设为首页
收藏本站
开启辅助访问
切换到窄版
登录
立即注册
中问网首页
我的收藏
站长博客
搜索
搜索
本版
帖子
用户
第一问答网
»
论坛
›
中问网
›
问答
›
中了svch0st_.exe病毒该怎么办啊
返回列表
发新帖
中了svch0st_.exe病毒该怎么办啊
[复制链接]
11
|
0
|
2009-1-30 06:28:38
|
显示全部楼层
|
阅读模式
各位大虾.小弟的电脑中了svch0st_.exe病毒.所有杀毒软件全部不管用了.手工删除后提示找不到svch0st_.exe文件.所有EXE文件都不能用..小弟所有的积分都用上了.求求各位大虾有谁知道的赶紧告诉我...........呜呜呜呜呜呜呜呜呜呜呜呜呜呜呜呜呜呜呜呜呜呜呜呜呜呜
1、终止病毒进程在Windows 9x/ME系统,同时按下CTRL+ALT+DELETE,在Windows NT/2000/XP系统中,同时按下CTRL+SHIFT+ESC,选择"任务管理器--〉进程",选中正在运行的进程"svch0st.exe",并终止其运行。2、注册表的恢复点击"开始--〉运行",输入regedit,运行注册表编辑器,依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,并删除面板右侧的"svch0st.exe" = "%System%\\\\svch0st.exe"和 "taskmgr.exe" = "%System%\\\\svch0st.exe"3、删除病毒释放的文件点击"开始--〉查找--〉文件和文件夹",查找文件"svch0st.exe",并将找到的文件删除。4、配置防火墙和边界路由器根据病毒的技术特点,设置防火墙和边界路由器的规则,阻断病毒的入侵。http://download.duba.net/download/othertools/Duba_KeyLog.EXE
提问者对答案的评价:
有可能只是尸体,不过这个东西垃圾得很,断网,杀进程,删掉注册表里关键字为svch0st的所有东西,删掉它在C根下生成的system32.exe和system.exe文件,在msconfig中删掉启动项,基本上可以收拾掉它了。或者把硬盘挂到别的机器上,这样会杀得彻底一些。到HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Service下查找看看有没有“svch0st.exe”的信息?
进安全模式查杀还不行,格式化重装系统
svchost.exe是系统重要程序,包含很多系统服务,但中间是o,不是你的0,所以你是中了病毒,名称为“传奇终结者变种OU(Trojan.PSW.LMir.ou)”,通过网络传播, 采用Delphi语言编写,运行后复制自己到“WINDIR”目录,文件名为“svch0st_.exe”,并且在同一目录下释放一个名为“LSAS.bmp”的文件(该文件其实是病毒所使用的动态库)。 同时查找瑞星、诺顿企业版、天网防火墙、木马克星等多种软件进程,试图将其终止。挂接键盘和鼠标钩子(取得用户通过键盘和鼠标输入的信息),记录并窃取网络游戏“传奇”的相关信息。该文件直接删除会引起后遗症,归其根本,是因为它修改了注册表,解决方法:可以到http://it.rising.com.cn/service/technology/RegClean_download.htm下载注册表修复工具.运行时将其后缀改为scr,因为exe文件无法打开.不行的话,可以通过修改注册表来恢复EXE文件。因为EXE文件都无法打开,所以只有先将Windows目录下的注册表编辑器“Regedit.exe”改为“Regedit.com”,然后运行它,依次找到HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command,双击“默认”字符串,将其数值改为“"%1" %*”(不带大的双引号)就可以了。另外也可以在DOS下运行“ftype exefile=%1 %*”或“assoc .exe=exefile”命令也可以恢复EXE文件的关联。 总之,要想完全解决是没有简单方法的,除非你格式化硬盘后重装,不过我的方法应该可以解决,祝你成功screen.width*0.35) this.width=screen.width*0.40\">
“传奇终结者变种OU(Trojan.PSW.LMir.ou)”病毒:警惕程度★★★,木马病毒,通过网络传播,依赖系统:WIN9X/NT/2000/XP。 采用Delphi语言编写的木马病毒,运行后复制自己到“WINDIR”目录,文件名为“svch0st_.exe”,并且在同一目录下释放一个名为“LSAS.bmp”的文件(该文件其实是病毒所使用的动态库)。 查找瑞星、诺顿企业版、天网防火墙、木马克星等多种软件进程,试图将其终止。挂接键盘和鼠标钩子(取得用户通过键盘和鼠标输入的信息),记录并窃取网络游戏“传奇”的相关信息。 .svch0st_.exe的删除,应该在安全模式下进行,或者在正常开机情况下,用任务管理器结束进程再删除
Trojan.PSW.Lmir.pj”同为窃取游戏"传奇"信息的木马病毒。病毒运行后将自己复制到%SYSDIR%目录下,文件名"svch0st_.exe"。 在注册表中增加数据项:"svch0st_.exe" 数据值为:"svch0st_.exe"修改HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon项的:"Shell" 为:"Explorer.exe svch0st_.exe",并结束Symantec AntiVirus 企业版、瑞星杀毒软件、木马克星等反病毒软件和监控软件的进程。释放两个动态库文件:"LSAS.bmp"和"STAK.bmp"。"STAK.bmp"提供了拦截"OpenProcess"API的接口,导致其他进程无法打开"svch0st_.exe"的进程,因此也无法结束"svch0st_.exe"的进程。"LSAS.bmp"用于挂接鼠标和键盘钩子,以窃取游戏"传奇"信息。又如:“Trojan.PSW.Lineage.au”一个采用VC编写窃取游戏"天堂 II"的木马病毒。病毒运行后会将自己复制到%SYSDIR%目录下,名为"d1lhost.exe",修改注册表以下键值,以达到其自启动的目的:Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows修改数据项:"Load" 数据值为:"%SYSDIR%\\D1LHOST.EXE"。创建名为"NOIRRunOnlyOne2"的互斥量,以确保只有一个病毒文件在运行。枚举系统中进程,查找进程名为以下字符串的进程(杀毒软件进程),"findhack.exe"、"RavTimer.exe"、"RavMonD.exe"、"pfw.exe"、 "mailmon.exe"、"eghost.exe"、
"kavpfw.exe"、"iparmor.exe",并将它们结束。查找"Lineage II"窗口,并挂接键盘和鼠标钩子,用于监视并记录用户对"Lineage II"窗口的操作从中窃取游戏"天堂II"的用户名及密码,将窃取的用户名、密码发送到指定的邮箱。
在用户的电脑中安装键盘信息安装程序,这种被称作键盘记录器( KeyLoger )的工具可以记录所有用户的键盘信息。由于当前黑客技术的日益公开化,以至于即使是黑客初学者也可以轻易的获得这些工具。目前,全世界有超过 1500 种这样的工具可以使用。另如:"传奇终结者变种ABM(Trojan.PSW.Lmir.abm)"病毒:该病毒运行后把复制自身到Windows目录,命名为“svch0st_.exe”,把原来的程序文件删除。 释放 lsas.bmp,这是一个dll类型的文件,负责截取用户键盘输。lsas.bmp以资源的方式存在病毒文件中,资源名称为“DllFile”。 修改注册表达到自启动:
“HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon” Shell = "Explorer.exe C:\\WINNT\\svch0st_.exe"修改注册表,使用户无法使用windows下的命令行控制台。病毒使用“My_Mir2_MapFile”作为共享数据区,把取得的游戏玩家的用户名、密码、服务器信息写进去,供病毒主程序使用,发送到指定邮箱。
二.木马查杀预防
所谓“病从口入”感染源还是在于加载了木马程序的服务器端,那么木马是怎样被种入玩家的电脑中的呢?
1.随意下载带有木马的各类图片、小电影等、使用各种非法游戏软件和外挂。
2.随意登陆各类网站,浏览不明网页,点击来历不明的链接。特别是一些玩家轻信游戏中所谓的“朋友”,对于“朋友”发来的各种链接无选择的打开,往往不经意中便被种植了木马。
3.在使用电子邮件、即时通讯工具时通过传播诱导性言语使用户点击带病毒的网址。
知道了木马的种入途径,玩家外了建立良好的安全习惯外,还要安装专业的防毒软件进行实时监控,在此笔者建议使用“光华反病毒软件”它拥有专门查杀木马的木马查杀引擎,内置5万多种最新木马样本,可对内存中的每个进程和计算机端口进行实时监控,既可以查杀已知木马,也可以对付未知木马,我们可以应用光华反病毒软件提供的强大工具来进行木马的查杀预防。如:其“下载监视”功能:当使用网络蚂蚁、网际快车等下载软件下载程序或文本时,光华反病毒软件会自动解除下载文件中携带的病毒,从而封住下载时的木马种入。使用“邮件监视”监测邮件接收外发送也是有效防治木马的方法,从以上的木马病毒分析可以看出,注册表是最容“受伤”的部分,而打开了光华反病毒软件的“注册表监视”后,如果有程序向注册表中关键注册表项添加键值时,将被光华反病毒软件监测到,你可以选择“同意”或“拒绝”此注册表操作。再加上光华反病毒软件独创的插件功能,内置十数种安全插件更是木马的“克星”其中的“屏蔽恶意网站”可以帮助玩家有效屏蔽恶意网站,给计算机上网带来安全保障避免来自含有木马程序网站的侵扰。“隐私保护设置”可以保护信用卡号、QQ、邮箱、游戏账号、电话号码等私密信息,拦截木马、黑客盗取信息向外传输。还能保护关键字内容不被发送到 Internet (其中不包括通过安全加密方式访问的网站)。 “木马搜索”、“端口扫描”就是用于查找这些隐藏的木马文件及系统中的不易觉察的变化,从而封住木马和黑客程序的进出之门。当然这些只是光华反病毒软件诸多工具中的一小部分,还有“邮件过滤设置”、“绿色上网”等就需要玩家朋友们自已去体验了。
其实,最为业界瞩目的是光华反病毒软件最新采用了光华公司首创的全球“Online”技术,把以前的“孤岛”式的单机杀毒产品与当前先进的分布式网络技术结合在一起,让用户购买的不仅仅是一套产品,而是一个以个性化的安全解决方案为核心的网络安全平台,满足用户的各种不同需求。“Online”既是一种抑制病毒传播的技术手段,也是一种用户对防病毒产品使用的方法。作为技术,它的工作原理就是,在互联网上采取跟病毒赛跑的方式,采取主动给用户升级产品的方式,减缓病毒的传播速度,从而最终达到让病毒无法传播、消灭病毒目的,让电脑始终处于一个安全的环境之中。 3.Trojan.PSW.Lmir.abm破坏方法:偷用户私人信息(例如:游戏账号密码)的木马病毒。 一、复制自身到Windows目录,命名为“svch0st_.exe”,把原来的程序文件删除。
释放 lsas.bmp,这是一个dll类型的文件,负责截取用户键盘输入。 "lsas.bmp"以资源的方式存在病毒文件中,资源名称为“DllFile”。 该dll提供下列功能函数:
StartHook StopHook
EnableKeyBoardHook9X DisableKeyboardHook9X 二、自启动。HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon
Shell = "Explorer.exe C:\\WINNT\\svch0st_.exe" 三、病毒主程序会终止下列反病毒软件,卸载“密码防盗专家 综合版”。1.Symantec AntiVirus 企业版 2.江民杀毒软件 KV2004:实时监视 3.RavMon.exe 4.LockDownMain 5.ZoneAlarm 6.天网防火墙个人版 7.天网防火墙企业版 8.噬菌体 9.木马克星 10.EGHOST.EXE 11.MAILMON.EXE 12. KAVPFW.EXE 四、删除 Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\WinOldApp 的“NoRealMode” 防止用户运行“cmd.exe”或者“command.exe” 五、病毒使用“My_Mir2_MapFile”作为共享数据区,把取得的信息写进去,供病毒主程序使用,发送到指定邮箱。病毒发送邮件的内容如下:gameid= password= quyu= mirserver= js1= js1sex= js1zy= js1dj= js2= js2sex= js2zy= js2dj=
3721反间谍专家反间谍专家能够通过扫描系统薄弱环节以及全面扫描硬盘,智能检测和查杀超过上万种木马、蠕虫、Adware、Spyware,如“SCO炸弹、五毒虫、网银大盗、MSN骗子、QQ尾巴病毒、寄生木马,冰河类文件关联木马,密码解霸,传奇、奇迹等游戏密码偷窃木马”等,终止它们的恶意行为,当检测到可疑文件时,反间谍专家还可以将其隔离,从而全面保护您的网络安全。 反间谍专家提供超强系统免疫功能,确保操作系统不再受到恶意网站、间谍软件、有害ActiveX的侵扰,并且能够快速恢复被恶意代码篡改的IE浏览器。此外,如果您对系统非常熟悉,反间谍专家还为您提供了进程管理、服务管理、网络连接管理等高级工具,辅助您进行手工木马查杀。http://assistant.3721.com/safe04_2.htm?type=safe04_2.htm搜索软件吧http://www.soft8.net/中国首家专业软件搜索引擎,在这里能轻松地找到几乎所有的软件,以后您要找软件请来这里。下载一款适合的杀毒软件,为您全面对抗各种混合性网络安全威胁。
回复
使用道具
举报
返回列表
发新帖
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
回帖后跳转到最后一页
千问
主题
0
回帖
4882万
积分
论坛元老
论坛元老, 积分 48824836, 距离下一级还需 -38824837 积分
论坛元老, 积分 48824836, 距离下一级还需 -38824837 积分
积分
48824836
加好友
发消息
回复楼主
返回列表
问答
热门排行
1
哈尔滨市治白斑哪里好
2
肚子上一条条的。还刺挠,是胖引起的吗
3
医生,你好请问阴茎短小可以通过什么方法
4
重庆肝硬化传染吗?
5
阳痿能否艾炙治疗?
6
你好,我昨天晚上睡觉的时候,突然右边胸
7
关于精囊炎怎么治疗
8
重庆早期肝硬化转阴治疗?
9
鼻子旁边嘴角旁长小的旮达是怎么回事
10
备孕可以喝黑豆浆吗?上个月19号开的例
11
男。21岁。昨天因为打篮球的时候跳了一
12
重庆肝炎肝硬化?
13
你好,我就是湿气重,一到夏天热的时候就
14
解扎是要提交准生证吗
15
症状发生到现在为止已经三天了,胳膊和背
16
我总胆红素42转安酶正常查肝部其它均正
17
一直不愿意吃辅食,十个月断了母乳后用了一
18
重庆肝硬化的转阴治疗?
19
你好,就是我两个门牙中间碎了,但是从外
20
怀孕39周血小板只有41这个怎么处理?
21
免疫治疗法有哪些
22
子宫肌瘤手术,多发性,还比较大,有什么
23
你好孩子现在5岁了身上有小疙瘩一
24
怀孕四个月,5月7号上午打B超检查出胚
25
毛孔粗大,有白头黑头能怎样注意饮食改变
26
重庆得了早期肝硬化的转阴治疗?
27
我想知道闭经对我的危害?听说闭经会老得
28
每月月经都是24天就来,请问排卵期怎么
29
医生。你好。我想问一下,手上蜕皮,这种
30
重庆肝硬化转阴治疗?
31
每天早上起来吃点东西就肚子痛拉肚子的痛
32
重庆肝硬化能转阴?
33
杭州孩子脖子上长白斑怎么办
34
你好,我昨天脚不小心插到玻璃渣现在拿不
35
你好我家一岁半的男宝尿尿的旁边长了个囊
36
脸上长扁平疣怎样根治
37
你好,我已经一个多月没来事,这俩天胸还
38
父亲这话是什么道理?
39
在杭州手臂上出现小白斑是怎么回事
40
手刀切第六天,今天去换药有点灌脓了,医
41
你好,五月十五号来的月经,六月二号再一
42
我27岁,月经不调,这次来月经量少,月
43
输卵管通的,排卵也正常,老公精子也正常
44
吃饭后在吃避孕药有效吗?
45
身上出现小红点,有点痒,前两天就医拿了鼻
46
肌力康复汤的主要配方是什么呢?
47
你好,请问我患有子宫积溜,盆腔积液目前
48
今天早上开始小腹(肚脐下两寸)隐痛。肛
49
你好,我的婆婆年纪八十,突然之间黄疸数
50
我这一次姨妈量特别多刚来那一天少然后现
51
您好,医生,我的月经不正常,一直都是很
52
你好大夫,请问宝宝皮纹不对称影响大不大
53
阴茎收到一点刺激就易勃起这是怎么啊
54
怀孕时如何才能让出生的孩子聪明好学呢?
55
早泄的危害:1. 沉重的心理负担:长时
56
每天下午3.4点钟就腰疼,连着胯和腿都
57
5.25月经第一天,30号开始吃了诀诺
58
大夫,您好!我想请问一下做个输卵管造影
59
病情描述:17实岁的男孩阴茎软时4.5
60
国一堂膏药?治疗软骨损伤能管用吗?一动
61
阴毛处长了个肉疙瘩,按着硬硬的,有时候
62
医生麻辣帮我看看我老公的精液检查结果
63
同完房才发现大姨妈来了会有影响吗?
64
真的可以恢复么?大约多少钱啊?
65
先天性子宫畸形能治吗
66
重庆治疗丙肝肝硬化?
67
牙肉肿痛,不知吃什么好,好像在大牙里头
68
重庆如何有效治肝硬化?
69
4月1号来月经,4月24来又来了一次,
70
左下腹痛!有种块!按摩后有排便意!化验
71
催体泌乳素高咋回事
72
你好,这几天奶水少了,是什么原因
73
刚安了环就提前3天左右就来点,然后就正
74
重庆肝硬化肝损伤如何诊治?
75
重庆肝硬化应注意什么?
76
解小便难受白带常规清洁度三度无霉菌滴虫
77
重庆肝硬化早期如何治疗?