解决services.exe进程病毒方法

　　广·西·电·脑·服·务·网　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　设为首页　

　收藏本站

│

│

│

│

│

│

│

│

│

│

│

│

│

│

│

│

│

│

│

│

│

　广西电脑服务网 ·广西最大的电脑服务平台

您现在的位置：广西电脑维修在线 >> 黑客安全 >> 黑客安全正文

解决services.exe进程病毒方法

作者：未知文章来源：未知点击数：更新时间：2007-1-19 16:18:29

1 services.exe - services - 进程介绍 进程文件： services or services.exe 进程名称： Windows Service Controller 进程类别：其他进程英文描述： services.exe is a part of the Microsoft Windows Operating System and manages the operation of starting and stopping services. This process also deals with the automatic starting of services during the computers boot-up and the stopping of servicse durin 中文参考： services.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。注意：services也可能是W32.Randex.R(储存在%systemroot%\system32\目录)和Sober.P (储存在%systemroot%\Connection Wizard\Status\目录)木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议立即删除。出品者：Microsoft Corp. 属于：Microsoft Windows Operating System 系统进程：Yes 后台程序：Yes 网络相关：No 常见错误：N/A 内存使用：N/A 安全等级 (0-5): 0 间谍软件：No 广告软件：No 病毒：No 木马：No 这个后门还不错，也有点BT吧，共产生14个文件＋3个快捷图标＋2个文件夹。注册表部分，除了1个Run和System.ini，比较有特点是，非普通地利用了EXE文件关联，先修改了.exe的默认值，改.exe从默认的 exefile更改为winfiles，然后再创建winfiles键值，使EXE文件关联与木马挂钩。即为中毒后，任意一个EXE文件的属性，“应用程序”变成“EXE文件” 当然，清除的方法也很简单，不过需要注意步骤： 一、注册表：先使用注册表修复工具，或者直接使用regedit修正以下部分 1.SYSTEM.INI （NT系统在注册表： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon） shell = Explorer.exe 1 修改为shell = Explorer.exe 2.将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的 Torjan Program----------C:\WINNT\services.exe删除 3. HKEY_Classes_root\.exe 默认值 winfiles 改为exefile 4.删除以下两个键值： HKEY_Classes_root\winfiles HKEY_Local_machine\software\classes\winfiles 5. 打开注册表编辑器，依此分别查找“rundll32.com”、“finder.com”、“command.pif”，把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe” 6. 查找“iexplore.com”的信息，把找到的内容里面的“iexplore.com”改为“iexplore.exe” 7. 查找“explorer.com”的信息，把找到的内容里面的“explorer.com”改为“explorer.exe” 8. 查找“iexplore.pif”，应该能找到类似“%ProgramFiles%\Common Files\iexplore.pif”的信息，把这内容改为“C:\Program Files\Internet Explorer\iexplore.exe” 9. 删除病毒添加的文件关联信息和启动项： [HKEY_CLASSES_ROOT\winfiles] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Torjan Program"="%Windows%\services.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "Torjan Program"="%Windows%\services.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe 1" 改为 "Shell"="Explorer.exe" 10. 这些是病毒释放的一个VB库文件（MSWINSCK.OCX）的相关信息，不一定要删除： HKEY_CLASSES_ROOT\MSWinsock.Winsock HKEY_CLASSES_ROOT\MSWinsock.Winsock.1 HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D} HKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D} HKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D} HKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D} HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D} 注：因为病毒修改了很多关联信息，所以在那些病毒文件没有被删除之前，请不要做任何多余的操作，以免激活病毒二、然后重启系统，删除以下文件部分，注意打开各分区时，先打开“我的电脑”后请使用右键单击分区，选“打开”进入。或者直接执行附件的Kv.bat来删除以下文件 c:\antorun.inf （如果你有多个分区，请检查其他分区是否有这个文件，有也一并删除） %programfiles%\common files\iexplore.pif %programfiles%\Internat explorer\iexplore.com %windir%\1.com %windir%\exeroute.exe %windir%\explorer.com %windir%\finder.com %windir%\mswinsck.ocx %windir%\services.exe %windir%\system32\command.pif %windir%\system32\dxdiag.com %windir%\system32\finder.com %windir%\system32\msconfig.com %windir%\system32\regedit.com %windir%\system32\rundll32.com 删除以下文件夹： %windir%\debug %windir%\system32\NtmsData

上网速度更快更爽、更安全下载使用Firefox火狐浏览器

黑客安全录入：nnyx 责任编辑：nnyx

上一篇黑客安全： QQ聊天记录偷窥和QQ视频欺骗

下一篇黑客安全： smss.exe和lsass.exe及捆绑病毒查杀方法

【字体：小大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】

Windows Server 2003组策略排障六法	网上炒股安全防范
如何破解电脑密码	网页木马清除方法
中国电脑用户个人上网如何保证网络安全	QQ病毒的特征和清除方法
恶意网站的屏蔽方法	已知病毒分类表
什么是wmi	怎样关闭不安全的常见网络服务
网站安全保护方法	用多种方法隐藏共享访问“入口”
Apache服务器配置安全方法	网上银行电子支付平台的WEB登陆安全性方法
系统安全系列之Windows账户安全设置	数据加密技术
新一代的DDoS攻击方法	如何检测出你电脑中的间谍软件
Windows 2000虚拟主机最安全设置	Windows多种隐藏超级用户方法