svchost.exe变种病毒——查杀方法

1、中svchost.exe变种病毒现象：

①.在刚中svchost.exe变种病毒时，计算机变得很卡，运行速度非常慢；

②.在重新启动电脑之后，发现用户密码被修改，进入不了系统。

③.用另外用户登录进去后，双机驱动盘符，计算机又死机。

④.在D盘和E盘的根目录发现了两个病毒文件：autorun.inf和svchost.exe；病毒会修改注册表,让"显示隐藏文件"无效.

⑤.对svchost.exe变种病毒金山没有报警，麦咖啡（macfee）也没有报警。

2、svchost.exe病毒查杀方法。

其实，最好的办法的重装系统，一但电脑重新启动之后，用户密码被修改。如果没开启其他用户那就是个问题！！！所以建议最好是重装系统（重新分区）

下面是未验证的查杀方法：切记查杀过程不要双击，最好不要开盘，如果要开的话就在IE地址里输入D：这样的进入。

第一步：下载USBcleaner，和360安全卫士还有一个软件autorun病毒防御者

（360主要是用来监视进程的，把所有的保护都打开，也许这个病毒过360，因为是没试过。）

第二步：用USBcleaner查杀系统里的病毒，尽快清理。然后开启autorun病毒防御者，查杀一下。

第三步：以上软件都不要关闭。下面是svchost.exe病毒在系统里修改过的地方进行处理。

注册表添加的值要全部删除，

系统Administrator管理员用户的密码为FREEDOM

system32UDiskDrive.exe
system32winlogon.exe
system32U7070蠕虫杀毒方法.exe
x:svchost.exe
x:autorun.inf

这些盘里的这些文件，删除了之后会又来。（进入安全模式删除）

svchost.exe病毒在系统中做了如下更改

注册表的添加键值如下：

SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced
Hidden,1

SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced
ShowSuperHidden,0

SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL
CheckedValue,0
NeverShowExt,1
exefile,0
chm.file,0
SYSTEMMicroSoftU7070,0

SOFTWAREMicrosoftWindowsCurrentVersionApp Paths
*shell刷新(&F)command,svchost.exe

并在各磁盘根目录添加autorun.inf文件，里面内容为：

[AutoRun]

open=svchost.exe
shellopen=Open(&O)
shellopenCommand=svchost.exe
shellopenDefault=1
shellexplore=资源管理器(&X)
shellexploreCommand=svchost.exe

执行cmd命令：

net user Administrator FREEDOM

更改Administrator管理员用户的密码为FREEDOM

添加注册表项更改windows登录提示：
SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
LegalNoticeCaption,Scharz Adler Notice:
LegalNoticeText,里面的内容如下：（找到注册表值就可以清理）

1.以此病毒纪念7.7事变70周年!

2.振兴中华,从我做起! 坚决抵制盗版!

3.盗版猖獗,危害国家! 爱国者不用盗版!

4.请使用正版Windows! Windows是最优秀的操作系统!

5.请使用正版杀毒软件!

6.请订阅＜＜电脑报＞＞学习计算机使用技巧!减少中毒概率!

Scharz Adler , Silent Hunter!

覆盖或添加病毒副本到如下位置及各盘根目录(每3e8h扫描一次，即1秒):

system32UDiskDrive.exe
system32winlogon.exe
system32U7070蠕虫杀毒方法.exe
x:svchost.exe
x:autorun.inf

监视.exe.chm.url.gho文件，当运行时会出现：

系统提示：
打开错误!
文件与系统不兼容或文件损坏

此法不一定凑效！只是理论上的。