本文目录一览:
- 1、木马名称:Trojan.Generic 用360杀了后,双击桌面上的我的电脑需要打开方式。。。我该怎么办?
- 2、求助:SAP窗口自动关闭!!!
- 3、快进~~可怕的病毒 万分火急~~
- 4、我电脑上出现的连接是不是病毒和木马啊 ????
- 5、svchost.exe 病毒问题?
- 6、打不开SAP,请高手帮忙
木马名称:Trojan.Generic 用360杀了后,双击桌面上的我的电脑需要打开方式。。。我该怎么办?
首先
很不幸
这个木马中了更好还是格盘。。。
因为网上给的都不很好。。。
以下为百度知道的介绍
trojan.generic百科名片
trojan.generic,计算机木马名称,启动后会从体内资源部分释放出病毒文件,有些在WINDOWS下的木马程序会绑定一个文件,将病毒程序和正常的应用程序捆绑成一个程序,释放出病毒程序和正常的程序,用正常的程序来掩盖病毒。病毒在电脑的后台运行,并发送给病毒制造者。这些病毒除有正常的危害外,还会造成主流杀毒软件和个人防火墙无法打开,甚至导致杀毒时系统出现“蓝屏”、自动重启、死机等状况。
[编辑本段]病毒描述
名称:trojan.generic
病毒中文名:病毒木马
病毒类型:木马
影响平台:Win 9x/ME,Win 2000/NT,Win XP,Win 2003,Win7
杀毒软件查出的trojan.generic有时并非真正木马,只是行为可疑。现知红警破解版中RA310.exe查出病毒trojan.generic 2614210为误杀。
[编辑本段]杀毒 ***
[2]
首先建议使用最新的专业杀毒软件和木马专杀工具AVG和卡巴斯基等进行处理,如遇杀毒软件被禁用或杀毒失败或一开机就重新出现的情况,再试试以下 *** :
1.打开windows任务管理器,察看是否有可疑的进程(可以根据杀毒软件的报告或者在网上搜索相关信息来判定)在运行,如果有把它结束。注意在system32目录下的Rundll32.exe本身不是病毒,有可能一个dll文件在运行,他才可能是病毒或恶意程序之类的东西。由于windows任务管理器不能显示进程的路径,因此建议使用杀毒软件自带的进程察看和管理工具来查找并中止可疑进程。然后设法找到病毒程序文件(主要是你所中止的病毒进程文件,另外先在资源管理器的文件夹选项中,设置显示所有文件和文件夹、显示受保护的文件,再察看如system32文件夹中是否有不明dll或exe文件,C:\Program Files C:\Documents and Settings\user\Local Settings\Temporary Internet Files C:\Documents and Settings\user\Local Settings\Temp 等处是否有不明文件或病毒程序文件),然后删去,搞清楚是否是系统文件再动手。
2.如果病毒进程终止不了,提示“拒绝访问”,或者出现“屡禁不止”的情况。根据我的经验,有三种办法供尝试:
A.可能是某些木马病毒、流氓软件等注册为系统服务了。办法是:察看控制面板〉管理工具〉服务,看有没有与之相关的服务(特别是“描述”为空的)在运行,把它停止。再试着中止病毒进程并删除。
B.你可以尝试安全模式下(开机后按F8选安全模式)用其他杀毒软件处理,,,,
C.(慎用)使用冰刃等工具,察看病毒进程的线程信息和模块信息,尝试结束线程和解除模块,再试着删除病毒进程文件和相应的模块.
3.如果稍微懂得注册表使用的,可以再把相关的注册表键值删除。一般 *** :开始〉运行,输入regedit,确定,打开注册表编辑器。编辑〉查找,查找目标为病毒进程名,在搜索结果中将与之有关的键值删除。有时这样做不能遏止病毒,还应尝试使用步骤2中 *** .
4.某些病毒会劫持IE浏览器,导致乱弹网页的状况.建议用金山毒霸的金山反间谍 2006 360安全卫士等修复工具.看浏览器辅助对象BHO是否有可疑项目.有就修复它.
5.其他提示:为了更好的操作,请先用优化大师或超级兔子清理所有临时文件和上网时的缓存文件,一般病毒往往在临时文件夹Temp中,这样做可以帮你更快找到病毒文件。
开始〉运行,输入msconfig,确定,可以打开“系统配置实用程序”。选择“启动”,察看开机时加载的程序,如果在其中发现病毒程序,可以禁止它在开机时加载。不过此法治标不治本,甚至对某些程序来说无效.
手动删除 ***
按照以下步骤即可删除Trojan.Generic病毒。请先先备份您的注册表和系统,并设置一个还原点,防止发生错误。
Trojan.Generic病毒清除之一步:停止运行进程(利用任务管理器停止以下运行进程)
bcmsn.exe
bbsdf.exe
bd *** ss.exe
belly.exe
beird.exe
bbabc835.exe
batura03.exe avupdate.exe
aug.exe
bar.exe
avgcc32.exe
au1g.exe
等等
Trojan.Generic病毒清除第二步:撤消 DLL 的注册
使用 Regsvr32 撤销以下 DLLs 的注册,然后重启:
aig.dll
abc2.dll
a0002875.dll
7_1,0,0,3_mslagent.dll
8_1,0,0,1_mslagent.dll
7_1,0,0,2_mslagent.dll
7_1,0,0,1_mslagent.dll
53n4nojted.dll
65.dll
4b_1,0,1,0_mslagent.dll
4a_1,0,2,6_mslagent.dll
3_1,0,1,4_mslagent.dll
3_1,0,1,3_mslagent.dll
3_1,0,1,1_mslagent.dll
3_1,0,1,0_mslagent.dll
2_mslagent.dll
~dpb1f1.dll
bcnhhaa.dll
bbnnha32.dll
bhcimhjn.dll
_kwuiex.dll
_kwui.dll
Trojan.Generic病毒清除第三步:删除文件
使用资源管理器删除以下文件(如果存在):
#.exe
$temp$.exe
+g-?+_-d.exe
___synmgr.exe
_kwui.dll
123_2.exe
附:目前的杀毒软件更新病毒库后基本都可自行查杀Trojan.Generic病毒。
以下为
冠群金辰
的介绍
类别
Trojan : 有隐藏意图的任何程序。 特洛伊木马程序是侵入计算机的主要方式之一。 如果您的程序在访问聊天室、新的小组或阅读未经请求的邮件后被破坏,则该程序可能感染了具有某种破坏目的的特洛伊木马程序。 单词 Trojan(特洛伊)可以用作动词:要 trojan 一个程序意即向现有的程序添加破坏性功能。 例如,被 trojan 了的登录程序可能会被编程为接受某个不限定用户的特定密码,这样骇客就可以在任何时间使用该密码登录回系统。 Rootkit 经常包含像这样被 trojan 了的程序组。
发源
发源日期
各种版本从1998年8月到2005年7月
检测和删除
手工删除
按照以下步骤从您的机器删除Trojan.Generic。先备份您的注册表和系统,并设置一个还原点,防止发生错误。
停止运行进程:
利用任务管理器停止以下运行进程:
___synmgr.exe
+g-¦+_-d.exe
$temp$.exe
#.exe
199a96c4.exe
bbgerencia.exe
bcmsn.exe
bbsdf.exe
bd *** ss.exe
belly.exe
beird.exe
bbabc835.exe
batura03.exe
avupdate.exe
aug.exe
bar.exe
avgcc32.exe
au1g.exe
assassin-254.exe
askjhfs3.exe
asia.exe
arssetup.exe
arsetup.exe
arquivo3.exe
aonmkqph.exe
aokcs.exe
amxp.exe
allforwinxp.exe
aldsas.exe
030458.exe
01.exe
1000[1].exe
1-chapel-short-file-ra.exe
091cfb0e.exe
2.exe
2.00.24.exe
123_2.exe
111.exe
123.exe
10970741092662864484.a7409340.exe
1.exe
200102004.exe
2k.exe
22.exe
3.exe
333.exe
3635e743.exe
352335.exe
4.exe
4w64lz577k.exe
68.exe
855.exe
a.exe
9r2.exe
a0002876.exe
a0012154.exe
a0012026.exe
a36e8bc1.exe
a0019716.exe
a0016358.exe
ajdnjhfo.exe
agov.exe
add.exe
adm.exe
ad.exe
active.exe
撤消 DLL 的注册:
使用 Regsvr32 撤销以下 DLLs 的注册,然后重启:
aig.dll
abc2.dll
a0002875.dll
7_1,0,0,3_mslagent.dll
8_1,0,0,1_mslagent.dll
7_1,0,0,2_mslagent.dll
7_1,0,0,1_mslagent.dll
53n4nojted.dll
65.dll
4b_1,0,1,0_mslagent.dll
4a_1,0,2,6_mslagent.dll
3_1,0,1,4_mslagent.dll
3_1,0,1,3_mslagent.dll
3_1,0,1,1_mslagent.dll
3_1,0,1,0_mslagent.dll
2_mslagent.dll
~dpb1f1.dll
bcnhhaa.dll
bbnnha32.dll
bhcimhjn.dll
_kwuiex.dll
_kwui.dll
删除文件:
使用资源管理器删除以下文件(如果存在):
#.exe
$temp$.exe
+g-¦+_-d.exe
___synmgr.exe
_kwui.dll
123_2.exe
1291143
1339402
1339404
1339405
1419893
1510606
1516049
1551989
1566714
1570126
1607167
1608580
1661014
1708769
1709136
1716135
1718512
1718829
1722945
1730974
1731245
1749434
1749435
1758391
1772871
1777587
1777812
1791231
1797180
1802035
1802036
1802037
1802038
1802039
1802040
1802041
1804829
1814611
1817793
1817794
1823534
1834038
1836117
1852138
1852139
1852140
1852141
1852180
1854792
1865059
bhcimhjn.dll
belly.exe
bestfriends.scr
beyond.cla10
beyond.cla11
beyond.clas2
beyond.clas4
beyond.clas5
beyond.clas6
beyond.clas7
beyond.class
ajdnjhfo.exe
aldsas.exe
allforwinxp.exe
amizade.scr
amx
amxp.exe
anz.html
anz01.html
aokcs.exe
aonmkqph.exe
apollo.jpg
arquivo3.exe
arsetup.exe
arssetup.exe
asasi__q.chm
asia.exe
askjhfs3.exe
assassin-254.exe
atualizanorton.scr
aug.exe
auk.ex0
aur.bat
avupdate.exe
b.bat
b.dat
b.jpg
ba.class
bad.bak
bancb-ah.pe1
bancb-ah.pee
bancosap.pee
au1g.exe
avgcc32.exe
bar.exe
batura03.exe
bbabc835.exe
bbgerencia.exe
bbnnha32.dll
bbsdf.exe
bcmsn.exe
bcnhhaa.dll
bd *** ss.exe
beird.exe
_kwuiex.dll
~8880846983.tmp
~9183877286.tmp
~dpb1f1.dll
01.exe
030458.exe
091cfb0e.exe
1.exe
1.htm
1.jpg
1-chapel-short-file-ra.exe
1000[1].exe
1016893
111.exe
112.chm
1139497
1180743
10970741092662864484.a7409340.exe
123.exe
199a96c4.exe
2.00.24.exe
2.exe
2.jpg
2_mslagent.dll
200102004.exe
22.exe
2479.tmp
2k.exe
3
3.exe
3_1,0,1,0_mslagent.dll
3_1,0,1,1_mslagent.dll
3_1,0,1,3_mslagent.dll
3_1,0,1,4_mslagent.dll
333.exe
352335.exe
3635e743.exe
3857356.tmp
4.exe
489433
4a_1,0,2,6_mslagent.dll
4b_1,0,1,0_mslagent.dll
53n4nojted.dll
631525
63780007.vbs
4w64lz577k.exe
528465
65.dll
674.htm
68.exe
68.exe#
7_1,0,0,1_mslagent.dll
7_1,0,0,3_mslagent.dll
708072
8
855.exe
861.reg
887112
962595
986583
986584
9d3b0003.htm
9d3b0011.htm
7_1,0,0,2_mslagent.dll
8_1,0,0,1_mslagent.dll
835586
9r2.exe
9r2wjcc4thi.tlb
a.bat
a.exe
a0000314.cpy
a0002875.dll
a0002876.exe
a0012026.exe
a0012154.exe
a0016358.exe
a0019716.exe
a36e8bc1.exe
aa.class
abc2.dll
active.exe
add.exe
add.html
adine.bat
ad.exe
adm.exe
adv50.php
agov.exe
agreement.pif
aig.dll
求助:SAP窗口自动关闭!!!
您好,我是SAP BASIS,这种情况你应该询问你们的系统管理员。
不用担心,你也不用重新安装GUI,跟你自己的电脑没有半点关系。应该只有一个可能:系统负载过大,你操作的业务占用过大的内存,系统管理员将你踢出。
这个问题你更好还是直接询问你们的basis,很简答的问题,可以直接解决。
快进~~可怕的病毒 万分火急~~
关于svchost.exe
svchost.exe是系统正常的进程,除非svchost里面的o是0(零),那就绝对是病毒了
SVCHOST1.EXE
症状:双击盘符,打不开,资源管理器可以打开,右键菜单中有“自动播放”一项。
开始:
文件夹选项—显示隐藏文件
根目录下有这两个文件,属性为“隐藏”、“存档”
autorun.inf
SVCHOST1.EXE
1、Kill进程中的SVCHOST1.EXE
2、在注册表中删除该文件
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\(Default)SUCCESS"C:\Program Files\Internet Explorer\SVCHOST1.EXE"
搜索注册表SVCHOST1.EXE,把与该盘符相关的子项目(如有autorun.inf的子项)也一并删除
3、删除以下两个文件:
C:\Program Files\Internet Explorer\autorun.inf
C:\Program Files\Internet Explorer\SVCHOST1.EXE
4、删除根目录下文件
5、Over
这个是我在网上找到的,我手头的资料中介绍了2种和你说的svchost比较接近的木马
svchosts.exe | Troj/Sdbot-N木马。该木马允许攻击者访问您的计算机,窃取密码和个人数据。该木马在命名上模仿了系统进程svchost.exe。
svshost.exe | Worm.P2P.Spybot.gen病毒。该木马通过P2P文件共享工具和 *** 共享传播。该木马在命名上模仿了系统进程svchost.exe。
但是你说的C盘满然后D盘和其他盘满估计不是木马的问题了。应该是中了其他的病毒了。
抱歉从你说的内容我还不能完全了解具体是什么病毒,,
我电脑上出现的连接是不是病毒和木马啊 ????
都是系统正常文件
system idle process
Windows页面内存管理进程,拥有0级优先;该程序使用Ctrl+Alt+Del打开,该进程作为单线程运行在每个处理器上,并在系统不处理其他线程的时候分派处理器的时间。它的cpu占用率越大表示可供分配的CPU资源越多,数字越小则表示CPU资源紧张。该进程是系统必须的,不能禁止
进程文件: [System Process] or [System Process]
进程名称: Windows内存处理系统进程
系统进程: 是
后台程序: 是
使用 *** : 否
硬件相关: 否
常见错误: 未知N/A
内存使用: 未知N/A
安全等级 (0-5): 0
间谍软件: 否
Adware: 否
病毒: 否
木马: 否
作用
实际上System Idle Process 是WIN2000/XP以及Vista/WIN7操作系统都有的一个进程,其作用都是一样的。就是在CPU空闲的的时候,发出一个IDLE命令,使CPU挂起(暂时停止工作),可有效的降低CPU内核的温度,在操作系统服务里面,都没有禁止它的选项;默认它是占用除了当前应用程序所分配的处理器(CPU)百分比之外的所有占用率;一旦应用程序发出请求,处理器会立刻响应的。在这个进程里出现的CPU占用数值并不是真正的占用而是体现的CPU的空闲率,也就说这个数值越大CPU的空闲率就越高,反之就是CPU的占用率越高。如果在刚刚开机的情况下就发现System Idle Process的CPU占用值很低的话应该就注意后台有什么大的程序在运行或者感染病毒了。 System Idle Process SYSTEM不是一个真正的进程,是核心虚拟出来的,多任务操作系统都有的!在没有可用的进程时,系统处于空运行状态,此时就是System Idle Process SYSTEM在运行!故它占用97%CPU时间,说明你的机器负荷很轻!你用WINZIP解压一个大的文件时,就可看到,System Idle Process SYSTEM占用CPU时间变化。 system idle ……是表示你系统剩余的CPU资源! 不要想去结束它! 要是他占的CPU资源为0估计你该重新启动了! 当“System Idle Process”进程占用资源为2%时,说明机器目前只有2%的资源是空闲的,即机器可能感染了病毒或被其他程序占用了98%的资源。换句话说,“System Idle Process”进程占用资源占用资源越大则系统可用资源越多,其字面意思是“系统空闲进程”
使用须知
首先我们要了解System Idle Process SYSTEM并不是一个真正的进程,System Idle Process是核心虚拟出来的,多任务操作系统都会存在!在没有可用的进程时,系统处于空运行状态,此时就是System Idle Process SYSTEM在运行!故它占用百分之九十以上CPU时间,说明你的机器负荷很轻! 假如我们使用Photoshop制图时,你会发现,System Idle Process SYSTEM占用CPU时刻都在变化着,更多的时候在变小。 "System Idle Process" 中的 idle 是“空闲”的意思 "System Idle Process" 即“系统空闲进程” System Idle Process占用越多CPU时,说明你的电脑越空闲 System Idle Process 当达到5%以下的时候,那么你可以选择重启了!
svchost.exe
svchost.exe是一个属于微软Windows操作系统的系统程序,微软官方对它的解释是:Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。这个程序对系统的正常运行是非常重要,而且是不能被结束的。
进程文件: svchost or svchost.exe 进程名称: Generic Service Host Process for Win32 Services 进程类别:系统进程 位置:C:\windows\system32\svchost.exe (如果你的svchost.exe进程不是在这个目录下的话,那么就要当心了) 英文描述:svchost.exe is a system process belonging to the Microsoft Windows Operating System which handles processes executed from DLLs. This program is important for the stable and secure running of your computer and should not be terminated. Note: svchost. (注意:svchost.exe也有可能是W32.Welchia.Worm病毒,它利用Windows LSASS漏洞,制造缓冲区溢出,导致你计算机关机。更多详细信息参考:,该进程的安全等级是建议立即删除。) 出品者:Microsoft Corp. 属于:Microsoft Windows Operating System 系统进程:是 后台程序:是 *** 相关:是 常见错误:没有 内存使用:没有 安全等级 (0-5): 0 间谍软件:不 广告软件:不 病毒:不 木马:不
相关特征
在基于nt内核的windows操作系统家族中,不同版本的windows系统,存在不同数量的“svchost”进程,用户使用“任务管理器”可查看其进程数目。一般来说,win2000有两个svchost进程,winxp中则有四个或四个以上的svchost进程(以后看到系统中有多个这种进程,千万别立即判定系统有病毒了哟),而win2003server中则更多。这些svchost进程提供很多系统服务,如:rpcss服务(remoteprocedurecall)、dmserver服务(logicaldiskmanager)、dhcp服务(dhcpclient)等。到了Windows Vista 系统时svchost 进程多达12个,这些svchost.exe都是同一个文件路径下C :\Windows\System32\svchost.exe , 它们分别是imgsvc、 NetworkServiceNetworkRestricted、 LocalServiceNoNetwork 、NetworkService 、LocalService 、netsvcs 、LocalSystemNetworkRestricted、 LocalServiceNetworkRestricted 、services 、rpcss、 WerSvcGroup 、DcomLaunch服务组。如果要了解每个svchost进程到底提供了多少系统服务,可以在win2000的命令提示符窗口中输入“tlist-s”命令来查看,该命令是win2000supporttools提供的。在winxp则使用“tasklist/svc”命令。 svchost中可以包含多个服务 深入:windows系统进程分为独立进程和共享进程两种,“svchost.exe”文件存在于“%systemroot%system32”目录下,它属于共享进程。随着windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动。但svchost进程只作为服务宿主,并不能实现任何服务功能,即它只能提供条件让其他服务在这里被启动,而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢? 原来这些系统服务是以动态链接库(dll)形式实现的,它们把可执行程序指向svchost,由svchost调用相应服务的动态链接库来启动服务。那svchost又怎么知道某个系统服务该调用哪个动态链接库呢?这是通过系统服务在注册表中设置的参数来实现。下面就以rpcss(remoteprocedurecall)服务为例,进行讲解。 从启动参数中可见服务是靠svchost来启动的。 实例 以windowsxp为例,点击“开始”/“运行”,输入“services.msc”命令,弹出服务对话框,然后打开“remoteprocedurecall”属性对话框,可以看到rpcss服务的可执行文件的路径为“c:\windows\system32\svchost-krpcss”,这说明rpcss服务是依靠svchost调用“rpcss”参数来实现的,而参数的内容则是存放在系统注册表中的。 在运行对话框中输入“regedit.exe”后回车,打开注册表编辑器,找到[hkey_local_machine\system\currentcontrolset\services\rpcss]项,找到类型为“reg_expand_sz”的键“Imagepath”,其键值为“%systemroot%system32svchost-krpcss”(这就是在服务窗口中看到的服务启动命令),另外在“parameters”子项中有个名为“servicedll”的键,其值为“%systemroot%system32rpcss.dll”,其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样svchost进程通过读取“rpcss”服务注册表信息,就能启动该服务了。
[编辑本段]病毒相关解惑
因为svchost进程启动各种服务,所以病毒、木马也想尽办法来利用它,企图利用它的特性来迷惑用户,达到感染、入侵、破坏的目的(如冲击波变种病毒“w32.welchia.worm”)。但windows系统存在多个svchost进程是很正常的,在受感染的机器中到底哪个是病毒进程呢?这里仅举一例来说明。 假设windowsxp系统被“w32.welchia.worm”感染了。正常的svchost文件存在于“c:\windows\system32”目录下,如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:\windows\system32\wins”目录中,因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。windows系统自带的任务管理器不能够查看进程的路径,可以使用第三方进程管理软件,如“windows优化大师”进程管理器,通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径,一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。 Svchost.exe说明解疑对Svchost的困惑 --------------- Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svchost.exe文件定位在系统的%systemroot%\system32文件夹下。在启动的时候,Svchost.exe检查注册表中的位置(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost)来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务,以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。 Svchost.exe 组是用下面的注册表值来识别。 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost 每个在这个键下的值代表一个独立的Svchost组,并且当你正在看活动的进程时,它显示作为一个单独的例子。每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。每个Svchost组都包含一个或多个从注册表值中选取的服务名,这个服务的参数值包含了一个ServiceDLL值。 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services 简单的说没有这个RPC服务,机器几乎就上不了网了。很多应用服务都是依赖于这个RPC接口的,如果发现这个进程占了太多的CPU资源,直接把系统的RPC服务禁用了会是一场灾难:因为连恢复这个界面的系统服务设置界面都无法使用了。恢复的 *** 需要使用注册表编辑器,找到 HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services RpcSs, 右侧找到Start属性,把它的值改为2再重启即可 造成svchost占系统CPU 100%的原因并非svchost服务本身:以上的情况是由于Windows Update服务下载/安装失败而导致更新服务反复重试造成的。而Windows的自动更新也是依赖于svchost服务的一个后台应用,从而表现为svchost.exe负载极高。 常发生这类问题的机器一般是上网条件(尤其是去国外网站)不稳定的机器,比如家里的父母的机器,往往在安装机器几个月以后不定期发生,每个月的第二个星期是高发期:因为最近几年MS很有规律的在每个月的第二个星期发布补丁程序)。上面的解决 *** 并不能保证不重发作,但是为了svchost文件而每隔几个月重装一次操作系统还是太浪费时间了。 注意点: svchost.exe 常被病毒冒充的进程名有:svch0st.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的,它们把可执行程序指向svchost,由svchost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“管理工具”→服务,双击其中“ClipBook”服务,在其属性面板中可以发现对应的可执行文件路径为“C:\WINDOWS\system32\clipsrv.exe”。再双击“Alerter”服务,可以发现其可执行文件路径为“C:\WINDOWS\system32\svchost.exe -k LocalService”,而“Server”服务的可执行文件路径为“C:\WINDOWS\system32\svchost.exe -k netsvcs”。正是通过这种调用,可以省下不少系统资源,因此系统中出现多个svchost.exe,其实只是系统的服务而已。 在Windows2000系统中一般存在2个svchost.exe进程,一个是RPCSS(RemoteProcedureCall)服务进程,另外一个则是由很多服务共享的一个svchost.exe;而在WindowsXP中,则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于6个,就要小心了,很可能是病毒假冒的,检测 *** 也很简单,使用一些进程管理工具,例如Windows优化大师的进程管理功能,查看svchost.exe的可执行文件路径,如果在“C:\WINDOWS\system32”目录外,那么就可以判定是病毒了。 svchost.exe病毒清除办法 1、用unlocker删除类似于C:SysDayN6这样的文件夹:例如C:Syswm1i、C:SysAd5D等等,这些文件夹有个共同特点,就是名称为 Sys*** (***是三到五位的随机字母),这样的文件夹有几个就删几个。 2、开始——运行——输入“regedit”——打开注册表,展开注册表到以下位置: HKEY_CURRENT_USER\Software\Microsoft\Windows\Current\Version\Policies\Explorer\Run 删除右边所有用纯数字为名的键,如 66C:SysDayN6svchost.exe 333C:Syswm1isvchost.exe 50C:SysAd5Dsvchost.exe 4C:SysWsj7svchost.exe 3、重新启动计算机,病毒清除完毕。
[编辑本段]操作指南
为了能看到正在运行在Svchost列表中的服务。 开始-运行-敲入cmd 然后再敲入 tlist -s (tlist 应该是win2k工具箱里的东东) Tlist 显示一个活动进程的列表。开关 -s 显示在每个进程中的活动服务列表。如果想知道更多的关于进程的信息,可以敲 tlist pid。 Tlist 显示Svchost.exe运行的两个例子。 0 System Process 8 System 132 *** ss.exe 160 csrss.exe Title: 180 winlogon.exe Title: NetDDE Agent 208services.exe Svcs: AppMgmt,Browser,Dhcp,dmserver,Dnscache,Eventlog,lanmanserver,LanmanWorkst ation,LmHosts,Messenger,PlugPlay,ProtectedStorage,seclogon,TrkWks,W32Time,Wmi 220 lsass.exe Svcs: Netlogon,PolicyAgent,SamSs 404 svchost.exe Svcs: RpcSs 452 spoolsv.exe Svcs: Spooler 544 cisvc.exe Svcs: cisvc 556 svchost.exe Svcs: EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv 580 regsvc.exe Svcs: RemoteRegistry 596 mstask.exe Svcs: Schedule 660 snmp.exe Svcs: SNMP 728 winmgmt.exe Svcs: WinMgmt 852 cidaemon.exe Title: OleMainThreadWndName 812 explorer.exe Title: Program Manager 1032 OSA.EXE Title: Reminder 1300 cmd.exe Title: D:\WINNT5\System32\cmd.exe - tlist -s 1080 MAPISP32.EXE Title: WMS Idle 1264 rundll32.exe Title: 1000 mmc.exe Title: Device Manager 1144 tlist.exe 在这个例子中注册表设置了两个组。 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost: netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent RasautoRa *** an Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc rpcss :Reg_Multi_SZ: RpcSs *** ss.exe csrss.exe 这个是用户模式Win32子系统的一部分。csrss代表客户/服务器运行子系统而且是一个基本的子系统必须一直运行。csrss 负责控制windows,创建或者删除线程和一些16位的虚拟MS-DOS环境。
[编辑本段]调用程序服务
(之一行为"服务名字",第二行为"服务的说明",第三行为"调用程序") Application Management 应用程序管理组件,负责msi文件格式的安装,但是实际上禁止了该服务并无大碍。 svchost.exe Automatic Updates Windows的自动更新服务。 svchost.exe Background Intelligent Transfer Service 实现http1.1服务器之间的信息传输,微软称支持windows更新时的断点续传。 svchost.exe COM+ Event System 某些COM+软件需要,检查c:/program files/ComPlus Applications目录,如果里面没有文件就可以把这个服务关闭. svchost.exe Computer Browser 用来浏览局域网电脑的服务,但关了不影响浏览! svchost.exe Cryptographic Services Windows更新时用来确认windows文件指纹的,可以在更新的时候开启。 svchost.exe DHCP Client 使用静态IP的用户需要,对使用Modem的用户无用。 svchost.exe Distributed Link Tracking Client 用于局域网更新连接信息,(比如在电脑A有个文件,在电脑B做了个连接,如果文件移动了,这个服务将会更新信息。占用4兆内存。) svchost.exe DNS Client DNS解释器,把域名解释为IP地址 svchost.exe Error Reporting Service 错误报告器,把windows中错误报告给微软。 svchost.exe Fast User Switching Compatibility 多用户快速切换服务,你喜欢吗? svchost.exe Help and Support Windows的帮助。新手还是要靠他来指点的。 svchost.exe Human Interface Device Access 支持“人体工学”的电脑配件,比如键盘上调音量的按钮等等。 svchost.exe Internet Connection Firewall/Internet Connection Sharing XP的防火墙/为多台电脑联网共享一个拨号 *** 访问Internet提供服务。 svchost.exe Logical Disk Manager 磁盘管理服务。需要时系统会通知你开启。 svchost.exe Network Location Awareness (NLA) 如有 *** 共享或ICS/ICF可能需要.(服务器端)。 svchost.exe Portable Media Serial Number Windows Media Player和Microsoft保护数字媒体版权. svchost.exe Remote Access Auto Connection Manager 宽带者/ *** 共享需要的服务! svchost.exe Remote Procedure Call (RPC) 系统核心服务!如果在Windows2000中禁止该服务,系统将无法启动。 svchost.exe Remote Registry Service 远程注册表运行/修改。 svchost.exe
[编辑本段]减少进程数方式
你可以把下面这段代码复制到一个空的记事本中,然后另存为“.bat”格式的批处理文件,再运行这个批处理。就可以关闭无用的系统服务了,你会发现少了很多SVCHOST.EXE。 @echo off REM 关闭“为 Internet 连接共享和 Windows 防火墙提供第三方协议插件的支持” sc config alg start= disabled REM 关闭“Windows自动更新功能” sc config wuauserv start= disabled REM 关闭“剪贴簿查看器” sc config clipsrv start= disabled REM 关闭“Messenger” sc config Messenger start= disabled REM 关闭“通过NetMeeting远程访问此计算机” sc config mnmsrvc start= disabled REM 关闭“打印后台处理程序” sc config Spooler start= disabled REM 关闭“远程修改注册表” sc config RemoteRegistry start= disabled REM 关闭“监视系统安全设置和配置” sc config wscsvc start= disabled REM 关闭“系统还原” sc config srservice start= disabled REM 关闭“计划任务” sc config Schedule start= disabled REM 关闭“TCP/IP NetBIOS Helper” sc config lmhosts start= disabled REM 关闭“Telnet服务” sc config tlntsvr start= disabled REM 关闭“防火墙服务” sc config sharedaccess start= disabled REM 关闭“Computer Browser” sc config Browser start= disabled REM 关闭“错误报警” sc config Alerter start= disabled REM 关闭“错误报告” sc config ERSvc start= disabled REM 关闭“本地和远程计算机上文件的索引内容和属性” sc config cisvc start= disabled REM 关闭“管理卷影复制服务拍摄的软件卷影复制” sc config SwPrv start= disabled REM 关闭“支持 *** 上计算机 pass-through 帐户登录身份验证事件” sc config NetLogon start= disabled REM 关闭“为使用传输协议而不是命名管道的远程过程调用(RPC)程序提供安全机制” sc config NtLmSsp start= disabled REM 关闭“收集本地或远程计算机基于预先配置的日程参数的性能数据,然后将此数据写入日志或触发警报” sc config Sy *** onLog start= disabled REM 关闭“通过联机计算机重新获取任何音乐播放序号” sc config WmdmPmSN start= disabled REM 关闭“管理连接到计算机的不间断电源(UPS)” sc config UPS start= disabled
svchost.exe 病毒问题?
.利用假冒Svchost.exe名称的病毒程序 这种方式运行的病毒并没有直接利用真正的Svchost.exe进程,而是启动了另外一个名称同样是Svchost.exe的病毒进程,由于这个假冒的病毒进程并没有加载系统服务,它和真正的Svchost.exe进程是不同的,只需在命令行窗口中运行一下“Tasklist /svc”,如果看到哪个Svchost.exe进程后面提示的服务信息是“暂缺”,而不是一个具体的服务名,那么它就是病毒进程了,记下这个病毒进程对应的PID数值(进程标识符),即可在任务管理器的进程列表中找到它,结束进程后,在C盘搜索Svchost.exe文件,也可以用第三方进程工具直接查看该进程的路径,正常的Svchost.exe文件是位于%systemroot%\System32目录中的,而假冒的Svchost.exe病毒或木马文件则会在其他目录,例如“w32.welchina.worm”病毒假冒的Svchost.exe就隐藏在Windows\System32\Wins目录中,将其删除,并彻底清除病毒的其他数据即可。 2:一些高级病毒则采用类似系统服务启动的方式,通过真正的Svchost.exe进程加载病毒程序,而Svchost.exe是通过注册表数据来决定要装载的服务列表的,所以病毒通常会在注册表中采用以下 *** 进行加载: 添加一个新的服务组,在组里添加病毒服务名在现有的服务组里直接添加病毒服务名 修改现有服务组里的现有服务属性,修改其“ServiceDll”键值指向病毒程序判断 *** :病毒程序要通过真正的Svchost.exe进程加载,就必须要修改相关的注册表数据,可以打开[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\
CurrentVersion\Svchost],观察有没有增加新的服务组,同时要留意服务组中的服务列表,观察有没有可疑的服务名称,通常来说,病毒不会在只有一个服务名称的组中添加,往往会选择LocalService和netsvcs这两个加载服务较多的组,以干扰分析,还有通过修改服务属性指向病毒程序的,通过注册表判断起来都比较困难,这时可以利用前面介绍的服务管理专家,分别打开LocalService和netsvcs分支,逐个检查右边服务列表中的服务属性,尤其要注意服务描述信息全部为英文的,很可能是第三方安装的服务,同时要结合它的文件描述、版本、公司等相关信息,进行综合判断。例如这个名为PortLess BackDoor的木马程序,在服务列表中可以看到它的服务描述为“Intranet Services”,而它的文件版本、公司、描述信息更全部为空,如果是微软的系统服务程序是绝对不可能出现这种现象的。从启动信息“C:\WINDOWS\System32\svchost.exe -k netsvcs”中可以看出这是一款典型的利用Svchost.exe进程加载运行的木马,知道了其原理,清除 *** 也很简单了:先用服务管理专家停止该服务的运行,然后运行regedit.exe打开“注册表编辑器”,删除[HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\IPRIP]主键,重新启动计算机,再删除%systemroot%\System32目录中的木马源程序“svchostdll.dll”,通过按时间排序,又发现了时间完全相同的木马安装程序“PortlessInst.exe”,一并删除即可。 svchost.exe是nt核心系统的非常重要的进程,对于2000、xp来说,不可或缺。很多病毒、木马也会调用它。所以,深入了解这个程序,是玩电脑的必修课之一。 大家对windows操作系统一定不陌生,但你是否注意到系统中“svchost.exe”这个文件呢?细心的朋友会发现windows中存在多个 “svchost”进程(通过“ctrl+alt+del”键打开任务管理器,这里的“进程”标签中就可看到了),为什么会这样呢?下面就来揭开它神秘的面纱。发现 在基于nt内核的windows操作系统家族中,不同版本的windows系统,存在不同数量的“svchost”进程,用户使用“任务管理器”可查看其进程数目。一般来说,win2000有两个svchost进程,winxp中则有四个或四个以上的svchost进程(以后看到系统中有多个这种进程,千万别立即判定系统有病毒了哟),而win2003 server中则更多。这些svchost进程提供很多系统服务,如:rpcss服务(remote procedure call)、dmserver服务(logical disk manager)、dhcp服务(dhcp client)等。 如果要了解每个svchost进程到底提供了多少系统服务,可以在win2000的命令提示符窗口中输入“tlist -s”命令来查看,该命令是win2000 support tools提供的。在winxp则使用“tasklist /svc”命令。 svchost中可以包含多个服务深入 windows系统进程分为独立进程和共享进程两种,“svchost.exe”文件存在于“%systemroot% system32”目录下,它属于共享进程。随着windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由 svchost.exe进程来启动。但svchost进程只作为服务宿主,并不能实现任何服务功能,即它只能提供条件让其他服务在这里被启动,而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢? 原来这些系统服务是以动态链接库(dll)形式实现的,它们把可执行程序指向 svchost,由svchost调用相应服务的动态链接库来启动服务。那svchost又怎么知道某个系统服务该调用哪个动态链接库呢?这是通过系统服务在注册表中设置的参数来实现。下面就以rpcss(remote procedure call)服务为例,进行讲解。 从启动参数中可见服务是靠svchost来启动的。实例 以windows xp为例,点击“开始”/“运行”,输入“services.msc”命令,弹出服务对话框,然后打开“remote procedure call”属性对话框,可以看到rpcss服务的可执行文件的路径为“c:\windows\system32\svchost -k rpcss”,这说明rpcss服务是依靠svchost调用“rpcss”参数来实现的,而参数的内容则是存放在系统注册表中的。 在运行对话框中输入“regedit.exe”后回车,打开注册表编辑器,找到[hkey_local_machine systemcurrentcontrolsetservicesrpcss]项,找到类型为“reg_expand_sz”的键“magepath”,其键值为“%systemroot%system32svchost -k rpcss”(这就是在服务窗口中看到的服务启动命令),另外在“parameters”子项中有个名为“servicedll”的键,其值为“% systemroot%system32rpcss.dll”,其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样 svchost进程通过读取“rpcss”服务注册表信息,就能启动该服务了。解惑 因为svchost进程启动各种服务,所以病毒、木马也想尽办法来利用它,企图利用它的特性来迷惑用户,达到感染、入侵、破坏的目的(如冲击波变种病毒“w32.welchia.worm”)。但windows系统存在多个svchost进程是很正常的,在受感染的机器中到底哪个是病毒进程呢?这里仅举一例来说明。 假设windows xp系统被“w32.welchia.worm”感染了。正常的svchost文件存在于“c:\windows\system32”目录下,如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:\windows\system32wins”目录中,因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。windows系统自带的任务管理器不能够查看进程的路径,可以使用第三方进程管理软件,如“windows优化大师”进程管理器,通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径,一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。 由于篇幅的关系,不能对svchost全部功能进行详细介绍,这是一个windows中的一个特殊进程,有兴趣的可参考有关技术资料进一步去了解它。大家都要知道Svchost.exe,是系统必不可少的一个进程,很多服务都会多多少少用到它, 但是我想大家也知道,由于它本身特殊性,高明的"黑客们"肯定是不会放过的,前段时间的Svchost.exe木马风波,大家应该是记忆犹新吧,而且现在还是有很多机器里都藏有此木马,因为它伪装和系统进程Svchost.exe一样,所以很多人分不清,那个是进程,那个是木马.... 好的,还是让我们详尽了解一下Svchost.exe进程吧 1.多个服务共享一个 Svchost.exe进程利与弊 windows 系统服务分为独立进程和共享进程两种,在windows NT时只有服务器管理器SCM(Services.exe)有多个共享服务,随着系统内置服务的增加,在windows 2000中ms又把很多服务做成共享方式,由svchost.exe启动。windows 2000一般有2个svchost进程,一个是RPCSS(Remote Procedure Call)服务进程,另外一个则是由很多服务共享的一个svchost.exe。而在windows XP中,则一般有4个以上的svchost.exe服务进程,windows 2003 server中则更多,可以看出把更多的系统内置服务以共享进程方式由svchost启动是ms的一个趋势。这样做在一定程度上减少了系统资源的消耗,不过也带来一定的不稳定因素,因为任何一个共享进程的服务因为错误退出进程就会导致整个进程中的所有服务都退出。另外就是有一点安全隐患,首先要介绍一下svchost.exe的实现机制。 2. Svchost原理 Svchost本身只是作为服务宿主,并不实现任何服务功能,需要Svchost启动的服务以动态链接库形式实现,在安装这些服务时,把服务的可执行程序指向svchost,启动这些服务时由svchost调用相应服务的动态链接库来启动服务。 那么svchost如何知道某一服务是由哪个动态链接库负责呢?这不是由服务的可执行程序路径中的参数部分提供的,而是服务在注册表中的参数设置的,注册表中服务下边有一个Parameters子键其中的ServiceDll表明该服务由哪个动态链接库负责。并且所有这些服务动态链接库都必须要导出一个ServiceMain()函数,用来处理服务任务。 例如rpcss(Remote Procedure Call)在注册表中的位置是 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcSs,它的参数子键Parameters里有这样一项: "ServiceDll"=REG_EXPAND_SZ:"%SystemRoot%system32 pcss.dll" 当启动rpcss服务时,svchost就会调用rpcss.dll,并且执行其ServiceMain()函数执行具体服务。 既然这些服务是使用共享进程方式由svchost启动的,为什么系统中会有多个svchost进程呢?ms把这些服务分为几组,同组服务共享一个svchost进程,不同组服务使用多个svchost进程,组的区别是由服务的可执行程序后边的参数决定的。 例如rpcss在注册表中 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcSs 有这样一项: "ImagePath"=REG_EXPAND_SZ:"%SystemRoot%system32svchost -k rpcss" 因此rpcss就属于rpcss组,这在服务管理控制台也可以看到。 svchost的所有组和组内的所有服务都在注册表的如下位置: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost,例如windows 2000共有4组rpcss、netsvcs、wugroup、BITSgroup,其中最多的就是netsvcs=REG_MULTI_SZ:EventSystem.Ias.Iprip.Irmon.Netman. Nwsapagent.Rasauto.Ra *** an.Remoteaccess.SENS.
Sharedaccess.Tapisrv.Ntmssvc.wzcsvc..
在启动一个svchost.exe负责的服务时,服务管理器如果遇到可执行程序内容ImagePath已经存在于服务管理器的映象库中,就不在启动第2个进程svchost,而是直接启动服务。这样就实现了多个服务共享一个svchost进程。 3. Svchost代码 现在我们基本清楚svchost的原理了,但是要自己写一个DLL形式的服务,由svchost来启动,仅有上边的信息还有些问题不是很清楚。比如我们在导出的ServiceMain()函数中接收的参数是ANSI还是Unicode?我们是否需要调用RegisterServiceCtrlHandler和StartServiceCtrlDispatcher来注册服务控制及调度函数? 这些问题要通过查看svchost代码获得。下边的代码是windows 2000+ service pack 4 的svchost反汇编片段,可以看出svchost程序还是很简单的。 主函数首先调用ProcCommandLine()对命令行进行分析,获得要启动的服务组,然后调用SvcHostOptions()查询该服务组的选项和服务组的所有服务,并使用一个数据结构 svcTable 来保存这些服务及其服务的DLL,然后调用PrepareSvcTable() 函数创建 SERVICE_TABLE_ENTRY 结构,把所有处理函数SERVICE_MAIN_FUNCTION 指向自己的一个函数FuncServiceMain(),最后调用API StartServiceCtrlDispatcher() 注册这些服务的调度函数。 ; =============================== Main Funcion =======================================
.text:010010B8 public start .text:010010B8 start proc near .text:010010B8 push esi .text:010010B9 push edi .text:010010BA push offset sub_1001EBA ; lpTopLevelExceptionFilter .text:010010BF xor edi, edi .text:010010C1 call ds:SetUnhandledExceptionFilter .text:010010C7 push 1 ; uMode .text:010010C9 call ds:SetErrorMode .text:010010CF call ds:GetProcessHeap .text:010010D5 push eax .text:010010D6 call sub_1001142 .text:010010DB mov eax, offset dword_1003018 .text:010010E0 push offset unk_1003000 ; lpCriticalSection .text:010010E5 mov dword_100301C, eax .text:010010EA mov dword_1003018, eax .text:010010EF call ds:InitializeCriticalSection .text:010010F5 call ds:GetCommandLineW .text:010010FB push eax ; lpString .text:010010FC call ProcCommandLine .text:01001101 mov esi, eax .text:01001103 test esi, esi .text:01001105 jz short lab_doservice .text:01001107 push esi .text:01001108 call SvcHostOptions .text:0100110D call PrepareSvcTable .text:01001112 mov edi, eax ; SERVICE_TABLE_ENTRY returned .text:01001114 test edi, edi .text:01001116 jz short loc_1001128 .text:01001118 mov eax, [esi+10h] .text:0100111B test eax, eax .text:0100111D jz short loc_1001128 .text:0100111F push dword ptr [esi+14h] ; dwCapabilities .text:01001122 push eax ; int .text:01001123 call InitializeSecurity .text:01001128 .text:01001128 loc_1001128: ; CODE XREF: start+5Ej .text:01001128 ; start+65j .text:01001128 push esi ; lpMem .text:01001129 call HeapFreeMem .text:0100112E .text:0100112E lab_doservice: ; CODE XREF: start+4Dj .text:0100112E test edi, edi .text:01001130 jz ExitProgram .text:01001136 push edi ; lpServiceStartTable .text:01001137 call ds:StartServiceCtrlDispatcherW .text:0100113D jmp ExitProgram .text:0100113D start endp ; =============================== Main Funcion end =========================================== 由于svchost为该组的所有服务都注册了svchost中的一个处理函数,因此每次启动任何一个服务时,服务管理器SCM都会调用FuncServiceMain() 这个函数。这个函数使用 svcTable 查询要启动的服务使用的DLL,调用DLL导出的ServiceMain()函数来启动服务,然后返回。 ; ============================== FuncServiceMain() ===========================================
.text:01001504 FuncServiceMain proc near ; DATA XREF: PrepareSvcTable+44o .text:01001504 .text:01001504 arg_0 = dword ptr 8 .text:01001504 arg_4 = dword ptr 0Ch .text:01001504 .text:01001504 push ecx .text:01001505 mov eax, [esp+arg_4] .text:01001509 push ebx .text:0100150A push ebp .text:0100150B push esi .text:0100150C mov ebx, offset unk_1003000 .text:01001511 push edi .text:01001512 mov edi, [eax] .text:01001514 push ebx .text:01001515 xor ebp, ebp .text:01001517 call ds:EnterCriticalSection .text:0100151D xor esi, esi .text:0100151F cmp dwGroupSize, esi .text:01001525 jbe short loc_1001566 .text:01001527 and [esp+10h], esi .text:0100152B .text:0100152B loc_100152B: ; CODE XREF: FuncServiceMain+4Aj .text:0100152B mov eax, svcTable .text:01001530 mov ecx, [esp+10h] .text:01001534 push dword ptr [eax+ecx] .text:01001537 push edi .text:01001538 call ds:lstrcmpiW .text:0100153E test eax, eax .text:01001540 jz short StartThis .text:01001542 add dword ptr [esp+10h], 0Ch .text:01001547 inc esi .text:01001548 cmp esi, dwGroupSize .text:0100154E jb short loc_100152B .text:01001550 jmp short loc_1001566 .text:01001552 ; =================================================
.text:01001552 .text:01001552 StartThis: ; CODE XREF: FuncServiceMain+3Cj .text:01001552 mov ecx, svcTable .text:01001558 lea eax, [esi+esi*2] .text:0100155B lea eax, [ecx+eax*4] .text:0100155E push eax .text:0100155F call GetDLLServiceMain .text:01001564 mov ebp, eax ; dll ServiceMain Function address .text:01001566 .text:01001566 loc_1001566: ; CODE XREF: FuncServiceMain+21j .text:01001566 ; FuncServiceMain+4Cj .text:01001566 push ebx .text:01001567 call ds:LeaveCriticalSection .text:0100156D test ebp, ebp .text:0100156F jz short loc_100157B .text:01001571 push [esp+10h+arg_4] .text:01001575 push [esp+14h+arg_0] .text:01001579 call ebp .text:0100157B .text:0100157B loc_100157B: ; CODE XREF: FuncServiceMain+6Bj .text:0100157B pop edi .text:0100157C pop esi .text:0100157D pop ebp .text:0100157E pop ebx .text:0100157F pop ecx .text:01001580 retn 8 .text:01001580 FuncServiceMain endp ; sp = -8 ; ============================== FuncServiceMain() end ======================================== 由于svchost已经调用了StartServiceCtrlDispatcher来服务调度函数,因此我们在实现DLL实现时就不用了,这主要是因为一个进程只能调用一次StartServiceCtrlDispatcher API。但是需要用 RegisterServiceCtrlHandler 来注册响应控制请求的函数。最后我们的DLL接收的都是unicode字符串。 由于这种服务启动后由svchost加载,不增加新的进程,只是svchost的一个DLL,而且一般进行审计时都不会去HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost 检查服务组是否变化,就算去检查,也不一定能发现异常,因此如果添加一个这样的DLL后门,伪装的好,是比较隐蔽的。 4. 安装服务与设置 要通过svchost调用来启动的服务,就一定要在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost下有该服务名,这可以通过如下方式来实现: 1) 添加一个新的服务组,在组里添加服务名 2) 在现有组里添加服务名 3) 直接使用现有服务组里的一个服务名,但本机没有安装的服务 4) 修改现有服务组里的现有服务,把它的ServiceDll指向自己 其中前两种可以被正常服务使用,如使用第1种方式,启动其服务要创建新的svchost进程;第2种方式如果该组服务已经运行,安装后不能立刻启动服务,因为svchost启动后已经把该组信息保存在内存里,并调用API StartServiceCtrlDispatcher() 为该组所有服务注册了调度处理函数,新增加的服务不能再注册调度处理函数,需要重起计算机或者该组的svchost进程。而后两种可能被后门使用,尤其是最后一种,没有添加服务,只是改了注册表里一项设置,从服务管理控制台又看不出来,如果作为后门还是很隐蔽的。比如EventSystem服务,缺省是指向es.dll,如果把ServiceDll改为EventSystem.dll就很难发现。 因此服务的安装除了调用CreateService()创建服务之外,还需要设置服务的ServiceDll,如果使用前2种还要设置svchost的注册表选项,在卸载时也更好删除增加的部分。 注: ImagePath 和ServiceDll 是ExpandString不是普通字符串。因此如果使用.reg文件安装时要注意。 5. DLL服务实现 DLL程序的编写比较简单,只要实现一个ServiceMain()函数和一个服务控制程序,在ServiceMain()函数里用RegisterServiceCtrlHandler()注册服务控制程序,并设置服务的运行状态就可以了。 另外,因为此种服务的安装除了正常的CreateService()之外,还要进行其他设置,因此更好实现安装和卸载函数。 为了方便安装,实现的代码提供了InstallService()函数进行安装,这个函数可以接收服务名作为参数(如果不提供参数,就使用缺省的iprip),如果要安装的服务不在svchost的netsvcs组里安装就会失败;如果要安装的服务已经存在,安装也会失败;安装成功后程序会配置服务的ServiceDll为当前Dll。提供的UninstallService()函数,可以删除任何函数而没有进行任何检查。 为了方便使用rundll32.exe进行安装,还提供了RundllInstallA()和RundllUninstallA()分别调用InstallService()及UninstallService()。因为rundll32.exe使用的函数原型是: void CALLBACK FunctionName( HWND hwnd, // handle to owner window HINSTANCE hinst, // instance handle for the DLL LPTSTR lpCmdLine, // string the DLL will parse int nCmdShow // show state ); 对应的命令行是rundll32 DllName,FunctionName [Arguments] DLL服务本身只是创建一个进程,该程序命令行就是启动服务时提供的之一个参数,如果未指定就使用缺省的svchostdll.exe。启动服务时如果提供第二个参数,创建的进程就是和桌面交互的。干掉Svchost.exe进程! 1.错误的解决 *** 描述 当我们按下Alt+Ctrl+Del打开任务管理器,发现进程中出现多个Svchost.exe,则表明系统中毒,我们首先将所有的Svchost结束掉,然后使用相关的杀毒工具查杀病毒。 注: 2003年的夏天,“冲击波”病毒横行的时候有一种说法就是Svchost.exe都是病毒,一看到就要删除。这种说法让电脑用户人心惶惶,因为每个使用 Windows XP系统的用户在按照文章中介绍的检查有无Svchost.exe的 *** 都可以找到几个Svchost.exe进程。 有关Svchost.exe详见: ;artid=6087605 2.方案由来及后果 在很多人的印象中,每个应用程序一般只对应一个进程,如 *** 对应 *** .EXE进程、记事本对应notepad.exe进程等。所以当看到系统有多个同样名字的进程时,总是会将其联想为病毒或者木马程序在作怪。如果不加思索,野蛮的将其中的某些Svchost.exe进程结束掉,会让系统的运行变得不稳定。 3.正确的解决办法 Windows 进程分为独立进程和共享进程两种,Svchost.exe属于后者。Windows XP为了节约系统资源,将很多个系统服务做为共享方式由Svchost.exe来启动。Svchost本身只是作为服务宿主,并不能实现任何服务功能, svchost通过调用相应服务的动态链接库(DLL)来启动该服务,而Windows将这些服务分为几个组,同组的服务共享一个Svchost进程,不同的组所指向的Svchost不同。通常情况下,Windows XP有4个由Svchost启动的服务组,也就是说Windows XP系统一般有4个Svchost.exe进程。当然某些应用程序或服务也有可能会调用Svchost,所以当你看到系统中有多余4个的 Svchost.exe进程,也不要盲目判断系统中了病毒。实际上Svchost.exe进程的个数跟是否中毒无直接关系。 小提示: ★ 笔者做了下面一个非常有趣的测试:打开任务管理器,切换到“进程”选项卡,首先手动结束掉由上到下的第三个Svchost.exe进程,结束完后系统会马上重新建立该进程,接下来我们手动结束掉由上到下的最后一个Svchost.exe进程,系统会出现一个类似中了冲击波病毒的对话窗口,并倒计时关机,这是由于该Svchost.exe进程引导RPC服务,终止该进程则导致RPC服务中断,系统自然会重新启动了。 ★Windows 2000中一般有两个Svchost.exe进程,Windows Server 2003则非常多,一般有6个。 既然系统中Svchost.exe进程数与是否中毒无关,我们究竟如何区别正常的和病毒伪造的Svchost进程呢? 我们可以使用下面两种 *** 来鉴别: *** 一: 在系统所在分区进行搜索,如果发现多个Svchost.exe文件,则系统很有可能中毒。正常的Svchost.exe位于%windir%\\ system32目录下,如果发现其它目录中有Svchost.exe文件,你就要小心了。例如冲击波的变种Win32.Welchia.Worm会在% windir%\\system32\\wins目录种下Svchost.exe文件。 *** 二: 察看Svchost.exe进程对应文件的路径。 Windows XP自带的任务管理器中无法察看,我们需要借助第三方工具,例如Windows优化大师自带的进程管理工具,运行它后定位到Svchost.exe进程,可以看到它对应的运行文件的真实路径。 小提示: ★不少木马程序会采用将自己伪装成跟常见进程相似的文件名或者相同的文件名但扩展名不相同,如果你在任务管理器中看到Scvhost.exe、Svch0st.exe等进程,肯定有木马已经植入你的系统。 ★ 很多朋友在查看CPU占用率时,一个叫做“System Idle Process”的进程常常会显示为90-99%。不必担心,实际上恰恰相反的是这里的90-99%是CPU资源空闲了出来的资源。这里的数字越
打不开SAP,请高手帮忙
应该是有病毒在你的PC里面,杀完毒之后你再试试。
如果有可能做个TRACER跟踪。