684 InterBaseServer
explorer.exe                5416 暫缺
alg.exe                     5704 ALG
SynTPEnh.exe                3776 暫缺
SvcGuiHlpr.exe              4912 暫缺
TPHKMGR.exe                 5088 暫缺
UNavTray.exe                5120 暫缺
TpShocks.exe                5136 暫缺
TPONSCR.exe                 4532 暫缺
avp.exe                     4648 暫缺
TpScrex.exe                 4412 暫缺
CRavgas.exe                 5196 暫缺
ctfmon.exe                  5284 暫缺
VStart.exe                  6020 暫缺
QQ.exe                      6124 暫缺
TXPlatform.exe              5584 暫缺
dllhost.exe                 4164 COMSysApp
davcdata.exe                1232 暫缺
Maxthon.exe                 2212 暫缺
EmEditor.exe                2004 暫缺
cmd.exe                     6360 暫缺
conime.exe                  2928 暫缺
wmiprvse.exe                5552 暫缺
tasklist.exe                1900 暫缺

******************************************************************************
如果看到哪個(gè)Svchost.exe進(jìn)程后面提示的服務(wù)信息是“暫缺”，而不是一個(gè)具體的服務(wù)名，那么它就是病毒進(jìn)程了，記下這個(gè)病毒進(jìn)程對(duì)應(yīng)的PID數(shù)值(進(jìn)程標(biāo)識(shí)符)，即可在任務(wù)管理器的進(jìn)程列表中找到它，結(jié)束進(jìn)程后，在C盤搜索Svchost.exe文件，也可以用第三方進(jìn)程工具直接查看該進(jìn)程的路徑，正常的Svchost.exe文件是位于%systemroot%\System32目錄中的，而假冒的Svchost.exe病毒或木馬文件則會(huì)在其他目錄，例如“w32.welchina.worm”病毒假冒的Svchost.exe就隱藏在Windows\System32\Wins目錄中，將其刪除，并徹底清除病毒的其他數(shù)據(jù)即可。

二、SVCHOST.EXE病毒高級(jí)騙術(shù)

一些高級(jí)病毒則采用類似系統(tǒng)服務(wù)啟動(dòng)的方式，通過真正的Svchost.exe進(jìn)程加載病毒程序，而Svchost.exe是通過注冊(cè)表數(shù)據(jù)來決定要裝載的服務(wù)列表的，所以病毒通常會(huì)在注冊(cè)表中采用以下方法進(jìn)行加載：添加一個(gè)新的服務(wù)組，在組里添加病毒服務(wù)名在現(xiàn)有的服務(wù)組里直接添加病毒服務(wù)名修改現(xiàn)有服務(wù)組里的現(xiàn)有服務(wù)屬性，修改其“ServiceDll”鍵值指向病毒程序判斷方法:病毒程序要通過真正的Svchost.exe進(jìn)程加載，就必須要修改相關(guān)的注冊(cè)表數(shù)據(jù)，可以打開[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\ CurrentVersion\Svchost]，觀察有沒有增加新的服務(wù)組，同時(shí)要留意服務(wù)組中的服務(wù)列表，觀察有沒有可疑的服務(wù)名稱，通常來說，病毒不會(huì)在只有一個(gè)服務(wù)名稱的組中添加，往往會(huì)選擇LocalService和netsvcs這兩個(gè)加載服務(wù)較多的組，以干擾分析，還有通過修改服務(wù)屬性指向病毒程序的，通過注冊(cè)表判斷起來都比較困難，這時(shí)可以利用前面介紹的服務(wù)管理專家，分別打開LocalService和netsvcs分支，逐個(gè)檢查右邊服務(wù)列表中的服務(wù)屬性，尤其要注意服務(wù)描述信息全部為英文的，很可能是第三方安裝的服務(wù)，同時(shí)要結(jié)合它的文件描述、版本、公司等相關(guān)信息，進(jìn)行綜合判斷。例如這個(gè)名為PortLess BackDoor的木馬程序，在服務(wù)列表中可以看到它的服務(wù)描述為“Intranet Services”，而它的文件版本、公司、描述信息更全部為空，如果是微軟的系統(tǒng)服務(wù)程序是絕對(duì)不可能出現(xiàn)這種現(xiàn)象的。從啟動(dòng)信息“C:\WINDOWS\System32\svchost.exe -k netsvcs”中可以看出這是一款典型的利用Svchost.exe進(jìn)程加載運(yùn)行的木馬，知道了其原理，清除方法也很簡(jiǎn)單了：先用服務(wù)管理專家停止該服務(wù)的運(yùn)行，然后運(yùn)行regedit.exe打開“注冊(cè)表編輯器”，刪除[HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\IPRIP]主鍵，重新啟動(dòng)計(jì)算機(jī)，再刪除%systemroot%\System32目錄中的木馬源程序“svchostdll.dll”，通過按時(shí)間排序，又發(fā)現(xiàn)了時(shí)間完全相同的木馬安裝程序“PortlessInst.exe”，一并刪除即可。 svchost.exe是nt核心系統(tǒng)的非常重要的進(jìn)程，對(duì)于2000、xp來說，不可或缺。很多病毒、木馬也會(huì)調(diào)用它。

新聞來自: 新客網(wǎng)(www.) 詳文參考：http://www./page/e2008/0331/51557.html

本站是提供個(gè)人知識(shí)管理的網(wǎng)絡(luò)存儲(chǔ)空間，所有內(nèi)容均由用戶發(fā)布，不代表本站觀點(diǎn)。請(qǐng)注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購買等信息，謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請(qǐng)點(diǎn)擊一鍵舉報(bào)。

轉(zhuǎn)藏 分享

QQ空間 QQ好友新浪微博微信

獻(xiàn)花（0） +1

來自： jan_hf > 《我的圖書館》

舉報(bào)/認(rèn)領(lǐng)