科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道SVCHOST查杀技巧:SVCHOST.EXE 病毒专杀工具

SVCHOST查杀技巧:SVCHOST.EXE 病毒专杀工具

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

svchost.exe其实是是nt核心系统的非常重要的进程,很多病毒、木马也会调用svchost.exe。关于svchost.exe是否是病毒的主要看他所在的位置,有人已经编写了SVCHOST.EXE 病毒专杀工具,懒人有福了

作者:网络转载 来源:网络转载 2009年5月23日

关键字: SVCHOST病毒 svchost.exe专杀 Svchost.exe查杀 SVCHOST手动查杀

  • 评论
  • 分享微博
  • 分享邮件

  svchost.exe其实是是nt核心系统的非常重要的进程,很多病毒、木马也会调用svchost.exe。关于svchost.exe是否是病毒的主要看他所在的位置,有人已经编写了SVCHOST.EXE 病毒专杀工具,懒人有福了

  关于SVCHOST.EXE是不是病毒的可以查看这篇文章

  http://www.dayanmei.com/blog.php/ID_864.htm

  SVCHOST.EXE 病毒专杀工具,可以在本文末尾找到下载地址

  在开始菜单的运行中输入cmd,出现命令行提示,输入命令“tasklist /svc >c:.txt”(例如:C:\Documents and Settings\Administrator>tasklist /svc >c:.txt),就会在C盘根目录生成1.txt文件,打开1.txt可以看到如下内容:

  查找svchost.exe的PID值和服务名称。

  图像名 PID 服务

  ========================= ====== =============================================

  System Idle Process 0 暂缺

  System 4 暂缺

  smss.exe 464 暂缺

  csrss.exe 516 暂缺

  winlogon.exe 540 暂缺

  SERVICES.EXE 584 Eventlog, PlugPlay

  LSASS.EXE 596 ProtectedStorage

  SVCHOST.EXE 744 DcomLaunch

  SVCHOST.EXE 840 RpcSs

  SVCHOST.EXE 948 AudioSrv, CryptSvc, dmserver, EventSystem,

  lanmanworkstation, Netman, RasMan, seclogon,

  SENS, SharedAccess, ShellHWDetection,

  TapiSrv, winmgmt

  EXPLORER.EXE 1184 暂缺

  realsched.exe 1388 暂缺

  CTFMON.EXE 1396 暂缺

  dllhost.exe 392 COMSysApp

  TM.exe 1032 暂缺

  TTPlayer.exe 1108 暂缺

  cmd.exe 1056 暂缺

  conime.exe 1568 暂缺

  tasklist.exe 1720 暂缺

  wmiprvse.exe 1376 暂缺

  如果看到哪个Svchost.exe进程后面提示的服务信息是“暂缺”,而不是一个具体的服务名,那么它就是病毒进程了,记下这个病毒进程对应的PID数 值(进程标识符),即可在任务管理器的进程列表中找到它,结束进程后,在C盘搜索Svchost.exe文件,也可以用第三方进程工具直接查看该进程的路 径,正常的Svchost.exe文件是位于%systemroot%\System32目录中的,而假冒的Svchost.exe病毒或木马文件则会在 其他目录,例如“w32.welchina.worm”病毒假冒的Svchost.exe就隐藏在Windows\System32\Wins目录中,将 其删除,并彻底清除病毒的其他数据即可。

  二、SVCHOST.EXE病毒高级骗术

  一些高级病毒则采用类似系统服务启动的方式,通过真正的Svchost.exe进程加载病毒程序,而Svchost.exe是通过注册表数据来决定要装载的服务列表的,所以病毒通常会在注册表中采用以下方法进行加载: 添加一个新的服务组,在组里添加病毒服务名在现有的服务组里直接添加病毒服务名修改现有服务组里的现有服务属性,修改其“ServiceDll”键值指向病毒程序判断方法:病毒程序要通过真正的Svchost.exe进程加载,就必须要修改相关的注册表数据,可以打开[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\ CurrentVersion\Svchost],观察有没有增加新的服务组,同时要留意服务组中的服务列表,观察有没有可疑的服务名称,通常来说,病毒不会在只有一个服务名称的组中添加,往往会选择LocalService和netsvcs这两个加载服务较多的组,以干扰分析,还有通过修改服务属性指向病毒程序的,通过注册表判断起来都比较困难,这时可以利用前面介绍的服务管理专家,分别打开LocalService和netsvcs分支,逐个检查右边服务列表中的服务属性,尤其要注意服务描述信息全部为英文的,很可能是第三方安装的服务,同时要结合它的文件描述、版本、公司等相关信息,进行综合判断。例如这个名为PortLess BackDoor的木马程序,在服务列表中可以看到它的服务描述为“Intranet Services”,而它的文件版本、公司、描述信息更全部为空,如果是微软的系统服务程序是绝对不可能出现这种现象的。从启动信息“C:\ WINDOWS\System32\svchost.exe -k netsvcs”中可以看出这是一款典型的利用Svchost.exe进程加载运行的木马,知道了其原理,清除方法也很简单了:先用服务管理专家停止该服务的运行,然后运行regedit.exe打开“注册表编辑器”,删除[HKEY_LOCAL_MACHINE\System\ CurrentControlSet\

  Services\IPRIP]主键,重新启动计算机,再删除%systemroot%\System32 目录中的木马源程序“svchostdll.dll”,通过按时间排序,又发现了时间完全相同的木马安装程序“PortlessInst.exe”,一并删除即可。 svchost.exe是nt核心系统的非常重要的进程,对于2000、xp来说,不可或缺。很多病毒、木马也会调用它。

  三、SVCHOST.EXE病毒专杀工具

  SVCHOST.EXE病毒专杀工具下载

  文章来自:老李的日志。源地址:http://www.dayanmei.com/blog.php/ID_865.htm

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章