services.exe病毒查杀：Services.exe进程分析及病毒查杀

　　Services.exe是什么?services是什么进程?Services.exe占用内存过高怎么办?services.exe病毒如何查杀?请看本文。

　　Services.exe是什么

　　Services.exe

　　进程文件： services 或者 services.exe

　　进程名称： Windows Service Controller

　　描述

　　services.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。终止进程后会重启。正常的services.exe应位于%systemroot%\System32文件夹中，也就是在进程里用户名显示为“system”，不过services也可能是W32.Randex.R(储存在%systemroot%\system32\目录)和Sober.P (储存在%systemroot%\Connection Wizard\Status\目录)木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议立即删除。

　　属于：Microsoft Windows Operating System

　　系统进程： 是

　　后台程序： 是

　　使用网络： 否

　　硬件相关： 否

　　常见错误： 未知N/A

　　内存使用： 1336kb

　　安全等级 (0-5)： 0

　　间谍软件： 否

　　Adware: 否

　　广告软件： 否

　　木马： 否

　　Services.exe占用内存过高

　　长时间使用电脑会导致services.exe占用大量内存，其主要原因是Event Log过多，而services.exe启动时会加载Event log。由此使得进程占用大量内存。

　　解决方法：“控制面板”-“管理工具”-“事件查看器”里，把三种事件日志全部清空。

　　Services.exe病毒(msn蠕虫变种)分析

　　病毒行为：

　　病毒运行后复制自身到系统目录：

　　%systemroot%\system\services.exe

　　创建包含自身的带毒ZIP压缩包：

　　%systemroot%\IMG0024.zip

　　压缩包中包含的病毒文件名为：IMG0017-WWW.PHOTOUPLOAD.COM

　　创建启动项：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

　　“Windows Services Registry”=“%Windows%\system\services.exe”

　　在Windows防火墙中添加自身到例外列表：

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

　　“%systemroot%\system\services.exe”=“%Windows%\system\services.exe:*:Enabled:Messenger Sharing”

　　设置注册表信息：

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]

　　“WaitToKillServiceTimeout”=“7000”

　　根据染毒系统的语言向MSN联系人发送相应的诱惑文字消息，同时发送带毒压缩包IMG0024.zip诱使联系人接收打开。

　　尝试连接远程IRC：sz.secdreg.org

　　Services.exe病毒手动清除：

　　一、注册表修复

　　使用注册表修复工具，或者直接使用regedit修正以下部分

　　1.SYSTEM.INI (NT系统在注册表： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon)

　　shell = Explorer.exe 1 修改为shell = Explorer.exe

　　2.将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的

　　Torjan Program----------C:\WINNT\services.exe删除

　　3. HKEY_Classes_root\.exe

　　默认值 winfiles 改为exefile

　　4.删除以下两个键值：

　　HKEY_Classes_root\winfiles

　　HKEY_Local_machine\software\classes\winfiles

　　5. 打开注册表编辑器，依此分别查找“rundll32.com”、“finder.com”、“command.pif”，把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”

　　6. 查找“iexplore.com”的信息，把找到的内容里面的“iexplore.com”改为“iexplore.exe”

　　7. 查找“explorer.com”的信息，把找到的内容里面的“explorer.com”改为“explorer.exe”

　　8. 查找“iexplore.pif”，应该能找到类似“%ProgramFiles%\Common Files\iexplore.pif”的信息，把这内容改为“C:\Program Files\Internet Explorer\iexplore.exe”

　　9. 删除病毒添加的文件关联信息和启动项：

　　[HKEY_CLASSES_ROOT\winfiles]

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

　　“Torjan Program”=“%Windows%\services.exe”

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

　　“Torjan Program”=“%Windows%\services.exe”

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

　　“Shell”=“Explorer.exe 1”

　　改为

　　“Shell”=“Explorer.exe”

　　10. 这些是病毒释放的一个VB库文件(MSWINSCK.OCX)的相关信息，不一定要删除：

　　HKEY_CLASSES_ROOT\MSWinsock.Winsock

　　HKEY_CLASSES_ROOT\MSWinsock.Winsock.1

　　HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}

　　HKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}

　　HKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}

　　HKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}

　　HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}

　　注：因为病毒修改了很多关联信息，所以在那些病毒文件没有被删除之前，请不要做任何多余的操作，以免激活病毒

　　二、删除病毒文件

　　重启系统，删除以下文件部分，注意打开各分区时，先打开“我的电脑”后请使用右键单击分区，选“打开”进入。或者直接执行附件的Kv.bat来删除以下文件

　　c:\antorun.inf (如果你有多个分区，请检查其他分区是否有这个文件，有也一并删除)

　　%programfiles%\common files\iexplore.pif

　　%programfiles%\Internat explorer\iexplore.com

　　%windir%\1.com

　　%windir%\exeroute.exe

　　%windir%\explorer.com

　　%windir%\finder.com

　　%windir%\mswinsck.ocx

　　%windir%\services.exe

　　%windir%\system32\command.pif

　　%windir%\system32\dxdiag.com

　　%windir%\system32\finder.com

　　%windir%\system32\msconfig.com

　　%windir%\system32\regedit.com

　　%windir%\system32\rundll32.com

　　删除以下文件夹：

　　%windir%\debug

　　%windir%\system32\NtmsData