能清除病毒查杀工具
1。的Svchost.exe病毒手动清除看:svchost.exe进程是什么
在开始菜单的运行中键入cmd,出现命令提示符,输入tasklist命令; / SVC>C: 1.txt(例如:C:文件和设置管理员>任务列表/ SVC>C: 1。txt),会在C盘根目录生成1.txt文件,打开1.txt可以看到如下:
发现svchost.exe进程PID值的服务的名称。
******************************************************************************
图像名称pid服务
=========================历史=============================================
系统空闲进程0 n
系统4 N
smss.exe 1168 N
什么1228 N
winlogon.exe 1260 N
Services.exe的1308事件,PlugPlay
1320 protectedstorage PolicyAgent lsass.exe,,SamSs
1484 ibmpmsvc ibmpmsvc.exe
1520 ati2evxx.exe ATI热键Poller
1544 dcomlaunch Svchost.exe,TermService
svchost.exe 1684 RPCSS
380 audiosrv Svchost.exe,比特,浏览器,cryptsvc,DHCP,
事件系统,fastuserswitchingcompatibility,
helpsvc,lanmanserver,lanmanworkstation,
netman,NLA、RasMan、进度、seclogon,
桑斯,访问共享,ShellHWDetection,
TapiSrv,主题,trkwks,W32Time,WinMgmt,
Wscsvc,wuauserv,无线网络配置服务
420 btwdins btwdins.exe
ati2evxx.exe 456 N
624 evteng evteng.exe
812 s24eventmonitor s24evmon.exe
976 dnscache Svchost.exe
svchost.exe 1192警告,此时,远程注册表操作,SSDPSrv,
网络客户端
spoolsv.exe 1852卷轴
272 ipssvc ipssvc.exe
288 acprfmgrsvc acprfmgrsvc.exe
guard.exe AVG反间谍软件保护1064
1124 AVP avp.exe
1284 mdnsresponder.exe Bonjour服务
inetinfo.exe 1848 IISADMIN,W3SVC
3464 interbaseguardian ibguard.exe
3556 regsrvc regsrvc.exe
3596 stisvc Svchost.exe
3968 suservice suservice.exe
3788 tphdexlgsvc tphdexlg.exe
3804 tpkmpsvc tpkmpsvc.exe
3836 tvtsched.exe TVT调度器
3920 umwdf wdfmgr.exe
3956 vmauthdservice vmware-authd.exe
3576 vmount2 vmount2.exe
4112 vmnat.exe VMware NAT服务
4360 vmnetdhcp vmnetdhcp.exe
4388 acsvc acsvc.exe
4684 interbaseserver ibserver.exe
explorer.exe 5416 N
5704 alg.exe ALG
syntpenh.exe 3776 N
svcguihlpr.exe 4912 N
tphkmgr.exe 5088 N
unavtray.exe 5120 N
tpshocks.exe 5136 N
tponscr.exe 4532 N
avp.exe 4648 N
tpscrex.exe 4412 N
cravgas.exe 5196 N
ctfmon.exe 5284 N
vstart.exe 6020 N
qq.exe 6124 N
txplatform.exe 5584 N
4164 comsysapp dllhost.exe
davcdata.exe 1232 N
maxthon.exe 2212 N
emeditor.exe 2004 N
cmd.exe 6360 N
conime.exe 2928 N
Wmiprvse.exe 5552 N
tasklist.exe 1900 N
******************************************************************************
如果你看到服务Svchost.exe过程背后的消息是没有,而不是一个特定的服务,它是病毒的进程,病毒进程对应的PID数值记录(进程标识符),你可以在任务管理器的进程列表中找到它,在整个过程结束后。在C Svchost.exe文件路径的搜索也可以使用第三方工具直接查看过程中,正常的Svchost.exe文件位于%systemroot%system32目录,和Svchost.exe假病毒或木马文件将在其他目录,如w32.welchina.worm假Svchost.exe病毒隐藏在Windows System32◎胜目录。删除等数据可以完全删除病毒。
二,Svchost.exe病毒先进的欺骗
使用类似的系统服务启动模式的一些高级病毒,通过加载病毒程序真正的Svchost.exe进程,Svchost.exe决定列表加载通过注册表数据服务,所以病毒通常在注册表中用以下方法加载:添加一个新的服务组,添加组名病毒服务在现有服务组直接添加病毒服务名称修改现有服务组现有服务属性,修改servicedll关键点判断方法:病毒程序通过真正的Svchost.exe进程加载,需要修改注册表数据,可以打开{ hkey_local_machine 软件微软 WindowsNT currentversion svchost的},再没有增加新的观测服务组,同时要注重服务组列表,观察有没有可疑的服务名称,一般来说,病毒会在不添加唯一一个服务名称,往往选择更多的加载服务,对两组LocalService和netsvcs干扰分析,并指向病毒程序通过修改服务属性,很难通过注册表判断。然后你可以使用服务管理专家,打开LocalService和netsvcs分支分别服务属性逐一检查正确的服务清单,尤其要注意服务描述信息的所有英语,很可能是第三方安装的服务,同时要结合它的文件描述、版本、公司和其他相关信息,综合判断。例如,PortLess BackDoor的木马程序,在服务列表中可以在服务描述看到;Intranet services,和文件的版本,所有的公司的描述信息是空的,如果微软的系统服务程序是绝对不会出现这现象的一种。从C开始: Windows System32 Svchost.exe K信息netsvcs你可以看到,这是一个典型的Svchost.exe过程的加载和运行的马,知道原理,明确的方法很简单:先用服务管理专家停止服务操作,然后运行REGEDIT.EXE打开注册表编辑器,{ hkey_local_machine 系统 CurrentControlSet 删除
服务 IPRIP }主键,重新启动计算机,然后删除%systemroot%system32目录在木马的源程序,svchostdll.dll通过及时调度,发现同一时间木马安装portlessinst。exe,可以deleted.svchost.exe是NT核心系统的一个非常重要的的过程,这是必不可少的2000和XP。许多病毒和木马也会调用它。
三、Svchost.exe病毒特异性杀伤工具
Svchost.exe病毒特异性杀伤下载:autorun病毒后卫/ autoguarder2下载