svchost.exe病毒查杀:SVCHOST.EXE病毒清除及专杀工具

ZDNet软件频道 时间:2009-11-04 作者:ZDNet社区 | ZDnet社区 我要评论()
本文关键词:Svchost.exe Svchost.exe专杀 Svchost.exe查杀 Svchost.exe清除 Windows
在开始菜单的运行中输入cmd,出现命令行提示,输入命令“tasklist /svc >c:1.txt”(例如:C:Documents and SettingsAdministrator>tasklist /svc >c:1.txt),

  一、手工清除SVCHOST.EXE病毒

  查看:svchost.exe进程是什么

  在开始菜单的运行中输入cmd,出现命令行提示,输入命令“tasklist /svc >c:1.txt”(例如:C:Documents and SettingsAdministrator>tasklist /svc >c:1.txt),就会在C盘根目录生成1.txt文档,打开1.txt能够看到如下内容:

  查找svchost.exe的PID值和服务名称。

  ******************************************************************************

  图像名 PID 服务

  ========================= ====== =============================================

  System Idle Process 0 暂缺

  System 4 暂缺

  smss.exe 1168 暂缺

  csrss.exe 1228 暂缺

  winlogon.exe 1260 暂缺

  services.exe 1308 Eventlog, PlugPlay

  lsass.exe 1320 PolicyAgent, ProtectedStorage, SamSs

  ibmpmsvc.exe 1484 IBMPMSVC

  ati2evxx.exe 1520 Ati HotKey Poller

  svchost.exe 1544 DcomLaunch, TermService

  svchost.exe 1684 RpcSs

  svchost.exe 380 AudioSrv, BITS, Browser, CryptSvc, Dhcp,

  EventSystem, FastUserSwitchingCompatibility,

  helpsvc, lanmanserver, lanmanworkstation,

  Netman, Nla, RasMan, Schedule, seclogon,

  SENS, SharedAccess, ShellHWDetection,

  TapiSrv, Themes, TrkWks, W32Time, winmgmt,

  wscsvc, wuauserv, WZCSVC

  btwdins.exe 420 btwdins

  ati2evxx.exe 456 暂缺

  EvtEng.exe 624 EvtEng

  S24EvMon.exe 812 S24EventMonitor

  svchost.exe 976 Dnscache

  svchost.exe 1192 Alerter, LmHosts, RemoteRegistry, SSDPSRV,

  WebClient

  spoolsv.exe 1852 Spooler

  IPSSVC.EXE 272 IPSSVC

  AcPrfMgrSvc.exe 288 AcPrfMgrSvc

  guard.exe 1064 AVG Anti-Spyware Guard

  avp.exe 1124 AVP

  mDNSResponder.exe 1284 Bonjour Service

  inetinfo.exe 1848 IISADMIN, W3SVC

  ibguard.exe 3464 InterBaseGuardian

  RegSrvc.exe 3556 RegSrvc

  svchost.exe 3596 stisvc

  SUService.exe 3968 SUService

  TPHDEXLG.exe 3788 TPHDEXLGSVC

  TpKmpSvc.exe 3804 TpKmpSVC

  tvtsched.exe 3836 TVT Scheduler

  wdfmgr.exe 3920 UMWdf

  vmware-authd.exe 3956 VMAuthdService

  vmount2.exe 3576 vmount2

  vmnat.exe 4112 VMware NAT Service

  vmnetdhcp.exe 4360 VMnetDHCP

  AcSvc.exe 4388 AcSvc

  ibserver.exe 4684 InterBaseServer

  explorer.exe 5416 暂缺

  alg.exe 5704 ALG

  SynTPEnh.exe 3776 暂缺

  SvcGuiHlpr.exe 4912 暂缺

  TPHKMGR.exe 5088 暂缺

  UNavTray.exe 5120 暂缺

  TpShocks.exe 5136 暂缺

  TPONSCR.exe 4532 暂缺

  avp.exe 4648 暂缺

  TpScrex.exe 4412 暂缺

  CRavgas.exe 5196 暂缺

  ctfmon.exe 5284 暂缺

  VStart.exe 6020 暂缺

  QQ.exe 6124 暂缺

  TXPlatform.exe 5584 暂缺

  dllhost.exe 4164 COMSysApp

  davcdata.exe 1232 暂缺

  Maxthon.exe 2212 暂缺

  EmEditor.exe 2004 暂缺

  cmd.exe 6360 暂缺

  conime.exe 2928 暂缺

  wmiprvse.exe 5552 暂缺

  tasklist.exe 1900 暂缺

  ******************************************************************************

  假如看到哪个Svchost.exe进程后面提示的服务信息是“暂缺”,而不是个具体的服务名,那么他就是病毒进程了,记下这个病毒进程对应的PID数值(进程标识符),即可在任务管理器的进程列表中找到他,结束进程后,在C盘搜索Svchost.exe文档,也能够用第三方进程工具直接查看该进程的路径,正常的Svchost.exe文档是位于%systemroot%System32目录中的,而假冒的Svchost.exe病毒或木马文档则会在其他目录,例如“w32.welchina.worm”病毒假冒的Svchost.exe就隐藏在WindowsSystem32Wins目录中,将其删除,并完全清除病毒的其他数据即可。

  二、SVCHOST.EXE病毒高级骗术

  一些高级病毒则采用类似系统服务启动的方式,通过真正的Svchost.exe进程加载病毒程式,而Svchost.exe是通过注册表数据来决定要装载的服务列表的,所以病毒通常会在注册表中采用以下方法进行加载: 添加一个新的服务组,在组里添加病毒服务名在现有的服务组里直接添加病毒服务名 修改现有服务组里的现有服务属性,修改其“ServiceDll”键值指向病毒程式判断方法:病毒程式要通过真正的Svchost.exe进程加载,就必须要修改相关的注册表数据,能够打开[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNT CurrentVersionSvchost],观察有没有增加新的服务组,同时要留意服务组中的服务列表,观察有没有可疑的服务名称,通常来说,病毒不会在只有一个服务名称的组中添加,往往会选择LocalService和netsvcs这两个加载服务较多的组,以干扰分析,更有通过修改服务属性指向病毒程式的,通过注册表判断起来都比较困难,这时能够利用前面介绍的服务管理专家,分别打开LocalService和netsvcs分支,逐个检查右边服务列表中的服务属性,尤其要注意服务描述信息全部为英文的,很可能是第三方安装的服务,同时要结合他的文档描述、版本、公司等相关信息,进行综合判断。例如这个名为PortLess BackDoor的木马程式,在服务列表中能够看到他的服务描述为“Intranet Services”,而他的文档版本、公司、描述信息更全部为空,假如是微软的系统服务程式是绝对不可能出现这种现象的。从启动信息“C:WindowsSystem32svchost.exe -k netsvcs”中能够看出这是一款典型的利用Svchost.exe进程加载运行的木马,知道了其原理,清除方法也很简单了:先用服务管理专家停止该服务的运行,然后运行regedit.exe打开“注册表编辑器”,删除[HKEY_LOCAL_MACHINESystemCurrentControlSet

  ServicesIPRIP]主键,重新启动电脑,再删除%systemroot%System32目录中的木马源程式“svchostdll.dll”,通过按时间排序,又发现了时间完全相同的木马安装程式“PortlessInst.exe”,一并删除即可。 svchost.exe是nt核心系统的很重要的进程,对于2000、xp来说,不可或缺。很多病毒、木马也会调用他。

  三、SVCHOST.EXE病毒专杀工具

  SVCHOST.EXE病毒专杀工具下载:Autorun病毒防御者/AutoGuarder2下载

Svchost.exe

Svchost.exe专杀

Svchost.exe查杀

Svchost.exe清除

Windows

用户评论
用户名
评论内容
发表时间
ZDNet网友
2011-03-18 14:57:01
ZDNet网友
2010-05-21 00:49:14
ZDNet网友
2010-05-21 00:48:00
ZDNet网友
微软应该对自己的用户负责,如果用户完全使用xp升级微软win7,为什么要付出这样麻烦的代价?都是微软出品软件,且都是利用该软件获取信息以及处理文字、多媒体功能,微软应该尽可能方便用户!虽然有时候这样的请求也许跟不上时代技术发展的脚步,但是微软不要以此为借口,认为一切都理所应当,就不可以方便用户。还是要尽力,所谓拿人手短吃人嘴软,商业不正是讲求有商道吗!至少做人需诚实守信,尽可能帮助用户顺利、安全转换操作系统、各种必须软件功能尽可能兼容以及信息尽可能的少丢失!虽然这很大程度仅仅取决于微软等计算机专家、工程师的自我自律约束,我们普通用户恐怕很难知道微软究竟仅了多大力量为用户考虑,但是我相信真相会有被发现的一天,无论多久远。 微软从某种意义上来说,就是一个类似“掌握魔方”操作特别出神入化的公司。几乎奠定了电脑主要的“规则”,但是,我却相信不久将来我们会发现,电脑依然是非常有限的一个小系统而已!随着我们新的关键材料认知突破,电脑系统会真正被另一个革命性新电脑系统所取代,不要以为我这样的说法是无稽之谈不可实现,我却认为很有可能,只看这样的情况发生究竟是快还是慢,是早还是迟!变成历史的小玩具之后的电脑系统,微软会留下良好的历史声名吗?我们拭目以待! 网友::我爱佛祖
2010-02-03 13:52:55
- 发表评论 -
匿名
注册用户

百度大联盟认证黄金会员Copyright© 1997- CNET Networks 版权所有。 ZDNet 是CNET Networks公司注册服务商标。
中华人民共和国电信与信息服务业务经营许可证编号:京ICP证010391号 京ICP备09041801号-159
京公网安备:1101082134