SVCHOST.EXE病毒清除及專殺工具 新客網(wǎng) XKER.COM 時(shí)間:2008-03-31來源:新客網(wǎng)絡(luò)學(xué)院轉(zhuǎn)載  點(diǎn)擊:112071 次
一、手工清除SVCHOST.EXE病毒

查看：svchost.exe進(jìn)程是什么

在開始菜單的運(yùn)行中輸入cmd，出現(xiàn)命令行提示，輸入命令“tasklist /svc >c:\1.txt”（例如：C:\Documents and Settings\Administrator>tasklist /svc >c:\1.txt），就會在C盤根目錄生成1.txt文件，打開1.txt可以看到如下內(nèi)容：
查找svchost.exe的PID值和服務(wù)名稱。
******************************************************************************
圖像名                       PID 服務(wù)                                        
========================= ====== =============================================
System Idle Process            0 暫缺                                        
System                         4 暫缺                                        
smss.exe                    1168 暫缺                                        
csrss.exe                   1228 暫缺                                        
winlogon.exe                1260 暫缺                                        
services.exe                1308 Eventlog, PlugPlay                          
lsass.exe                   1320 PolicyAgent, ProtectedStorage, SamSs        
ibmpmsvc.exe                1484 IBMPMSVC                                    
ati2evxx.exe                1520 Ati HotKey Poller                           
svchost.exe                 1544 DcomLaunch, TermService                     
svchost.exe                 1684 RpcSs                                       
svchost.exe                  380 AudioSrv, BITS, Browser, CryptSvc, Dhcp,    
                                 EventSystem, FastUserSwitchingCompatibility,
                                 helpsvc, lanmanserver, lanmanworkstation,   
                                 Netman, Nla, RasMan, Schedule, seclogon,    
                                 SENS, SharedAccess, ShellHWDetection,       
                                 TapiSrv, Themes, TrkWks, W32Time, winmgmt,  
                                 wscsvc, wuauserv, WZCSVC                    
btwdins.exe                  420 btwdins                                     
ati2evxx.exe                 456 暫缺                                        
EvtEng.exe                   624 EvtEng                                      
S24EvMon.exe                 812 S24EventMonitor                             
svchost.exe                  976 Dnscache                                    
svchost.exe                 1192 Alerter, LmHosts, RemoteRegistry, SSDPSRV,  
                                 WebClient                                   
spoolsv.exe                 1852 Spooler                                     
IPSSVC.EXE                   272 IPSSVC                                      
AcPrfMgrSvc.exe              288 AcPrfMgrSvc                                 
guard.exe                   1064 AVG Anti-Spyware Guard                      
avp.exe                     1124 AVP                                         
mDNSResponder.exe           1284 Bonjour Service                             
inetinfo.exe                1848 IISADMIN, W3SVC                             
ibguard.exe                 3464 InterBaseGuardian                           
RegSrvc.exe                 3556 RegSrvc                                     
svchost.exe                 3596 stisvc                                      
SUService.exe               3968 SUService                                   
TPHDEXLG.exe                3788 TPHDEXLGSVC                                 
TpKmpSvc.exe                3804 TpKmpSVC                                    
tvtsched.exe                3836 TVT Scheduler                               
wdfmgr.exe                  3920 UMWdf                                       
vmware-authd.exe            3956 VMAuthdService                              
vmount2.exe                 3576 vmount2                                     
vmnat.exe                   4112 VMware NAT Service                          
vmnetdhcp.exe               4360 VMnetDHCP                                   
AcSvc.exe                   4388 AcSvc                                       
ibserver.exe                4684 InterBaseServer                             
explorer.exe                5416 暫缺                                        
alg.exe                     5704 ALG                                         
SynTPEnh.exe                3776 暫缺                                        
SvcGuiHlpr.exe              4912 暫缺                                        
TPHKMGR.exe                 5088 暫缺                                        
UNavTray.exe                5120 暫缺                                        
TpShocks.exe                5136 暫缺                                        
TPONSCR.exe                 4532 暫缺                                        
avp.exe                     4648 暫缺                                        
TpScrex.exe                 4412 暫缺                                        
CRavgas.exe                 5196 暫缺                                        
ctfmon.exe                  5284 暫缺                                        
VStart.exe                  6020 暫缺                                        
QQ.exe                      6124 暫缺                                        
TXPlatform.exe              5584 暫缺                                        
dllhost.exe                 4164 COMSysApp                                   
davcdata.exe                1232 暫缺                                        
Maxthon.exe                 2212 暫缺                                        
EmEditor.exe                2004 暫缺                                        
cmd.exe                     6360 暫缺                                        
conime.exe                  2928 暫缺                                        
wmiprvse.exe                5552 暫缺                                        
tasklist.exe                1900 暫缺                                        

******************************************************************************
如果看到哪個(gè)Svchost.exe進(jìn)程后面提示的服務(wù)信息是“暫缺”，而不是一個(gè)具體的服務(wù)名，那么它就是病毒進(jìn)程了，記下這個(gè)病毒進(jìn)程對應(yīng)的PID數(shù)值(進(jìn)程標(biāo)識符)，即可在任務(wù)管理器的進(jìn)程列表中找到它，結(jié)束進(jìn)程后，在C盤搜索Svchost.exe文件，也可以用第三方進(jìn)程工具直接查看該進(jìn)程的路徑，正常的Svchost.exe文件是位于%systemroot%\System32目錄中的，而假冒的Svchost.exe病毒或木馬文件則會在其他目錄，例如“w32.welchina.worm”病毒假冒的Svchost.exe就隱藏在Windows\System32\Wins目錄中，將其刪除，并徹底清除病毒的其他數(shù)據(jù)即可。

二、SVCHOST.EXE病毒高級騙術(shù)

一些高級病毒則采用類似系統(tǒng)服務(wù)啟動(dòng)的方式，通過真正的Svchost.exe進(jìn)程加載病毒程序，而Svchost.exe是通過注冊表數(shù)據(jù)來決定要裝載的服務(wù)列表的，所以病毒通常會在注冊表中采用以下方法進(jìn)行加載： 添加一個(gè)新的服務(wù)組，在組里添加病毒服務(wù)名在現(xiàn)有的服務(wù)組里直接添加病毒服務(wù)名 修改現(xiàn)有服務(wù)組里的現(xiàn)有服務(wù)屬性，修改其“ServiceDll”鍵值指向病毒程序判斷方法:病毒程序要通過真正的Svchost.exe進(jìn)程加載，就必須要修改相關(guān)的注冊表數(shù)據(jù)，可以打開[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\ CurrentVersion\Svchost]，觀察有沒有增加新的服務(wù)組，同時(shí)要留意服務(wù)組中的服務(wù)列表，觀察有沒有可疑的服務(wù)名稱，通常來說，病毒不會在只有一個(gè)服務(wù)名稱的組中添加，往往會選擇LocalService和netsvcs這兩個(gè)加載服務(wù)較多的組，以干擾分析，還有通過修改服務(wù)屬性指向病毒程序的，通過注冊表判斷起來都比較困難，這時(shí)可以利用前面介紹的服務(wù)管理專家，分別打開LocalService和netsvcs分支，逐個(gè)檢查右邊服務(wù)列表中的服務(wù)屬性，尤其要注意服務(wù)描述信息全部為英文的，很可能是第三方安裝的服務(wù)，同時(shí)要結(jié)合它的文件描述、版本、公司等相關(guān)信息，進(jìn)行綜合判斷。例如這個(gè)名為PortLess BackDoor的木馬程序，在服務(wù)列表中可以看到它的服務(wù)描述為“Intranet Services”，而它的文件版本、公司、描述信息更全部為空，如果是微軟的系統(tǒng)服務(wù)程序是絕對不可能出現(xiàn)這種現(xiàn)象的。從啟動(dòng)信息“C:\WINDOWS\System32\svchost.exe -k netsvcs”中可以看出這是一款典型的利用Svchost.exe進(jìn)程加載運(yùn)行的木馬，知道了其原理，清除方法也很簡單了：先用服務(wù)管理專家停止該服務(wù)的運(yùn)行，然后運(yùn)行regedit.exe打開“注冊表編輯器”，刪除[HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\IPRIP]主鍵，重新啟動(dòng)計(jì)算機(jī)，再刪除%systemroot%\System32目錄中的木馬源程序“svchostdll.dll”，通過按時(shí)間排序，又發(fā)現(xiàn)了時(shí)間完全相同的木馬安裝程序“PortlessInst.exe”，一并刪除即可。 svchost.exe是nt核心系統(tǒng)的非常重要的進(jìn)程，對于2000、xp來說，不可或缺。很多病毒、木馬也會調(diào)用它。

新聞來自: 新客網(wǎng)(www.) 詳文參考：http://www./page/e2008/0331/51557.html