中了svch0st_.exe病毒该怎么办啊

显示全部楼层 · 2009-1-30 06:28:38

各位大虾.小弟的电脑中了svch0st_.exe病毒.所有杀毒软件全部不管用了.手工删除后提示找不到svch0st_.exe文件.所有EXE文件都不能用..小弟所有的积分都用上了.求求各位大虾有谁知道的赶紧告诉我...........呜呜呜呜呜呜呜呜呜呜呜呜呜呜呜呜呜呜呜呜呜呜呜呜呜呜

1、终止病毒进程在Windows 9x/ME系统，同时按下CTRL+ALT+DELETE，在Windows NT/2000/XP系统中，同时按下CTRL+SHIFT+ESC，选择"任务管理器--〉进程"，选中正在运行的进程"svch0st.exe"，并终止其运行。2、注册表的恢复点击"开始--〉运行"，输入regedit,运行注册表编辑器，依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ，并删除面板右侧的"svch0st.exe" = "%System%\\\\svch0st.exe"和 "taskmgr.exe" = "%System%\\\\svch0st.exe"3、删除病毒释放的文件点击"开始--〉查找--〉文件和文件夹"，查找文件"svch0st.exe"，并将找到的文件删除。4、配置防火墙和边界路由器根据病毒的技术特点，设置防火墙和边界路由器的规则，阻断病毒的入侵。http://download.duba.net/download/othertools/Duba_KeyLog.EXE
提问者对答案的评价：

有可能只是尸体，不过这个东西垃圾得很，断网，杀进程，删掉注册表里关键字为svch0st的所有东西，删掉它在C根下生成的system32.exe和system.exe文件，在msconfig中删掉启动项，基本上可以收拾掉它了。或者把硬盘挂到别的机器上，这样会杀得彻底一些。到HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Service下查找看看有没有“svch0st.exe”的信息？

进安全模式查杀还不行,格式化重装系统

svchost.exe是系统重要程序,包含很多系统服务，但中间是o,不是你的0，所以你是中了病毒，名称为“传奇终结者变种OU(Trojan.PSW.LMir.ou)”，通过网络传播，采用Delphi语言编写，运行后复制自己到“WINDIR”目录，文件名为“svch0st_.exe”，并且在同一目录下释放一个名为“LSAS.bmp”的文件(该文件其实是病毒所使用的动态库)。同时查找瑞星、诺顿企业版、天网防火墙、木马克星等多种软件进程，试图将其终止。挂接键盘和鼠标钩子(取得用户通过键盘和鼠标输入的信息)，记录并窃取网络游戏“传奇”的相关信息。该文件直接删除会引起后遗症，归其根本，是因为它修改了注册表，解决方法：可以到http://it.rising.com.cn/service/technology/RegClean_download.htm下载注册表修复工具．运行时将其后缀改为scr,因为exe文件无法打开．不行的话，可以通过修改注册表来恢复EXE文件。因为EXE文件都无法打开，所以只有先将Windows目录下的注册表编辑器“Regedit.exe”改为“Regedit.com”，然后运行它，依次找到HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command，双击“默认”字符串，将其数值改为“"%1" %*”(不带大的双引号)就可以了。另外也可以在DOS下运行“ftype exefile=%1 %*”或“assoc .exe=exefile”命令也可以恢复EXE文件的关联。总之，要想完全解决是没有简单方法的，除非你格式化硬盘后重装，不过我的方法应该可以解决，祝你成功screen.width*0.35) this.width=screen.width*0.40\">

　　“传奇终结者变种OU(Trojan.PSW.LMir.ou)”病毒：警惕程度★★★，木马病毒，通过网络传播，依赖系统：WIN9X/NT/2000/XP。　　采用Delphi语言编写的木马病毒，运行后复制自己到“WINDIR”目录，文件名为“svch0st_.exe”，并且在同一目录下释放一个名为“LSAS.bmp”的文件(该文件其实是病毒所使用的动态库)。　　查找瑞星、诺顿企业版、天网防火墙、木马克星等多种软件进程，试图将其终止。挂接键盘和鼠标钩子(取得用户通过键盘和鼠标输入的信息)，记录并窃取网络游戏“传奇”的相关信息。 .svch0st_.exe的删除，应该在安全模式下进行，或者在正常开机情况下，用任务管理器结束进程再删除

Trojan.PSW.Lmir.pj”同为窃取游戏"传奇"信息的木马病毒。病毒运行后将自己复制到％SYSDIR％目录下，文件名"svch0st_.exe"。在注册表中增加数据项："svch0st_.exe" 数据值为："svch0st_.exe"修改HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon项的："Shell" 为："Explorer.exe svch0st_.exe"，并结束Symantec AntiVirus 企业版、瑞星杀毒软件、木马克星等反病毒软件和监控软件的进程。释放两个动态库文件："LSAS.bmp"和"STAK.bmp"。"STAK.bmp"提供了拦截"OpenProcess"API的接口，导致其他进程无法打开"svch0st_.exe"的进程，因此也无法结束"svch0st_.exe"的进程。"LSAS.bmp"用于挂接鼠标和键盘钩子，以窃取游戏"传奇"信息。又如：“Trojan.PSW.Lineage.au”一个采用VC编写窃取游戏"天堂 II"的木马病毒。病毒运行后会将自己复制到％SYSDIR％目录下，名为"d1lhost.exe"，修改注册表以下键值，以达到其自启动的目的：Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows修改数据项："Load" 数据值为："％SYSDIR％\\D1LHOST.EXE"。创建名为"NOIRRunOnlyOne2"的互斥量，以确保只有一个病毒文件在运行。枚举系统中进程，查找进程名为以下字符串的进程（杀毒软件进程），"findhack.exe"、"RavTimer.exe"、"RavMonD.exe"、"pfw.exe"、 "mailmon.exe"、"eghost.exe"、
"kavpfw.exe"、"iparmor.exe"，并将它们结束。查找"Lineage II"窗口，并挂接键盘和鼠标钩子，用于监视并记录用户对"Lineage II"窗口的操作从中窃取游戏"天堂II"的用户名及密码，将窃取的用户名、密码发送到指定的邮箱。
在用户的电脑中安装键盘信息安装程序，这种被称作键盘记录器（ KeyLoger ）的工具可以记录所有用户的键盘信息。由于当前黑客技术的日益公开化，以至于即使是黑客初学者也可以轻易的获得这些工具。目前，全世界有超过 1500 种这样的工具可以使用。另如："传奇终结者变种ABM（Trojan.PSW.Lmir.abm）"病毒：该病毒运行后把复制自身到Windows目录，命名为“svch0st_.exe”，把原来的程序文件删除。释放 lsas.bmp，这是一个dll类型的文件，负责截取用户键盘输。lsas.bmp以资源的方式存在病毒文件中，资源名称为“DllFile”。修改注册表达到自启动：
“HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon” Shell = "Explorer.exe C:\\WINNT\\svch0st_.exe"修改注册表，使用户无法使用windows下的命令行控制台。病毒使用“My_Mir2_MapFile”作为共享数据区，把取得的游戏玩家的用户名、密码、服务器信息写进去，供病毒主程序使用，发送到指定邮箱。
二.木马查杀预防
所谓“病从口入”感染源还是在于加载了木马程序的服务器端，那么木马是怎样被种入玩家的电脑中的呢？
1.随意下载带有木马的各类图片、小电影等、使用各种非法游戏软件和外挂。
2.随意登陆各类网站，浏览不明网页，点击来历不明的链接。特别是一些玩家轻信游戏中所谓的“朋友”，对于“朋友”发来的各种链接无选择的打开，往往不经意中便被种植了木马。
3.在使用电子邮件、即时通讯工具时通过传播诱导性言语使用户点击带病毒的网址。
知道了木马的种入途径，玩家外了建立良好的安全习惯外，还要安装专业的防毒软件进行实时监控，在此笔者建议使用“光华反病毒软件”它拥有专门查杀木马的木马查杀引擎，内置5万多种最新木马样本，可对内存中的每个进程和计算机端口进行实时监控，既可以查杀已知木马，也可以对付未知木马，我们可以应用光华反病毒软件提供的强大工具来进行木马的查杀预防。如：其“下载监视”功能：当使用网络蚂蚁、网际快车等下载软件下载程序或文本时，光华反病毒软件会自动解除下载文件中携带的病毒，从而封住下载时的木马种入。使用“邮件监视”监测邮件接收外发送也是有效防治木马的方法，从以上的木马病毒分析可以看出，注册表是最容“受伤”的部分，而打开了光华反病毒软件的“注册表监视”后，如果有程序向注册表中关键注册表项添加键值时，将被光华反病毒软件监测到，你可以选择“同意”或“拒绝”此注册表操作。再加上光华反病毒软件独创的插件功能，内置十数种安全插件更是木马的“克星”其中的“屏蔽恶意网站”可以帮助玩家有效屏蔽恶意网站，给计算机上网带来安全保障避免来自含有木马程序网站的侵扰。“隐私保护设置”可以保护信用卡号、QQ、邮箱、游戏账号、电话号码等私密信息，拦截木马、黑客盗取信息向外传输。还能保护关键字内容不被发送到 Internet （其中不包括通过安全加密方式访问的网站）。 “木马搜索”、“端口扫描”就是用于查找这些隐藏的木马文件及系统中的不易觉察的变化，从而封住木马和黑客程序的进出之门。当然这些只是光华反病毒软件诸多工具中的一小部分，还有“邮件过滤设置”、“绿色上网”等就需要玩家朋友们自已去体验了。
其实，最为业界瞩目的是光华反病毒软件最新采用了光华公司首创的全球“Online”技术，把以前的“孤岛”式的单机杀毒产品与当前先进的分布式网络技术结合在一起，让用户购买的不仅仅是一套产品，而是一个以个性化的安全解决方案为核心的网络安全平台，满足用户的各种不同需求。“Online”既是一种抑制病毒传播的技术手段，也是一种用户对防病毒产品使用的方法。作为技术，它的工作原理就是，在互联网上采取跟病毒赛跑的方式，采取主动给用户升级产品的方式，减缓病毒的传播速度，从而最终达到让病毒无法传播、消灭病毒目的，让电脑始终处于一个安全的环境之中。 3.Trojan.PSW.Lmir.abm破坏方法：偷用户私人信息（例如：游戏账号密码）的木马病毒。一、复制自身到Windows目录，命名为“svch0st_.exe”，把原来的程序文件删除。
释放 lsas.bmp，这是一个dll类型的文件，负责截取用户键盘输入。 "lsas.bmp"以资源的方式存在病毒文件中，资源名称为“DllFile”。该dll提供下列功能函数：
StartHook StopHook
EnableKeyBoardHook9X DisableKeyboardHook9X 二、自启动。HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon
Shell = "Explorer.exe C:\\WINNT\\svch0st_.exe" 三、病毒主程序会终止下列反病毒软件，卸载“密码防盗专家综合版”。1.Symantec AntiVirus 企业版 2.江民杀毒软件 KV2004：实时监视 3.RavMon.exe 4.LockDownMain 5.ZoneAlarm 6.天网防火墙个人版 7.天网防火墙企业版 8.噬菌体 9.木马克星 10.EGHOST.EXE 11.MAILMON.EXE 12. KAVPFW.EXE 四、删除 Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\WinOldApp 的“NoRealMode” 防止用户运行“cmd.exe”或者“command.exe” 五、病毒使用“My_Mir2_MapFile”作为共享数据区，把取得的信息写进去，供病毒主程序使用，发送到指定邮箱。病毒发送邮件的内容如下：gameid= password= quyu= mirserver= js1= js1sex= js1zy= js1dj= js2= js2sex= js2zy= js2dj=

3721反间谍专家反间谍专家能够通过扫描系统薄弱环节以及全面扫描硬盘，智能检测和查杀超过上万种木马、蠕虫、Adware、Spyware，如“SCO炸弹、五毒虫、网银大盗、MSN骗子、QQ尾巴病毒、寄生木马，冰河类文件关联木马，密码解霸，传奇、奇迹等游戏密码偷窃木马”等，终止它们的恶意行为，当检测到可疑文件时，反间谍专家还可以将其隔离，从而全面保护您的网络安全。反间谍专家提供超强系统免疫功能，确保操作系统不再受到恶意网站、间谍软件、有害ActiveX的侵扰，并且能够快速恢复被恶意代码篡改的IE浏览器。此外，如果您对系统非常熟悉，反间谍专家还为您提供了进程管理、服务管理、网络连接管理等高级工具，辅助您进行手工木马查杀。http://assistant.3721.com/safe04_2.htm?type=safe04_2.htm搜索软件吧http://www.soft8.net/中国首家专业软件搜索引擎，在这里能轻松地找到几乎所有的软件，以后您要找软件请来这里。下载一款适合的杀毒软件，为您全面对抗各种混合性网络安全威胁。