暂缺svchost.exe病毒专杀工具杀毒

svc h o st.exe病毒专杀工具杀毒

因为svchost进程启动各种服务所以病毒、木马也想尽办法来利用它企图利用它的特性来迷惑用户达到感染、入侵、破坏的目的(如冲击波变种病毒“w32.we lchia.wo rm”)。但wi nd ows系统存在多个svchost进程是很正常的在受感染的机器中到底哪个是病毒进程呢?以下是小编收集的svc host.exe病毒专杀工具杀毒仅供大家阅读参考!svc ho s t.exe病毒专杀工具杀毒svc ho s t.exe 

不是病毒这是一个属于微软Windows操作系统的系统程序微软官方对它的解释是Svc host.exe是从动态链接库(DL L)中运行的服务的通用主机进程名称。这个程序对系统的正常运行是非常重要而且是不能被结束的。

常被病毒冒充的进程名有 svch0st.exe、 schvost.exe、scvhost.exe。随着Windows系统服务不断增多为了节省系统资源微软把很多服务做成共享方式交由svc ho st.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的它们把可执行程序指向svchost 由svchost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“管理工具”→服务双击其中“Cl ipBook”服务在其属性面板中可以发现对应的可执行文件路径

“C:WI N DOWSsystem32cl ipsrv.exe”。再双击“Alerter”服务可以发现其可执行文件路径为“C:WIN DOWSsystem32svchost.exe-kLocalService”  而“Server”服务的可执行文件路径为“C:W I N DOWS system 32 svc host.exe -k netsvcs”。正是通过这种调用可以省下不少系统资源因此系统中出现多个svc host.exe其实只是系统的服务而已。 在Windows2000系统中一般存在2个svchost.exe进程一个是RPCSS(RemoteProced ureCal l)服务进程另外一个则是由很多服务共享的一个svchost.exe;而在WindowsXP中则一般有4个以上的svc ho s t.exe服务进程。如果svc ho st.exe进程的数量多于6个如果不是使用Vista或以上系统就要小心了很可能是病毒假冒的检测方法也很简单使用一些进程管理工具例如Windows优化大师的进程管理功能查看svchost.exe的可执行文件路径如果在“C:WI N DOWSsystem32”目录外那么就可以判定是病毒了。清除办法

1 .用unlocker删除类似于C:SysDayN6这样的文件夹例如

C:Syswm1 i、 C:SysAd5 D等等这些文件夹有个共同特点就是名称为Sys*** (***是三到五位的随机字母) 这样的文件夹有几个就删几个。

2.开始——运行——输入“regedit”——打开注册表展开注册表 到 以 下 位 置 HKEY_CU RRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun 删 除右边所有用 纯数字为 名 的键  如

<66><333><50><4>

3.重新启动计算机病毒清除完毕。svc ho s t.exe病毒专杀工具杀毒

清除SVCH OST.EXE病毒

查看 svc host.exe进程是什么

在开始菜单的运行中输入cmd 出现命令行提示输入命令“taskl ist /svc >c: .txt”( 例 如  C:Documents andSettingsAdministrator>taskl ist/svc>c: .txt) 就会在C盘根目录生成1 .txt文档打开1 .txt能够看到如下内容

查找svchost.exe的P I D值和服务名称。

****************************************************************************

**

图像名PID服务

========================= ======

=============================================

System Idle Process 0暂缺

System 4暂缺smss.exe 1168暂缺csrss.exe 1228暂缺winlogon.exe 1260暂缺services.exe 1308 Eventlog,PlugPlay

lsass.exe 1320 Pol icyAgent,ProtectedStorage,SamSsibmpmsvc.exe 1484 IBMPMSVCati2evxx.exe 1520 Ati HotKey Pol lersvchost.exe 1544 DcomLaunch,TermServicesvchost.exe 1684 RpcSssvchost.exe 380 AudioSrv,BITS,Browser,CryptSvc,Dhcp,EventSystem,FastUserSwitchingCompatibi l ity,helpsvc, lanmanserver, lanmanworkstation,

Netman,Nla,RasMan,Schedule,seclogon,

SENS,SharedAccess,Shel lHWDetection,

TapiSrv,Themes,TrkWks,W32Time,winmgmt,wscsvc,wuauserv,WZCSVCbtwdins.exe 420 btwdinsati2evxx.exe 456暂缺

EvtEng.exe 624 EvtEng

S24EvMon.exe 812 S24EventMonitorsvchost.exe 976 Dnscachesvchost.exe 1192 Alerter, LmHosts, RemoteRegistry,SSDPSRV,

WebCl ientspoolsv.exe 1852 Spooler

IPSSVC.EXE 272 IPSSVC

AcPrfMg rSvc.exe 288 AcPrfMg rSvcg uard.exe 1064 AVG Anti-S pywa re G ua rdavp.exe 1 124 AVPmDNSResponder.exe 1284 Bonjour Serviceinetinfo.exe 1848 I ISADMIN,W3SVCibguard.exe 3464 InterBaseGuardian

RegSrvc.exe 3556 RegSrvcsvchost.exe 3596 stisvc

SUService.exe 3968 SUService

TPHDEXLG.exe 3788 TPHDEXLGSVCTpKmpSvc.exe 3804 TpKmpSVCtvtsched.exe 3836 TVT Schedulerwdfmgr.exe 3920 UMWdfvmware-authd.exe 3956 VMAuthdServicevmount2.exe 3576 vmount2vmnat.exe 41 12 VMware NAT Servicevmnetdhcp.exe 4360 VMnetDHCP

AcSvc.exe 4388 AcSvcibserver.exe 4684 InterBaseServerexplorer.exe 5416暂缺alg.exe 5704 ALG

SynTPEnh.exe 3776暂缺

SvcGuiHlpr.exe 4912暂缺

TPHKMGR.exe 5088暂缺

U N avT ray.exe 5120暂缺

TpShocks.exe 5136暂缺

TPONSCR.exe 4532暂缺avp.exe 4648暂缺

TpScrex.exe 4412暂缺

C Ravg as.exe 5196暂缺ctfmon.exe 5284暂缺

VStart.exe 6020暂缺

QQ.exe 6124暂缺

TXPlatform.exe 5584暂缺dl lhost.exe 4164 COMSysAppdavcdata.exe 1232暂缺

Maxthon.exe 2212暂缺

E m Ed itor.exe 2004暂缺cmd.exe 6360暂缺conime.exe 2928暂缺wmiprvse.exe 5552暂缺taskl ist.exe 1900暂缺

****************************************************************************

**

假如看到哪个Svc host.exe进程后面提示的服务信息是“暂缺” 而不是个具体的服务名那么他就是病毒进程了记下这个病毒进程对应的PID数值(进程标识符) 即可在任务管理器的进程列表中找到他结束进程后在C盘搜索Sv c ho s t.exe文档也能够用第三方进程工具直接查看该进程的路径正常的Sv c ho s t.exe文档是位于%system root%S ys tem 32 目录中的而假冒的S vc hos t.exe病毒或木马文档则会在其他目录例如“w32.we l c h i n a.wo rm”病毒假冒的Svchost.exe就隐藏在Wi ndowsSyste m32Wi ns 目录中将其删除并完全清除病毒的其他数据即可。

二、 SVCH OST.EXE病毒高级骗术

一些高级病毒则采用类似系统服务启动的方式通过真正的Svc host.exe进程加载病毒程式而Svc host.exe是通过注册表数据来决定要装载的服务列表的所以病毒通常会在注册表中采用以下方法进行加载 添加一个新的服务组在组里添加病毒服务名在现有的服务组里直接添加病毒服务名修改现有服务组里的现有服务属性修改其“ServiceDl l”键值指向病毒程式判断方法:病毒程式要通过真正的Svc host.exe进程加载就必须要修改相关的注册表数据能够打开[H KEY_LOCAL_MACH IN ESoftwareMicrosoftWindowsNTCurrentVersionSvchost] 观察有没有增加新的服务组同时要留意服务组中的服务列表观察有没有可疑的服务名称通常来说病毒不会在只有一个服务名称的组中添加往往会选择Loca lService和

n e ts vcs这两个加载服务较多的组以干扰分析更有通过修改服务属性指向病毒程式的通过注册表判断起来都比较困难这时能够利用前面介绍的服务管理专家分别打开Loca lSe rv ice和netsvcs分支逐个检查右边服务列表中的服务属性尤其要注意服务描述信息全部为英文的很可能是第三方安装的服务同时要结合他的文档描述、版本、公司等相关信息进行综合判断。例如这个名为 PortLessBackDoor的木马程式在服务列表中能够看到他的服务描述为“Intranet Services” 而他的文档版本、公司、描述信息更全部为空假如是微软的系统服务程式是绝对不可能出现这种现象的。从启动信息“C:WINDOWSSystem32svchost.exe -k netsvcs”中能够看出这是一款典型的利用Svc ho s t.exe进程加载运行的木马知道了其原理清除方法也很简单了先用服务管理专家停止该服务的运行然后运行 regedit.exe 打开 “注册表编辑器”  删 除[H KEY_LOCAL_MACH I NESystemCurrentControlSet

ServicesIPRIP]主键  重新启动电脑  再删除%system root%System 32目录中的木马源程式“svc hostd l l .d l l” 通过按时间排序又发现了时间完全相同的木马安装程式“Portless Inst.exe” 一并删除即可。 svchost.exe是nt核心系统的很重要的进程对于2000、 xp来说不可或缺。很多病毒、木马也会调用他。

[svc host.exe病毒专杀工具杀毒]