紧急求助我的电脑在开机后会变的非
前两个文件都是正常的系统文件,如果不放心可以取消系统自动升级!控制面板中可以设置!
问题出在占cpu100%的Svchost。exe
由于Svchost。exe进程的特殊性,它隐藏了真正运行的程序的名称,在表面看到的只是Svchost。 exe进程,这个特性同时也让许多病毒、木马有空可钻,企图以此迷惑用户。那么如何判断系统中的多个Svchost。exe进程是否正常呢?下面针对这类病毒常用的几种欺骗手法来进行分析。
骗局1:利用假冒Svchost。 exe名称的病毒程序
火眼金睛:这种方式运行的病毒并没有直接利用真正的Svchost。exe进程,而是启动了另外一个名称同样是S...全部
前两个文件都是正常的系统文件,如果不放心可以取消系统自动升级!控制面板中可以设置!
问题出在占cpu100%的Svchost。exe
由于Svchost。exe进程的特殊性,它隐藏了真正运行的程序的名称,在表面看到的只是Svchost。
exe进程,这个特性同时也让许多病毒、木马有空可钻,企图以此迷惑用户。那么如何判断系统中的多个Svchost。exe进程是否正常呢?下面针对这类病毒常用的几种欺骗手法来进行分析。
骗局1:利用假冒Svchost。
exe名称的病毒程序
火眼金睛:这种方式运行的病毒并没有直接利用真正的Svchost。exe进程,而是启动了另外一个名称同样是Svchost。exe的病毒进程,由于这个假冒的病毒进程并没有加载系统服务,它和真正的Svchost。
exe进程是不同的,只需在命令行窗口中运行一下“Tasklist /svc”,如果看到哪个Svchost。exe进程后面提示的服务信息是“暂缺”(见图6),而不是一个具体的服务名,那么它就是病毒进程了,记下这个病毒进程对应的PID数值(进程标识符),即可在任务管理器的进程列表中找到它,结束进程后,在C盘搜索Svchost。
exe文件,也可以用第三方进程工具直接查看该进程的路径,正常的Svchost。exe文件是位于%systemroot%\System32目录中的,而假冒的Svchost。exe病毒或木马文件则会在其他目录,例如“w32。
welchina。worm”病毒假冒的Svchost。exe就隐藏在Windows\System32\Wins目录中,将其删除,并彻底清除病毒的其他数据即可。
骗局2:一些高级病毒则采用类似系统服务启动的方式,通过真正的Svchost。
exe进程加载病毒程序,而Svchost。exe是通过注册表数据来决定要装载的服务列表的,所以病毒通常会在注册表中采用以下方法进行加载:
添加一个新的服务组,在组里添加病毒服务名
在现有的服务组里直接添加病毒服务名
修改现有服务组里的现有服务属性,修改其“ServiceDll”键值指向病毒程序
判断方法:病毒程序要通过真正的Svchost。
exe进程加载,就必须要修改相关的注册表数据,可以打开[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost],观察有没有增加新的服务组,同时要留意服务组中的服务列表,观察有没有可疑的服务名称,通常来说,病毒不会在只有一个服务名称的组中添加,往往会选择LocalService和netsvcs这两个加载服务较多的组,以干扰分析,还有通过修改服务属性指向病毒程序的,通过注册表判断起来都比较困难,这时可以利用前面介绍的服务管理专家,分别打开LocalService和netsvcs分支,逐个检查右边服务列表中的服务属性,尤其要注意服务描述信息全部为英文的,很可能是第三方安装的服务,同时要结合它的文件描述、版本、公司等相关信息,进行综合判断。
例如这个名为PortLess BackDoor的木马程序,在服务列表中可以看到它的服务描述为“Intranet Services”,而它的文件版本、公司、描述信息更全部为空(见图7),如果是微软的系统服务程序是绝对不可能出现这种现象的。
从启动信息“C:\WINDOWS\System32\svchost。exe -k netsvcs”中可以看出这是一款典型的利用Svchost。exe进程加载运行的木马,知道了其原理,清除方法也很简单了:先用服务管理专家停止该服务的运行,然后运行regedit。
exe打开“注册表编辑器”,删除[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPRIP]主键,重新启动计算机,再删除%systemroot%\System32目录中的木马源程序“svchostdll。
dll”,通过按时间排序,又发现了时间完全相同的木马安装程序“PortlessInst。exe”,一并删除即可。
建议在安全模式下,完全扫描一便系统,运行msconfig,取消掉除杀毒软件和输入法外的其他运行项,然后运行regedit注册表,
注册表中的启动项,查看以下项有没有可疑程序,有则删除,前提是你最好备份个注册表,以防误删除!
path1=HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
path2=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
path3=HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
path4=HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
path5=HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
path6=HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
path7=HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup
path8=HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
path9=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
path10=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
path11=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
path12=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
path13=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
path14=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup
path15=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
最后祝愿你机器早日正常!哈哈!
。收起
