请电脑高手解答,此进程是干什么的? FrzState2k.exe这是什么进程啊?高手指教,急~~...
作者&投稿:铎羽 (若有异议请与网页底部的电邮联系)
spoolsv.exe用于将Windows打印机任务发送给本地打印机。注意spoolsv.exe也有可能是ackdoor.Ciadoor.B木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。建议立即删除。
另外spoolsv.exe是一种延缓打印木马程序,它使计算机CPU使用率达到100%,从而使风扇保持高速嘈杂运转。
停止方法:Ctrl+Alt+Delete(或任务管理器XP)停止spoolsv.exe运行进程重启计算机进入安全模式,在C:/windows/system32/删除spoolsv.exe(或可用搜索方式删除C盘所有同名文件)运行regedit,用查找方式找到并删除所有spoolsv文件。我的电脑点击右键->选择管理->服务->禁用print spooler服务(目前网上提供的方法仅到此)重启电脑进入系统常规模式,你会发现电脑还是处于高速运转,但在搜索中已找不到任何spoolsv相关文件。(严重影响你的网速)
彻底解决services.exe进程病毒 1 services.exe - services - 进程介绍
进程文件: services or services.exe
进程名称: Windows Service Controller
进程类别:其他进程
英文描述:
services.exe is a part of the Microsoft Windows Operating System and manages the operation of starting and stopping services. This process also deals with the automatic starting of services during the computers boot-up and the stopping of servicse durin
中文参考:
services.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。注意:services也可能是W32.Randex.R(储存在%systemroot%\system32\目录)和Sober.P (储存在%systemroot%\Connection Wizard\Status\目录)木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除。
出品者:Microsoft Corp.
属于:Microsoft Windows Operating System
系统进程:Yes
后台程序:Yes
网络相关:No
常见错误:N/A
内存使用:N/A
安全等级 (0-5): 0
间谍软件:No
广告软件:No
病毒:No
木马:No
这个后门还不错,也有点BT吧,共产生14个文件+3个快捷图标+2个文件夹。注册表部分,除了1个Run和System.ini,比较有特点是,非普通地利用了EXE文件关联,先修改了.exe的默认值,改.exe从默认的 exefile更改为winfiles,然后再创建winfiles键值,使EXE文件关联与木马挂钩。即为中毒后,任意一个EXE文件的属性,“应用程序”变成“EXE文件”
当然,清除的方法也很简单,不过需要注意步骤:
一、注册表:先使用注册表修复工具,或者直接使用regedit修正以下部分
1.SYSTEM.INI (NT系统在注册表: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon)
shell = Explorer.exe 1 修改为shell = Explorer.exe
2.将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的
Torjan Program----------C:\WINNT\services.exe删除
3. HKEY_Classes_root\.exe
默认值 winfiles 改为exefile
4.删除以下两个键值:
HKEY_Classes_root\winfiles
HKEY_Local_machine\software\classes\winfiles
5. 打开注册表编辑器,依此分别查找“rundll32.com”、“finder.com”、“command.pif”,把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”
6. 查找“iexplore.com”的信息,把找到的内容里面的“iexplore.com”改为“iexplore.exe”
7. 查找“explorer.com”的信息,把找到的内容里面的“explorer.com”改为“explorer.exe”
8. 查找“iexplore.pif”,应该能找到类似“%ProgramFiles%\Common Files\iexplore.pif”的信息,把这内容改为“C:\Program Files\Internet Explorer\iexplore.exe”
9. 删除病毒添加的文件关联信息和启动项:
[HKEY_CLASSES_ROOT\winfiles]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\services.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Torjan Program"="%Windows%\services.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"
改为
"Shell"="Explorer.exe"
10. 这些是病毒释放的一个VB库文件(MSWINSCK.OCX)的相关信息,不一定要删除:
HKEY_CLASSES_ROOT\MSWinsock.Winsock
HKEY_CLASSES_ROOT\MSWinsock.Winsock.1
HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}
注:因为病毒修改了很多关联信息,所以在那些病毒文件没有被删除之前,请不要做任何多余的操作,以免激活病毒
二、然后重启系统,删除以下文件部分,注意打开各分区时,先打开“我的电脑”后请使用右键单击分区,选“打开”进入。或者直接执行附件的Kv.bat来删除以下文件
c:\antorun.inf (如果你有多个分区,请检查其他分区是否有这个文件,有也一并删除)
%programfiles%\common files\iexplore.pif
%programfiles%\Internat explorer\iexplore.com
%windir%\1.com
%windir%\exeroute.exe
%windir%\explorer.com
%windir%\finder.com
%windir%\mswinsck.ocx
%windir%\services.exe
%windir%\system32\command.pif
%windir%\system32\dxdiag.com
%windir%\system32\finder.com
%windir%\system32\msconfig.com
%windir%\system32\regedit.com
%windir%\system32\rundll32.com
删除以下文件夹:
%windir%\debug
%windir%\system32\NtmsData
一、病毒评估
1. 病毒中文名: SCO炸弹变种N
2. 病毒英文名: Worm.Novarg.N
3. 病毒别名: Worm.Mydoom.m
4. 病毒大小: 28832字节
5. 病毒类型: 蠕虫病毒
6. 病毒危险等级: ★★★★
7. 病毒传播途径: 邮件
8. 病毒依赖系统: Windows 9X/NT/2000/XP
二、病毒的破坏
1. 通过电子邮件传播的蠕虫病毒,感染之后,它会先在用户本地机器上搜索电子邮件地址,向其发送病毒邮件;
2. 利用在本机上搜索到的邮件地址的后缀当关键词,在Google、Yahoo等四个搜索引擎上搜索相关的email地址,发送病毒邮件传播自身。
3. 大量发送的搜索请求使这四个搜索引擎的运行速度明显变慢。
4. 感染了此病毒的机器,IE浏览器、OE软件和Outlook软件都不能正常使用。
5. 病毒大量向外发送病毒邮件,严重消耗网络资源,可能造成局域网堵塞。
三、技术分析
1. 蠕虫病毒,采用Upx压缩。运行后,将自己复制到%WINDOWS%目录下,文件名为:java.exe。释放一个后门病毒在同一目录中,文件名为:services.exe。
2. 在注册表启动项“\CurrentVersion\Run”下加入这两个文件的启动键值:JavaVM和Service,实现病毒的开机自启动。
3. 强行关闭IE浏览器、OE软件和Outlook软件,使其不能正常使用。
4. 在本地机器上搜索电子邮件地址:从注册表中读取当前系统当前使用的wab文件名,并在其中搜索email地址;搜索internet临时目录 (Local Settings\Temporary Internet Files)中的文件,从中提取电子邮件地址;遍历盘符从C:盘到Z:的所有硬盘,并尝试从以下扩展名文件中提取email地址:.adb ,.asp ,.dbx ,.htm ,.php ,.pl ,.sht ,.tbb ,.txt ,.wab。
5. 当病毒搜索到email地址以后,病毒以“mailto+%本地系统搜出的邮件地址%”、“reply+%本地系统搜出的邮件地址%”、 “{|contact+| |e| |-| |mail}+%本地系统搜出的邮件地址%”为关键字,利用以下四种搜索引擎进行email地址邮件搜索:search.lycos.com、 search.yahoo.com、www.altavista.com、www.google.com,利用这种手段,病毒能够搜索到非常多的可用邮件 地址。
6. 病毒邮件的附件名称为:readme ,instruction ,transcript ,mail ,letter ,file ,text ,attachment等,病毒附件扩展名为:cmd ,bat ,com ,exe ,pif ,scr ,zip。
四、病毒解决方案:
1. 进行升级
瑞星公司将于当天进行紧急升级,升级后的软件版本号为16.37.10,该版本的瑞星杀毒软件可以彻底查杀“SCO炸弹变种N”病毒,瑞星杀毒软件标准版和网络版的用户可以直接登陆瑞星网站( http://www.rising.com.cn/ )下载升级包进行升级,或者使用瑞星杀毒软件的智能升级功能。
2. 使用专杀工具
鉴于该病毒的特性,瑞星公司还为手中暂时没有杀毒软件的用户提供了免费的病毒专杀工具,用户可以到: http://it.rising.com.cn/service/technology/tool.htm 网址免费下载使用。
3. 使用在线杀毒和下载版
用户还可以使用瑞星公司的在线杀毒与下载版产品清除该病毒,这两款产品是通过手机付费使用的,用户可以登陆 http://online.rising.com.cn/ 使用在线杀毒产品,或者登陆 http://go.rising.com.cn/ 使用下载版产品。
4. 打电话求救
如果遇到关于该病毒的其它问题,用户可以随时拨打瑞星反病毒急救电话:010-82678800来寻求反病毒专家的帮助!
5. 手动清除
(1)结束系统中进程名为:Services.exe和java.exe(在%windows%目录中)
(2)删除系统临时目录中的两个病毒数据文件:MLITGB.LOG和ZINCITE.LOG
(3)删除病毒键立的注册表键:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
“JavaVM”=%WINDOWS%\java.exe
和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
“Services”=%WINDOWS%\Services.exe
注: %WINDOWS% 是指系统的windows目录,在Windows 9X/ME/XP下默认为:
C:\WINDOWS,Win2K下默认为:C:\WINNT
注: %WINDIR%指的是Windows系统的安装目录,在Windows 95/98/ME/XP操作系统下默认为:C:\WINDOWS目录,在WINDOWS2000操作系统下默认为:C:\WINNT目录。
五、安全建议:
1. 建立良好的安全习惯。 例如:对一些来历不明的邮件及附件不要打开,不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等,这些必要的习惯会使您的计算机更安全。
2. 关闭或删除系统中不需要的服务。 默认情况下,许多操作系统会安装一些辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便,而又对用户没有太大用处,如果删除它们,就能大大减少被攻击的可能性。
3. 经常升级安全补丁。 据统计,有80%的网络病毒是通过系统安全漏洞进行传播的,象蠕虫王、冲击波、震荡波等,所以我们应该定期到微软网站去下载最新的安全补丁,以防范未然。
4. 使用复杂的密码。 有许多网络病毒就是通过猜测简单密码的方式攻击系统的,因此使用复杂的密码,将会大大提高计算机的安全系数。
5. 迅速隔离受感染的计算机。 当您的计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染,或者成为传播源,再次感染其它计算机。
6. 了解一些病毒知识。 这样就可以及时发现新病毒并采取相应措施,在关键时刻使自己的计算机免受病毒破坏。如果能了解一些注册表知识,就可以定期看一看注册表的自启动项是否有可疑键值;如果了解一些内存知识,就可以经常看看内存中是否有可疑程序。
7. 最好安装专业的杀毒软件进行全面监控。 在病毒日益增多的今天,使用杀毒软件进行防毒,是越来越经济的选择,不过用户在安装了反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控)、内存监控等、遇到问题要上报, 这样才能真正保障计算机的安全。
8. 用户还应该安装个人防火墙软件进行防黑。 由于网络的发展,用户电脑面临的黑客攻击问题也越来越严重,许多网络病毒都采用了黑客的方法来攻击用户电脑,因此,用户还应该安装个人防火墙软件,将安全级别设为中、高,这样才能有效地防止网络上的黑客攻击。
现象:
机器启动运行几分钟后 svchost.exe就会占系统cpu资源的100%
拔掉网线就好了,重连上网后一会儿:svchost.exe又占cpu资源的99%;
解决:
假设你已经使用了免费杀毒软件排除了病毒和已经使用防间谍软件排除了恶意软件的影响:
想办法清空C:\WINDOWS\SoftwareDistribution 目录下所有的文件重启机器即可。(C:\WINDOWS\SoftwareDistribution是Windows update服务的临时文件存放目录)
如果机器提示文件正在使用("Automatic Updates"服务正在运行)无法删除相应目录:
则想办法打开控制面板==>管理工具==>服务,找到"Automatic Updates",设置成手动启动,
重启后再删除 C:\WINDOWS\SoftwareDistribution。问题就解决了。
然后再打开控制面板==>管理工具==>服务,找到"Automatic Updates",恢复成自动启动重启。
注意:重启后最好在上网条件比较好的地方让系统顺利完成一次系统自动更新。
推广: 遇到类似问题的应该挺多的,如果你也发现这个方法有用,请将 http://www.chedong.com/blog/archives/001286.html
这个链接加到你的blog里。
html代码: <a xhref="http://www.chedong.com/blog/archives/001286.html">svchost.exe</a>
原因分析:
先说说什么是svchost.exe:简单的说没有这个服务机器几乎就上不了网了。很多应用服务都是以来于这个接口RPC的,如果发现这个进程占了太多的CPU资源,
直接把系统的RPC服务禁用了会是一场灾难:因为连恢复这个界面的系统服务设置界面都无法使用了。恢复的方法需要使用注册表编辑器,找到 HKEY_LOCAL_MACHINE >> SYSTEM >> CurrentControlSet >> Services >> RpcSs, 右侧找到Start属性,把它的值改为2再重启即可
造成svchost占系统CPU 100%的原因并非svchost服务本身:以上的情况是由于Windows Update服务下载/安装失败而导致更新服务反复重试造成的。而Windows的自动更新也是依赖于svchost服务的一个后台应用,从而表现为svchost.exe负载极高。 常发生这类问题的机器一般是上网条件(尤其是去国外网站)不稳定的机器,比如家里的父母的机器,往往在安装机器几个月以后不定期发生,每个月的第二个星期是高发期:因为最近几年MS很有规律的在每个月的第二个星期发布补丁程序)。
上面的解决方法并不能保证不重发作,但是为了svchost文件而每隔几个月重装一次操作系统还是太浪费时间了。
教训:spoolsv.exe和svchost.exe的问题都是应用遇到失败/例外情况后自动重试造成的,本想为用户节省时间的设计,但是重试的频度过高反而导致了和病毒一样的效果。
参考资料:
svchost.exe CPU Usage 100%, when my Windows using Automatic Update
svchost.exe 吃掉所有 CPU 资源
微软官方说明: 使用“自动更新”搜索更新或对使用 Windows Installer 的应用程序应用更新时,遇到涉及 Svchost.exe 进程的问题
Windows Update使SVCHOST.exe的问题跟踪
不是吧,我的电脑只有一个这个进程消耗我很多内存和CPU资源,其他的都很少,我一共有6个,所以,你不用害怕的!
在基于nt内核的windows操作系统家族中,不同版本的windows系统,存在不同数量的“svchost”进程,用户使用“任务管理器”可查看其进程数目。一般来说,win2000有两个svchost进程,winxp中则有四个或四个以上的svchost进程(以后看到系统中有多个这种进程,千万别立即判定系统有病毒了哟),而win2003server中则更多。这些svchost进程提供很多系统服务,如:rpcss服务(remoteprocedurecall)、dmserver服务(logicaldiskmanager)、dhcp服务(dhcpclient)等。
如果要了解每个svchost进程到底提供了多少系统服务,可以在win2000的命令提示符窗口中输入“tlist-s”命令来查看,该命令是win2000supporttools提供的。在winxp则使用“tasklist/svc”命令。 svchost中可以包含多个服务 。
参考:
http://baike.baidu.com/view/29490.htm
spoolsv.exe 是Print Spooler的进程,管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,本地计算机上的打印将不可用。该进程属 Windows 系统服务。
参考:
http://baike.baidu.com/view/219064.htm
services.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的,正常的services.exe应位于%System%文件夹中,也就是在进程里用户名显示为“system”,不过services也可能是W32.Randex.R(储存在%systemroot%\system32\目录)和Sober.P (储存在%systemroot%\Connection Wizard\Status\目录)木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除。
参考:
http://baike.baidu.com/view/417608.htm
其实很多系统进程你都可以在百度找的,一般在百度百科就很全面,所以,建议,你可以网上自己找找资料,并且用你的百度帐号收藏起来!这样慢慢积累你就会对电脑逐渐了解的!
还有什么问题可以发信息给我!欢迎你加入 电脑/~↘传说㊣ 群。
祝你好运!
svchost.exe 吃掉所有 CPU 资源的原因很多,不过我的状况都是在执行 Windwos Update 时发生的(或是自动更新服务 Automatic Updates 执行时)。因此解决方法主要就是把 Windows 的自动更新重设一次,步骤如下:
一、首先检查系统服务的状态。
1. 点「开始」–>「执行」,输入「services.msc」后按「确定」。
2. 在服务「Automatic Updates」上点二下。
3. 点选「登入」页签,确定登入身分为「本机系统帐户」且「允许服务与桌面互动」“没有”被选取。
4. 确认服务已在目前的「硬体设定档」中被启用,如果没有,按下「启用」按钮。
5. 点选「一般」页签,确定「启动类型」为「自动」,然后按下「启动」按钮以启动服务。
6. 对「Background Intelligent Transfer Service (BITS) 」服务重覆 2 ~ 5 的步骤。
二、接著重新注册 Windwos Update 的元件。
1. 点选「开始」–>「执行」。
2. 输入「REGSVR32 WUAPI.DLL」后按 Enter。
3. 当看到 “DllRegisterServer 在 WUAPI.DLL 成功” 的讯息后按下「确定」。
4. 重覆上述步骤重新注册下列元件
REGSVR32 WUAUENG.DLL
REGSVR32 WUAUENG1.DLL
REGSVR32 ATL.DLL
REGSVR32 WUCLTUI.DLL
REGSVR32 WUPS.DLL
REGSVR32 WUPS2.DLL
REGSVR32 WUWEB.DLL
三、最后清除可能已损坏了的 Windows Update 暂存目录。
1. 点「开始」–>「执行」,输入「cmd」后按「确定」。
2. 在命令提示字元中键入以下指令。(若出现错误讯息请先重开机后再报执行一次)
net stop WuAuServ
2. 点「开始」–>「执行」,输入「%windir%」后按「确定」。
3. 找到「SoftwareDistribution」并更名为「SDold」。
4. 点「开始」–>「执行」,输入「cmd」后按「确定」,并在在命令提示字元中键入以下指令。
net start WuAuServ
四、大功告成!
在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。
Svchost.exe到底是做什么用的呢?
那Svchost.exe是病毒这种说法是任何产生的呢?
如何才能辨别哪些是正常的Svchost.exe进程,而哪些是病毒进程呢?
精彩全文请看: http://hi.baidu.com/sskgyiqpl/blog/item/50a3982ba81050fae6cd40b7.html
硬盘指示灯一秒钟闪一次,系统进程里有:LMS.exe和UNS.exe这2个进程,这2个进程可以删除吗?~
另外spoolsv.exe是一种延缓打印木马程序,它使计算机CPU使用率达到100%,从而使风扇保持高速嘈杂运转。
停止方法:Ctrl+Alt+Delete(或任务管理器XP)停止spoolsv.exe运行进程重启计算机进入安全模式,在C:/windows/system32/删除spoolsv.exe(或可用搜索方式删除C盘所有同名文件)运行regedit,用查找方式找到并删除所有spoolsv文件。我的电脑点击右键->选择管理->服务->禁用print spooler服务(目前网上提供的方法仅到此)重启电脑进入系统常规模式,你会发现电脑还是处于高速运转,但在搜索中已找不到任何spoolsv相关文件。(严重影响你的网速)
彻底解决services.exe进程病毒 1 services.exe - services - 进程介绍
进程文件: services or services.exe
进程名称: Windows Service Controller
进程类别:其他进程
英文描述:
services.exe is a part of the Microsoft Windows Operating System and manages the operation of starting and stopping services. This process also deals with the automatic starting of services during the computers boot-up and the stopping of servicse durin
中文参考:
services.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。注意:services也可能是W32.Randex.R(储存在%systemroot%\system32\目录)和Sober.P (储存在%systemroot%\Connection Wizard\Status\目录)木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除。
出品者:Microsoft Corp.
属于:Microsoft Windows Operating System
系统进程:Yes
后台程序:Yes
网络相关:No
常见错误:N/A
内存使用:N/A
安全等级 (0-5): 0
间谍软件:No
广告软件:No
病毒:No
木马:No
这个后门还不错,也有点BT吧,共产生14个文件+3个快捷图标+2个文件夹。注册表部分,除了1个Run和System.ini,比较有特点是,非普通地利用了EXE文件关联,先修改了.exe的默认值,改.exe从默认的 exefile更改为winfiles,然后再创建winfiles键值,使EXE文件关联与木马挂钩。即为中毒后,任意一个EXE文件的属性,“应用程序”变成“EXE文件”
当然,清除的方法也很简单,不过需要注意步骤:
一、注册表:先使用注册表修复工具,或者直接使用regedit修正以下部分
1.SYSTEM.INI (NT系统在注册表: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon)
shell = Explorer.exe 1 修改为shell = Explorer.exe
2.将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的
Torjan Program----------C:\WINNT\services.exe删除
3. HKEY_Classes_root\.exe
默认值 winfiles 改为exefile
4.删除以下两个键值:
HKEY_Classes_root\winfiles
HKEY_Local_machine\software\classes\winfiles
5. 打开注册表编辑器,依此分别查找“rundll32.com”、“finder.com”、“command.pif”,把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”
6. 查找“iexplore.com”的信息,把找到的内容里面的“iexplore.com”改为“iexplore.exe”
7. 查找“explorer.com”的信息,把找到的内容里面的“explorer.com”改为“explorer.exe”
8. 查找“iexplore.pif”,应该能找到类似“%ProgramFiles%\Common Files\iexplore.pif”的信息,把这内容改为“C:\Program Files\Internet Explorer\iexplore.exe”
9. 删除病毒添加的文件关联信息和启动项:
[HKEY_CLASSES_ROOT\winfiles]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\services.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Torjan Program"="%Windows%\services.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"
改为
"Shell"="Explorer.exe"
10. 这些是病毒释放的一个VB库文件(MSWINSCK.OCX)的相关信息,不一定要删除:
HKEY_CLASSES_ROOT\MSWinsock.Winsock
HKEY_CLASSES_ROOT\MSWinsock.Winsock.1
HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}
注:因为病毒修改了很多关联信息,所以在那些病毒文件没有被删除之前,请不要做任何多余的操作,以免激活病毒
二、然后重启系统,删除以下文件部分,注意打开各分区时,先打开“我的电脑”后请使用右键单击分区,选“打开”进入。或者直接执行附件的Kv.bat来删除以下文件
c:\antorun.inf (如果你有多个分区,请检查其他分区是否有这个文件,有也一并删除)
%programfiles%\common files\iexplore.pif
%programfiles%\Internat explorer\iexplore.com
%windir%\1.com
%windir%\exeroute.exe
%windir%\explorer.com
%windir%\finder.com
%windir%\mswinsck.ocx
%windir%\services.exe
%windir%\system32\command.pif
%windir%\system32\dxdiag.com
%windir%\system32\finder.com
%windir%\system32\msconfig.com
%windir%\system32\regedit.com
%windir%\system32\rundll32.com
删除以下文件夹:
%windir%\debug
%windir%\system32\NtmsData
一、病毒评估
1. 病毒中文名: SCO炸弹变种N
2. 病毒英文名: Worm.Novarg.N
3. 病毒别名: Worm.Mydoom.m
4. 病毒大小: 28832字节
5. 病毒类型: 蠕虫病毒
6. 病毒危险等级: ★★★★
7. 病毒传播途径: 邮件
8. 病毒依赖系统: Windows 9X/NT/2000/XP
二、病毒的破坏
1. 通过电子邮件传播的蠕虫病毒,感染之后,它会先在用户本地机器上搜索电子邮件地址,向其发送病毒邮件;
2. 利用在本机上搜索到的邮件地址的后缀当关键词,在Google、Yahoo等四个搜索引擎上搜索相关的email地址,发送病毒邮件传播自身。
3. 大量发送的搜索请求使这四个搜索引擎的运行速度明显变慢。
4. 感染了此病毒的机器,IE浏览器、OE软件和Outlook软件都不能正常使用。
5. 病毒大量向外发送病毒邮件,严重消耗网络资源,可能造成局域网堵塞。
三、技术分析
1. 蠕虫病毒,采用Upx压缩。运行后,将自己复制到%WINDOWS%目录下,文件名为:java.exe。释放一个后门病毒在同一目录中,文件名为:services.exe。
2. 在注册表启动项“\CurrentVersion\Run”下加入这两个文件的启动键值:JavaVM和Service,实现病毒的开机自启动。
3. 强行关闭IE浏览器、OE软件和Outlook软件,使其不能正常使用。
4. 在本地机器上搜索电子邮件地址:从注册表中读取当前系统当前使用的wab文件名,并在其中搜索email地址;搜索internet临时目录 (Local Settings\Temporary Internet Files)中的文件,从中提取电子邮件地址;遍历盘符从C:盘到Z:的所有硬盘,并尝试从以下扩展名文件中提取email地址:.adb ,.asp ,.dbx ,.htm ,.php ,.pl ,.sht ,.tbb ,.txt ,.wab。
5. 当病毒搜索到email地址以后,病毒以“mailto+%本地系统搜出的邮件地址%”、“reply+%本地系统搜出的邮件地址%”、 “{|contact+| |e| |-| |mail}+%本地系统搜出的邮件地址%”为关键字,利用以下四种搜索引擎进行email地址邮件搜索:search.lycos.com、 search.yahoo.com、www.altavista.com、www.google.com,利用这种手段,病毒能够搜索到非常多的可用邮件 地址。
6. 病毒邮件的附件名称为:readme ,instruction ,transcript ,mail ,letter ,file ,text ,attachment等,病毒附件扩展名为:cmd ,bat ,com ,exe ,pif ,scr ,zip。
四、病毒解决方案:
1. 进行升级
瑞星公司将于当天进行紧急升级,升级后的软件版本号为16.37.10,该版本的瑞星杀毒软件可以彻底查杀“SCO炸弹变种N”病毒,瑞星杀毒软件标准版和网络版的用户可以直接登陆瑞星网站( http://www.rising.com.cn/ )下载升级包进行升级,或者使用瑞星杀毒软件的智能升级功能。
2. 使用专杀工具
鉴于该病毒的特性,瑞星公司还为手中暂时没有杀毒软件的用户提供了免费的病毒专杀工具,用户可以到: http://it.rising.com.cn/service/technology/tool.htm 网址免费下载使用。
3. 使用在线杀毒和下载版
用户还可以使用瑞星公司的在线杀毒与下载版产品清除该病毒,这两款产品是通过手机付费使用的,用户可以登陆 http://online.rising.com.cn/ 使用在线杀毒产品,或者登陆 http://go.rising.com.cn/ 使用下载版产品。
4. 打电话求救
如果遇到关于该病毒的其它问题,用户可以随时拨打瑞星反病毒急救电话:010-82678800来寻求反病毒专家的帮助!
5. 手动清除
(1)结束系统中进程名为:Services.exe和java.exe(在%windows%目录中)
(2)删除系统临时目录中的两个病毒数据文件:MLITGB.LOG和ZINCITE.LOG
(3)删除病毒键立的注册表键:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
“JavaVM”=%WINDOWS%\java.exe
和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
“Services”=%WINDOWS%\Services.exe
注: %WINDOWS% 是指系统的windows目录,在Windows 9X/ME/XP下默认为:
C:\WINDOWS,Win2K下默认为:C:\WINNT
注: %WINDIR%指的是Windows系统的安装目录,在Windows 95/98/ME/XP操作系统下默认为:C:\WINDOWS目录,在WINDOWS2000操作系统下默认为:C:\WINNT目录。
五、安全建议:
1. 建立良好的安全习惯。 例如:对一些来历不明的邮件及附件不要打开,不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等,这些必要的习惯会使您的计算机更安全。
2. 关闭或删除系统中不需要的服务。 默认情况下,许多操作系统会安装一些辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便,而又对用户没有太大用处,如果删除它们,就能大大减少被攻击的可能性。
3. 经常升级安全补丁。 据统计,有80%的网络病毒是通过系统安全漏洞进行传播的,象蠕虫王、冲击波、震荡波等,所以我们应该定期到微软网站去下载最新的安全补丁,以防范未然。
4. 使用复杂的密码。 有许多网络病毒就是通过猜测简单密码的方式攻击系统的,因此使用复杂的密码,将会大大提高计算机的安全系数。
5. 迅速隔离受感染的计算机。 当您的计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染,或者成为传播源,再次感染其它计算机。
6. 了解一些病毒知识。 这样就可以及时发现新病毒并采取相应措施,在关键时刻使自己的计算机免受病毒破坏。如果能了解一些注册表知识,就可以定期看一看注册表的自启动项是否有可疑键值;如果了解一些内存知识,就可以经常看看内存中是否有可疑程序。
7. 最好安装专业的杀毒软件进行全面监控。 在病毒日益增多的今天,使用杀毒软件进行防毒,是越来越经济的选择,不过用户在安装了反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控)、内存监控等、遇到问题要上报, 这样才能真正保障计算机的安全。
8. 用户还应该安装个人防火墙软件进行防黑。 由于网络的发展,用户电脑面临的黑客攻击问题也越来越严重,许多网络病毒都采用了黑客的方法来攻击用户电脑,因此,用户还应该安装个人防火墙软件,将安全级别设为中、高,这样才能有效地防止网络上的黑客攻击。
现象:
机器启动运行几分钟后 svchost.exe就会占系统cpu资源的100%
拔掉网线就好了,重连上网后一会儿:svchost.exe又占cpu资源的99%;
解决:
假设你已经使用了免费杀毒软件排除了病毒和已经使用防间谍软件排除了恶意软件的影响:
想办法清空C:\WINDOWS\SoftwareDistribution 目录下所有的文件重启机器即可。(C:\WINDOWS\SoftwareDistribution是Windows update服务的临时文件存放目录)
如果机器提示文件正在使用("Automatic Updates"服务正在运行)无法删除相应目录:
则想办法打开控制面板==>管理工具==>服务,找到"Automatic Updates",设置成手动启动,
重启后再删除 C:\WINDOWS\SoftwareDistribution。问题就解决了。
然后再打开控制面板==>管理工具==>服务,找到"Automatic Updates",恢复成自动启动重启。
注意:重启后最好在上网条件比较好的地方让系统顺利完成一次系统自动更新。
推广: 遇到类似问题的应该挺多的,如果你也发现这个方法有用,请将 http://www.chedong.com/blog/archives/001286.html
这个链接加到你的blog里。
html代码: <a xhref="http://www.chedong.com/blog/archives/001286.html">svchost.exe</a>
原因分析:
先说说什么是svchost.exe:简单的说没有这个服务机器几乎就上不了网了。很多应用服务都是以来于这个接口RPC的,如果发现这个进程占了太多的CPU资源,
直接把系统的RPC服务禁用了会是一场灾难:因为连恢复这个界面的系统服务设置界面都无法使用了。恢复的方法需要使用注册表编辑器,找到 HKEY_LOCAL_MACHINE >> SYSTEM >> CurrentControlSet >> Services >> RpcSs, 右侧找到Start属性,把它的值改为2再重启即可
造成svchost占系统CPU 100%的原因并非svchost服务本身:以上的情况是由于Windows Update服务下载/安装失败而导致更新服务反复重试造成的。而Windows的自动更新也是依赖于svchost服务的一个后台应用,从而表现为svchost.exe负载极高。 常发生这类问题的机器一般是上网条件(尤其是去国外网站)不稳定的机器,比如家里的父母的机器,往往在安装机器几个月以后不定期发生,每个月的第二个星期是高发期:因为最近几年MS很有规律的在每个月的第二个星期发布补丁程序)。
上面的解决方法并不能保证不重发作,但是为了svchost文件而每隔几个月重装一次操作系统还是太浪费时间了。
教训:spoolsv.exe和svchost.exe的问题都是应用遇到失败/例外情况后自动重试造成的,本想为用户节省时间的设计,但是重试的频度过高反而导致了和病毒一样的效果。
参考资料:
svchost.exe CPU Usage 100%, when my Windows using Automatic Update
svchost.exe 吃掉所有 CPU 资源
微软官方说明: 使用“自动更新”搜索更新或对使用 Windows Installer 的应用程序应用更新时,遇到涉及 Svchost.exe 进程的问题
Windows Update使SVCHOST.exe的问题跟踪
不是吧,我的电脑只有一个这个进程消耗我很多内存和CPU资源,其他的都很少,我一共有6个,所以,你不用害怕的!
在基于nt内核的windows操作系统家族中,不同版本的windows系统,存在不同数量的“svchost”进程,用户使用“任务管理器”可查看其进程数目。一般来说,win2000有两个svchost进程,winxp中则有四个或四个以上的svchost进程(以后看到系统中有多个这种进程,千万别立即判定系统有病毒了哟),而win2003server中则更多。这些svchost进程提供很多系统服务,如:rpcss服务(remoteprocedurecall)、dmserver服务(logicaldiskmanager)、dhcp服务(dhcpclient)等。
如果要了解每个svchost进程到底提供了多少系统服务,可以在win2000的命令提示符窗口中输入“tlist-s”命令来查看,该命令是win2000supporttools提供的。在winxp则使用“tasklist/svc”命令。 svchost中可以包含多个服务 。
参考:
http://baike.baidu.com/view/29490.htm
spoolsv.exe 是Print Spooler的进程,管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,本地计算机上的打印将不可用。该进程属 Windows 系统服务。
参考:
http://baike.baidu.com/view/219064.htm
services.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的,正常的services.exe应位于%System%文件夹中,也就是在进程里用户名显示为“system”,不过services也可能是W32.Randex.R(储存在%systemroot%\system32\目录)和Sober.P (储存在%systemroot%\Connection Wizard\Status\目录)木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除。
参考:
http://baike.baidu.com/view/417608.htm
其实很多系统进程你都可以在百度找的,一般在百度百科就很全面,所以,建议,你可以网上自己找找资料,并且用你的百度帐号收藏起来!这样慢慢积累你就会对电脑逐渐了解的!
还有什么问题可以发信息给我!欢迎你加入 电脑/~↘传说㊣ 群。
祝你好运!
svchost.exe 吃掉所有 CPU 资源的原因很多,不过我的状况都是在执行 Windwos Update 时发生的(或是自动更新服务 Automatic Updates 执行时)。因此解决方法主要就是把 Windows 的自动更新重设一次,步骤如下:
一、首先检查系统服务的状态。
1. 点「开始」–>「执行」,输入「services.msc」后按「确定」。
2. 在服务「Automatic Updates」上点二下。
3. 点选「登入」页签,确定登入身分为「本机系统帐户」且「允许服务与桌面互动」“没有”被选取。
4. 确认服务已在目前的「硬体设定档」中被启用,如果没有,按下「启用」按钮。
5. 点选「一般」页签,确定「启动类型」为「自动」,然后按下「启动」按钮以启动服务。
6. 对「Background Intelligent Transfer Service (BITS) 」服务重覆 2 ~ 5 的步骤。
二、接著重新注册 Windwos Update 的元件。
1. 点选「开始」–>「执行」。
2. 输入「REGSVR32 WUAPI.DLL」后按 Enter。
3. 当看到 “DllRegisterServer 在 WUAPI.DLL 成功” 的讯息后按下「确定」。
4. 重覆上述步骤重新注册下列元件
REGSVR32 WUAUENG.DLL
REGSVR32 WUAUENG1.DLL
REGSVR32 ATL.DLL
REGSVR32 WUCLTUI.DLL
REGSVR32 WUPS.DLL
REGSVR32 WUPS2.DLL
REGSVR32 WUWEB.DLL
三、最后清除可能已损坏了的 Windows Update 暂存目录。
1. 点「开始」–>「执行」,输入「cmd」后按「确定」。
2. 在命令提示字元中键入以下指令。(若出现错误讯息请先重开机后再报执行一次)
net stop WuAuServ
2. 点「开始」–>「执行」,输入「%windir%」后按「确定」。
3. 找到「SoftwareDistribution」并更名为「SDold」。
4. 点「开始」–>「执行」,输入「cmd」后按「确定」,并在在命令提示字元中键入以下指令。
net start WuAuServ
四、大功告成!
在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。
Svchost.exe到底是做什么用的呢?
那Svchost.exe是病毒这种说法是任何产生的呢?
如何才能辨别哪些是正常的Svchost.exe进程,而哪些是病毒进程呢?
精彩全文请看: http://hi.baidu.com/sskgyiqpl/blog/item/50a3982ba81050fae6cd40b7.html
硬盘指示灯一秒钟闪一次,系统进程里有:LMS.exe和UNS.exe这2个进程,这2个进程可以删除吗?~
你的电脑再正常不过了。
要是硬盘灯都不闪是不可以的。硬盘需要时不时读一读,更新点数据。
否则,该用到硬盘的时候,会因为刷新不及时。要一次性找到大量未使用的块。会占用太多时间。
这是冰点还原的进程,应该同时还有一个进程df5serve.exe.如果只有一个,可能是冰点还原出问题了。
麻烦高手帮我看一下这些进程都是做什么的,哪些可以结束?
答:SVCHOST.EXE(一共有6个,用户不同) 这个进程是很多,XP默认4个,某些情况下会更多。CCenter.exe 瑞星相关,似乎是进程管理 LSASS.EXE windows自带 SERVIOES.EXE windows自带 winlogon.exe Windows NT登陆管理器。如果这项有两个,而且有一个是大写的,可能是病毒 csrss.exe 管理Windows...
电脑高手看看这些“进程”分别是干什么用的,哪些可以结束?
答:没有进程占你的CPU 不用管的 想要结束的 你可到360的 软件管家 点 开机加速 取消360提示你可禁止开机启动的 就OK拉 (写有系统的 如什么建议企业开机启动这些选项的360也说可以禁止 就禁止了它 日后有什么问题 到360 启动它)不知道对你有没有帮助 如还是不懂 请回复我~~...
了解电脑进程高手的来
答:agrsmmsg.exe :软猫调制解调器的消息程序。alg.exe :微软Windows操作系统自带的程序。它用于处理微软Windows网络连接共享和网络连接防火墙。这个程序对你系统的正常运行是非常重要的。wdfmgr.exe: 微软Microsoft Windows media player 10播放器的一部分。该进程用于减少兼容性问题。wuauclt.exe: windows自动...
这是我电脑的进程,高手请您进!!!
答:5.RemoteRegistry:使远程用户能修改此计算机上的注册表设置。注册表可以说是系统的核心内容,一般用户都不建议自行更改,更何况要让别人远程修改,所以这项服务是极其危险的。6.FastUserSwitchingCompatibility:在多用户下为需要协助的应用程序提供管理。WindowsXP允许在一台电脑上进行多用户之间的快速切换,但是...
win7的任务管理器中的进程DPAgent.exe是干什么用的?老是占内存最大啊...
答:纪录输入。 总结在技术上威胁的危险度是 37% , 但是也可以参考 用户意见。切记: DpAgent.exe 也可能是恶意软件所伪装,尤其是当它们存在于 c:\windows 或 c:\windows\system32 目录。我们建议使用 Security Task Manager 来检查电脑的安全状况,以便进一步查看 DpAgent.exe 进程是否真的有害。
电脑高手请进 问几个关于任务管理器里的进程 哪些能结束 哪些需要保留...
答:alg.exe进程文件是Windows操作系统自带的必要程序,用来处理Windows网络连接共享和网络连接防火墙 services.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。lsass.exe是一个系统进程,用于微软Windows系统的...
高手帮帮我看看电脑进程都是些什么,有没有病毒或者没用的能删了的
答:兄弟用的是金山毒霸吧 呵呵 进程的话不影响系统的进程你不用软件的时候可以关闭的 比如KwMusic.exe 酷我音乐的,可以结束掉进程 像这个stormliv.exe 暴风的进程都可以结束掉的 notepad.exe 这个你现在开着文本文档没?如果没的话就可能中了伪装记事本文件的病毒 ...
请电脑高手帮我分析一下电脑进程
答:invader是“入侵者”的意思。卡巴报警是因为一些无毒的软件运行时需要注入其它进程,这种行为是入侵行为,因为它未经允许,同时把这些软件定义为风险软件。只要你确定运行的程序无毒,就可以大胆的不去管它。类似你进入限制级区域,不管你的目的是什么,检查站都会报警,因为你进入这种行为是风险行为,同时检查...
AsusWSService.exe 什么进程干嘛用的? 求高手解释
答:系统文件asuswsservice.exe是存放在Windows系统文件夹中的重要文件,通常情况下是在安装操作系统过程中自动创建的,对于系统正常运行来说至关重要。在正常情况下不建议用户对该类文件(asuswsservice.exe)进行随意的修改。它的存在对维护计算机系统的稳定具有重要作用。如果用户电脑被木马病毒、或是流氓软件...
电脑高手看下
答:csrss是微软客户端/服务端运行时子系统。该进程管理Windows图形相关任务。不可以删 smss进程属于系统进程,这里提到的木马smss.exe是木马伪装成系统进程 如果系统中出现了不只一个smss.exe进程,而且有的smss.exe路径是"%WINDIR%\SMSS.EXE",那就是中了TrojanClicker.Nogard.a病毒 不可以删 Ctfmon监视活动...
