::电驴基地:: - Powered by Discuz! Board

标题: SVCH0ST.EXE [打印本页]

作者: anzhang 时间: 2011-6-5 00:25 标题: SVCH0ST.EXE

现我电脑中了此病毒SVCH0ST.EXE按网上的多种方法,均无法去除。特在此请教。望诸位教我。

作者: 君心隐名 时间: 2011-6-5 00:43 标题: 回复 1# anzhang 的帖子（可以试试）

清除方法：　　关闭系统还原，开始－运行：msconfig　（运行系统配置程序）。　　在启动项中取消"svch0st.exe" = "%System%\svch0st.exe"和 "taskmgr.exe" = "%System%\svch0st.exe" 两项前面的勾。　　打开任务管理器终止svch0st.exe,要看清楚不要弄错了。　　运行系统搜索功能，并打开高级选项，查找隐藏的文件，查找svch0st.exe并删除。　　进程文件： svch0st 或 svch0st.exe 　　进程位置：系统或windir 　　程序名称： Troj_Dingxa.A网银大盗Ⅱ或Troj.Downloader.bk 　　程序用途：木马病毒用于窃密或自动从网上下载后门的木马病毒。　　系统进程：否　　后台程序：是　　使用网络：是　　硬件相关：否　　安全等级：低　　进程分析：又名：密码监视者，QQ宠物陷阱，传奇宝贝4.0木马病毒　　“下载者”(Troj.Downloader.bk)是一个会自动从网上下载后门的木马病毒。该该病毒将拷贝其病毒文件到系统目录下，命名为svch0st.exe，并改写相关注册表使任务管理器被禁用。该病毒在后台偷偷下载后门安装，使用户主机受到后门病毒严重感染。　　该病毒也是“灰鸽子变种E(Backdoor.HuiGeZi.e)”病毒，该病毒修改注册表创建系统服务dnscacha实现自启动，运行后，病毒会在系统目录里释放病毒文件，文件名分别为“SVCH0ST.DLL”和“SVCH0ST.EXE”“SVCH0ST.bat”“SVCH0STkey.dll”“SVCH0ST_hook.dll”“Microsoft Winshell.exe”。频繁修改注册表启动项，保证下次系统启动时，病毒可以自动运行。把“SVCH0ST.DLL”加载到系统进程explorer.exe中。由于目前该病毒采取了免杀技术，普通杀毒软件无法查获。　　其默认属性为隐藏，无存档和只读属性。与其同一目录还一个autorun.inf也是只有隐藏属性，其内容为　　[AutoRun] 　　OPEN=svch0st.exe 　　shell\open=打开(&O) 　　shell\open\Command=svch0st.exe 　　shell\open\Default=1 　　shell\explore=资源管理器(&X) 　　shell\explore\Command=svch0st.exe 　　未运行的svch0st.exe，360和最新安天查不出来，卡巴最新可以查杀。（测试时间08.6.1，17：08）

欢迎光临 ::电驴基地:: (https://cmule.com/)