救!辨别真假Svchost.exe?
cai.weng.66
2007年09月11日 18:17:46
只看楼主

前几天,我觉得电脑(windows xp)有点问题.运行非常慢,打开任务栏管理器,结果有6个svchost.exe进程,比以前多了一个,于是我在百度搜索一下,结果说在systm32下的是系统进程,在别的文件下的有可能是病毒;我在C盘查了一下,有两个文件,只有一个是在systm32下,结果我把另外一个给删了,重起机子,又查了一下,哎呀,它又跑出来了,我越看越不对劲,在笔记本上(windows 2000)再查svchost.exe,结果只有一个并且是在systm32下.我想可能是中了病毒了,这个病毒可能是随系统起动而克隆的,结果,我在台式机上重装xp,重起机子,它又在别的文件夹下跑出来了?!? 我就觉得奇怪.

前几天,我觉得电脑(windows xp)有点问题.运行非常慢,打开任务栏管理器,结果有6个svchost.exe进程,比以前多了一个,于是我在百度搜索一下,结果说在systm32下的是系统进程,在别的文件下的有可能是病毒;我在C盘查了一下,有两个文件,只有一个是在systm32下,结果我把另外一个给删了,重起机子,又查了一下,哎呀,它又跑出来了,我越看越不对劲,在笔记本上(windows 2000)再查svchost.exe,结果只有一个并且是在systm32下.我想可能是中了病毒了,这个病毒可能是随系统起动而克隆的,结果,我在台式机上重装xp,重起机子,它又在别的文件夹下跑出来了?!? 我就觉得奇怪.
请哪位高人给分析一下,不胜感激!
免费打赏
my_home
2007年09月12日 09:15:56
2楼
帮你转到电脑技术板块了,希望能得到满意的答案
回复
sp51086462
2007年09月12日 11:55:55
3楼
由于Svchost.exe进程的特殊性,它隐藏了真正运行的程序的名称,在表面看到的只是Svchost.exe进程,这个特性同时也让许多病毒、木马有空可钻,企图以此迷惑我们。那么如何判断系统中的多个Svchost.exe进程是否正常呢?下面针对这类病毒常用的几种欺骗手法来进行分析。
骗局1:利用假冒Svchost.exe名称的病毒程序
火眼金睛:这种方式运行的病毒并没有直接利用真正的Svchost.exe进程,而是启动了另外一个名称同样是Svchost.exe的病毒进程,由于这个假冒的病毒进程并没有加载系统服务,它和真正的Svchost.exe进程是不同的,我们只需在命令行窗口中运行一下“Tasklist/svc”,如果看到哪个Svchost.exe进程后面提示的服务信息是“暂缺”,而不是一个具体的服务名,那么它就是病毒进程了,记下这个病毒进程对应的PID数值(进程标识符),即可在任务管理器的进程列表中找到它,结束进程后,在C盘搜索Svchost.exe文件,也可以用第三方进程工具直接查看该进程的路径,正常的Svchost.exe文件是位于%systemroot%\System32目录中的,而假冒的Svchost.exe病毒或木马文件则会在其他目录,例如“w32.welchina.worm”病毒假冒的Svchost.exe就隐藏在Windows\System32\Wi 目录中,将其删除,并彻底清除病毒的其他数据即可。

骗局2:一些高级病毒则采用类似系统服务启动的方式,通过真正的Svchost.exe进程加载病毒程序,而Svchost.exe是通过注册表数据来决定要装载的服务列表的,所以病毒通常会在注册表中采用以下方法进行加载:
·添加一个新的服务组,在组里添加病毒服务名
·在现有的服务组里直接添加病毒服务名
·修改现有服务组里的现有服务属性,修改其&ldquo erviceDll”键值指向病毒程序
判断方法:病毒程序要通过真正的Svchost.exe进程加载,就必须要修改相关的注册表数据,我们可以打开[HKEY_LOCAL_MACHINE\Software\Microsoft\Window T\CurrentVersion\Svchost],观察有没有增加新的服务组,同时要留意服务组中的服务列表,观察有没有可疑的服务名称,通常来说,病毒不会在只有一个服务名称的组中添加,往往会选择LocalService和netsvcs这两个加载服务较多的组,以干扰我们的分析,还有通过修改服务属性指向病毒程序的,通过注册表判断起来都比较困难,这时我们可以利用前面介绍的服务管理专家,分别打开LocalService和netsvcs分支,逐个检查右边服务列表中的服务属性,尤其要注意服务描述信息全部为英文的,很可能是第三方安装的服务,同时要结合它的文件描述、版本、公司等相关信息,进行综合判断。例如这个名为PortLe ackDoor的木马程序,我们在服务列表中可以看到它的服务描述为“IntranetService rdquo;,而它的文件版本、公司、描述信息更全部为空,如果是微软的系统服务程序是绝对不可能出现这种现象的。从启动信息“C:\WINDOWS\System32\svchost.exe -knetsvc rdquo;中可以看出这是一款典型的利用Svchost.exe进程加载运行的木马,知道了其原理,清除方法也很简单了:先用服务管理专家停止该服务的运行,然后运行regedit.exe打开“注册表编辑器”,删除[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPRIP]主键,重新启动计算机,再删除%systemroot%\System32目录中的木马源程序&ldquo vchostdll.dll”,通过按时间排序,又发现了时间完全相同的木马安装程序&ldquo ortle I t.exe”,一并删除即可.
回复
cai.weng.66
2007年09月12日 17:23:16
4楼
真的很感谢<sp51086462>,我还是查不出来,但在windows\frefetch下有一个,是pf文件,请问是不是病毒?它不具有"骗局1的特征,还望高人判别一下,
还有一件事:就是前几天,在c盘下的备份文件System Volume Information它怎么变成"拒绝访问"?我在安全模式下也打不开,,而且它的属性是0kb,空文件夹,但是这文件夹下是有文件的,我以前是打开过的,在它下面有备好的备份文件,能打开其它盘的System Volume Information,就是打不开c 盘的
还望高人给解释一下,我对电脑不是很懂
谢谢
回复
wby_0001
2007年09月13日 17:52:42
5楼
这些本来就是些系统的备份文件,打开它不打开它没有什么实际意义,如果说拒绝访问,一种可能是安着杀毒软件,杀毒软件检测到这是一个存在安全隐患的文件夹,极有可能感染病毒,所以为了保护电脑数据,就拒绝访问了。还有一种可能是这些系统备份文件在原来的系统里是可以打开的,但你重装系统后由于系统和用户变了,就无法以原来的身份登录了,所以有些备份文件就打不开了,也是一种自我保护性质的。
回复
cai.weng.66
2007年09月13日 18:37:26
6楼
谢谢<wby_0001>
杀毒软件阻止了?不可能的,我已经停止杀毒软件保护后才去打开的,而且在它里面藏了病毒,杀毒软件杀不了,我想用手工杀,可就是打不开
我就纳闷,它怎么就成空文件夹了????
回复
cai.weng.66
2007年09月13日 18:51:14
7楼
会不会里面的毒攻得太深了,攻得太狠了
所以把它的属性更改变成<0kb,0个字节,0个文件,拒绝访问>?
回复
wby_0001
2007年09月14日 08:28:06
8楼
一般杀毒软件能杀掉的病毒就杀掉了,不能杀的就隔离了,隔离后就的文件夹就无法访问!
回复
cai.weng.66
2007年09月14日 15:04:51
9楼
谢谢<wby_0001>
回复
sp51086462
2007年09月26日 18:39:14
10楼


Prefetch文件夹是Windows XP自动创建的,主要用于加快系统启动的速度。正常运行的情况下,windows XP会自动记录下启动时运行的每一个程序,并建立一个资料索引以加快下一次启动的时间。而当运行的程序重名时,系统会自动在程序名的后面添加一个“后缀”,随着使用时间的变长,Prefetch文件夹内会堆放许多垃圾,反而会拖慢系统,所以如果你有精力的话,还是建议对其进行定期删除。
-----------
在windows XP及其以后的操作系统中,增加了预读取功能(也可以理解为“预先装载”),该功能可以提高系统的性能,加快系统的启动、文件读取的速度,这些预读文件保存在%systemroot%\Prefetch目录中,以*.pf为扩展名,这些*.pf文件包括了载入文件的详细信息和载入顺序。  

每一个应用程序,包括windows XP的启动过程,都会在PrefetCh目录下留下相应的预读取文件,预读取文件描述了应用程序或启动时各个模块的装载顺序,其命名方式是以应用程序的可执行文件的名字为基础,加上一个“-”和描述执行文件完整路径的十六进制值,再加上文件扩展名.pf,例如QQ.EX-0065A2A1.pf。每当用户启动一个程序,会自动在Prefetch目录中对应的*.pf文件中留下一条记录。不过,windows XP启动的预读取文件总是同一个名称,即NTOSBOOT-B00DFAAD.PF,其中包含着启动时载入文件的记录。  

当下一次启动系统或运行某个程序时,Windows会参考相应的*.pf文件,将其中记录的所有文件载入内存,而不是象以往一项一项依指令逐个载入文件。另外,windows会利用启动程序或程序的*.pf文件制订一个最优化的磁盘分配方案,这个方案的相关信息存储在Lyaout.ini文件中。

C:\Windows\Prefetch\是Windows XP的预读文件夹,windows XP将频繁使用的数据存放在预读文件夹中,需要再次使用这些数据时可以大大加快读取速度,但随着时间的增长,这个文件夹的个头会变得越来越大,而且可能会存在一些死链文件,此时如果执行碎片整理,就有可能出现上面提到的错误,解决的办法是清空这个文件夹,然后整理碎片。
回复
sp51086462
2007年09月26日 18:40:39
11楼
其实最简单的方法就是把C:\Windows\Prefetch文件夹整个删除,就OK了!对系统不会有任何影响的。
回复

相关推荐

APP内打开