svch0st.exe病毒手工清除方法

最新推荐文章于 2024-11-08 14:24:57 发布
最新推荐文章于 2024-11-08 14:24:57 发布
阅读量359 收藏
点赞数
文章标签: 操作系统
很不幸感染了这支,这是从别的网友那边转过来的,保留一下以后用得着 e14.gif
svch0st.exe和系统进程svchost.exe只差一个字符,注意svch0st.exe中的0这个是数字零,而系统进程svchost.exe中的o是字母O。
有关该病毒的技术报告如下:
病毒名称:"网银大盗Ⅱ"(Troj_Dingxa.A)
病毒类型:木马
感染系统:Win9x/WinMe/WinNT/Win2000
      /WinXP/Win2003
病毒长度:16,284字节
传播方式:网络
1、生成病毒文件
病毒运行后在系统文件夹%System%下创建自身的副本,文件名称为svch0st.exe。
(其中,%System%在Windows 95/98/Me 下为C:WindowsSystem,在Windows NT/2000下为C:WinntSystem32,在Windows XP下为 C:WindowsSystem32)
2、修改注册表
病毒修改注册表,以达到随系统启动而自动运行的目的,在
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrent VersionRun下创建:
"svch0st.exe" = "%System%svch0st.exe"
"taskmgr.exe" = "%System%svch0st.exe"
3、窃取个人网上银行信息
病毒运行后检查IE窗口标题栏,判定当前窗口是否为网上银行的登陆页面,涉及到国内多家银行的网上交易系统。一旦发现当前IE窗口为上述银行的登陆页面,病毒立即开始记录键盘输入的所有键值,记录的键值几乎包括了所有可能的键盘录入。窃取的用户信息包括网上银行的帐号、密码、验证码等。
4、发送窃取信息到指定地址
病毒截获被感染计算机所输入的键盘值后,将其窃取到的信息发送到指定的地址。
清除方法:
关闭系统还原,开始-运行:msconfig (运行系统配置程序)
在启动项中取消"svch0st.exe" = "%System%svch0st.exe"和 "taskmgr.exe" = "%System%svch0st.exe" 两项前面的勾。
打开任务管理器终止svch0st.exe,要看清楚不要弄错了。
运行系统搜索功能,并打开高级选项,查找隐藏的文件,查找svch0st.exe并删除。[@more@]

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/7192429/viewspace-919548/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/7192429/viewspace-919548/

csdn00668
关注
手动删除SVCH0ST.EXE方法
weixin_33757609的博客
12-24 380
       最近几天在办公室的计算机上又发现了一种病毒,在进程管理器中多出了两个进程:SVCH0ST.EXE、IEXPLORE.EXE,经一番查看揭开了它们的真面目,现将清除这种病毒方法总结如下:   病毒特征说明:   1、SVCH0ST.EXE进程,乍一看酷似系统进程SVCHOST.EXE,但是仔细查看可以发现二者的差异,前者是数字“0”,而后者是字母“O”。   2、I...
Svchost.exe病毒的两种情况
热门推荐
shirley的专栏
04-13 2万+
1.利用假冒Svchost.exe名称的病毒程序 这种方式运行的病毒并没有直接利用真正的Svchost.exe进程,而是启动了另外一个名称同样是Svchost.exe病毒进程,由于这个假冒的病毒进程并没有加载系统服务,它和真正的Svchost.exe进程是不同的,只需在命令行窗口中运行一下“Tasklist /svc”,如果看到哪个Svchost.exe进程后面提示的服务信息是“暂缺”,而不
Svchost.exe病毒的简单处理
xiacsd的专栏
10-20 2万+
Svchost.exe占用内存过大解决   1.当发现Svchost.exe不在%systemroot%\System32目录中的,可以安全删除,同时在注册表中查找对应的注册项删除掉。 或用tasklist/svc命令查看svchost.exe 右边的服务是不是“暂缺”,是的话为中毒了。   2.Svchost.exe在%systemroot%\System32目录,说明Svch
Windows内核Shellcode获取ntoskrnl.exe基址
Sven的忘却日记
07-12 723
使用NASM编译以下汇编代码 BITS 64 ORG 0 section .text global _start _start: push rbx mov rax,QWORD [gs:0x38] mov rax,QWORD [rax+0x4] shr rax,0xc shl rax,0xc _x64_find_nt_walk_page: mov rbx,QWORD [rax] ...
如何查杀运行状态下的EXE、DLL病毒
11-15
在进程中可发现的单进程或双进程EXE病毒或木马程序,例如`svch0st.exe`这类可疑进程,通常需要采取特定策略进行处理。 1. **单进程EXE病毒或木马程序**: - 部分杀毒软件可以直接发现并终止此类进程。 - 如果杀毒...
勒索病毒与大家分享tpmagentservice.dll和TrustedHostServeces.exe
爱干点啥干点儿啥
01-27 1万+
有大约56个DLL文件。通过svchost.exe和spoolsv.exe,注入到系统进程。 会在 C:\windows\SecureBootThemes\Microsoft C:\windows\System32\SecureBootThemes 俩文件夹下面。 通常有两个配置文件。svchost.xml和spoolsv.xml,日志文件为stage2.txt 这是第一个svch
教你3招从进程中判断出病毒和木马
08-22
例如,一个名为`svch0st.exe`或`explore.exe`的进程可能就是病毒伪装的结果。这些伪造的进程名通常会在原名的基础上做一些微小的改动,如更换字母、添加数字等,以混淆视听。为了识别这类进程,用户可以通过检查进程...
HTML文件中病毒,文件最下面附有<SCRIPT Language=VBScript><!-- DropFileName = “svchost.exe
qq_44371321的博客
01-18 2486
HTML文件最后带有: <SCRIPT Language=VBScript><!-- DropFileName = "svchost.exe" WriteData = "4D5A90000300000004000000FFFF0000B8000000000000004000000000000000000000000000000000000000000000000000000000000000000000008800000009DAF5C5C824EA25F0055C7EB55610FA4A
病毒木马隐藏策略:进程鉴别技巧与专业工具应用
首先,"以假乱真"是指病毒通过修改正常进程的名称,如将svchost.exe变为svch0st.exe或iexplorer.exe,这种微妙的变化可能导致用户难以察觉,混淆视听。用户必须仔细检查进程名称,留意细微差别。 其次,"偷梁换柱...
简单方法删除spoolsv.exe病毒
新罗月夜
06-15 1万+
         无意间利用“恶意软件清理助手”检查系统的时候,发现竟然感染了spoolsv病毒,居然无法清理,总是有残余文件未被清理,于是上google搜,结果发现这个病毒的删除方法有很多种,尝试了几种后发现效果不是很好,而且有的方法竟然巨麻烦。没有办法只好自己想办法了, 结果被我发现一个简单的方法,问题解决 :)        首先在被感染的及其上会发现多处几个目录
Svchost.exe进程详解及Svchost.exe病毒清除方法
韩义--廊坊师范学院信息技术提高班第九期
06-24 2万+
这几天在宿舍上网的时候其他的舍友反映网络特别的卡。不知道是什么原因。然后我就发现自己的电脑有一个程序,自己走流量而且每秒能达100kb以上对于宿舍8个人共用的一个4M的网线来说已经算是占了好大一部分网速了。在金山流量监控上发现这个程序叫Svchost.exe。 这是一个什么程序呢。然后我就尝试禁用。但我发现win7的任务管理器的进程中是找不到这个进程的。然后我通过上网了解了这个进程。 s
svchost.exe病毒
IT工程师随手日记
04-09 7230
前面的方便你理解,毕竟现在中毒的情况不是常见,针对病毒的在文章后面。 svchost.exe是微软Windows操作系统中的系统文件,微软官方对它的解释是:svchost.exe 是从动态链接库(DLL) 中运行的服务的通用主机进程名称。这个程序对系统的正常运行是非常重要,而且是不能被结束的。许多服务通过注入到该程序中启动,所以会有多个该文件的进程。 但是我们打开任务管理器会发现...
亲历WannaCry变种病毒
weixin_33743880的博客
02-14 346
无意中发现电脑中了WannaCry的变种病毒,具体现象为cmd命令行netstat -an |find ":445" 有大量从本机外连其他机器445端口的TCP连接。WannaCry之前的版本会释放勒索程序对主机进行勒索,但变种中该程序在主流Windows平台下运行失败,无法进行勒索操作。但如果内网中多个主机感染了该病毒病毒会互相之间进行永恒之蓝漏洞***,该漏洞的利用使用...
Windows 8.1 SecureBoot未正确配置的解决方法
weixin_33774883的博客
03-16 792
使用联想Y510P,安装win8.1后破解 ,屏幕右下角老是显示 SecureBoot未正确配置的解决方法,以下是解决方案 步骤1:在机器重启至“Lenovo字样的屏幕”时,不停敲击“F2”键或“Fn+F2”键进入BIOS。选择Security选项,选择Reset to Setup Mode并敲回车,选择YES并按下“回车”键;   步骤2:选择Restore F...
【python GUI编码入门-21】如何用Tkinter创建一个记事本应用
木头大左的博客
11-08 88
在现代编程环境中,图形用户界面(GUI)应用程序的开发变得越来越重要。Python的Tkinter库是一个功能强大且易于使用的GUI工具包,非常适合初学者和有经验的开发者使用。本文将详细介绍如何使用Tkinter创建一个简易的记事本应用,涵盖从安装到实现各项功能的全过程。Tkinter是Python的标准GUI库,它提供了丰富的接口来创建窗口、对话框、按钮等常见的GUI组件。Tkinter具有良好的跨平台性,可以在Windows、Mac OS和Linux上运行。
linux rocky 9.4部署和管理docker harbor私有源
最新发布
xikui1551的博客
11-08 1221
rocky 部署Harbor私有镜像仓库
Electron + Vue3 开发桌面应用+附源码
m0_47483157的博客
11-08 972
Electron 是一个使用 JavaScript、HTML 和 CSS 构建跨平台桌面应用程序的框架。它由 GitHub 开发并维护,允许开发者使用现代 Web 技术创建原生应用程序。Electron 结合了 Chromium 渲染引擎和 Node.js 运行时环境,使得开发者可以在同一个项目中同时利用前端和后端的技术栈。Electron 主要特点跨平台:一次编写,可在 Windows、macOS 和 Linux 上运行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值