王朝百科
分享
 
 
 

Services.exe

王朝百科·作者佚名  2009-12-23  
宽屏版  字体: |||超大  

进程文件: services 或者 services.exe

进程名称: Windows Service Controller

描述services.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。终止进程后会重启。正常的services.exe应位于%systemroot%System32文件夹中,也就是在进程里用户名显示为“system”,不过services也可能是W32.Randex.R(储存在%systemroot%system32目录)和Sober.P (储存在%systemroot%Connection WizardStatus目录)木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除。

英文描述:

services.exe is a part of the Microsoft Windows Operating System and manages the operation of starting and stopping services. This process also deals with the automatic starting of services during the computers boot-up and the stopping of servicse durin

出品者: Microsoft Corp.

属于:Microsoft Windows Operating System

系统进程: 是

后台程序: 是

使用网络: 否

硬件相关: 否

常见错误: 未知N/A

内存使用: 1336kb

安全等级 (0-5): 0

间谍软件: 否

Adware: 否

广告软件: 否

木马: 否

占用内存长时间使用电脑会导致services.exe占用大量内存,其主要原因是Event Log过多,而services.exe启动时会加载Event log。由此使得进程占用大量内存。

解决方法:“控制面板”-“管理工具”-“事件查看器”里,把三种事件日志全部清空。

病毒伪装如果大家怀疑自己的电脑有毒请用在线杀毒http://www.antidu.cn/board/online/ 查杀

(果然,瑞星报毒)请大家先看完上面两段 在看这段 呵呵呵

技术分析

==========

MSN蠕虫变种,向MSN联系人发送不同语言的诱惑文字消息和带毒压缩包,当联系人接收并打开带毒压缩包中的病毒文件时系统受到感染。

病毒运行后复制自身到系统目录:

%systemroot%systemservices.exe

创建包含自身的带毒ZIP压缩包:

%systemroot%IMG0024.zip

压缩包中包含的病毒文件名为:IMG0017-WWW.PHOTOUPLOAD.COM

创建启动项:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

"Windows Services Registry"="%Windows%systemservices.exe"

在Windows防火墙中添加自身到例外列表:

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsList]

"%systemroot%systemservices.exe"="%Windows%systemservices.exe:*:Enabled:Messenger Sharing"

设置注册表信息:

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl]

"WaitToKillServiceTimeout"="7000"

根据染毒系统的语言向MSN联系人发送相应的诱惑文字消息,同时发送带毒压缩包IMG0024.zip诱使联系人接收打开:

ay no ese pelo fue lo mas chistoso...q estabas pensando

jajaja yo me recuerdo cuando tuvistes el pelo asi

oye ponga esa foto en tu myspace como la foto principal

voy a poner esa foto de nosotros en mi blog ya

esa foto de tu y yo la voy a poner en myspace

hola esas son las fotos

jaja debes poner esa foto como foto principal en tu myspace o algo :D

oye voy a agregar esa foto a mi blog ya

jaja recuerda cuando tuviste el pelo asi

oye voy a poner esa foto de nosotros en mi myspace :->

Per favore nessuno lasciare vede le nostre foto

Io ricordo quando abbiamo portato questa foto

Caricher?questa foto al mio myspace adesso

省略。。。

尝试连接远程IRC:sz.secdreg.org

清除步骤

( 需要用的工具请先下载:http://www.antidu.cn/board/helpst/ )

1. 删除病毒创建的启动项:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

"Windows Services Registry"="%Windows%systemservices.exe"

2. 重新启动计算机

3. 删除病毒文件:

%systemroot%systemservices.exe

%systemroot%IMG0024.zip

4. 删除Windows防火墙例外列表中的“Messenger Sharing”项:

该项对应病毒文件:%systemroot%systemservices.exe

5. 设置注册表信息:

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl]

"WaitToKillServiceTimeout"="20000"

( 如果大家还是不明白的话,可以去找专杀工具 http://www.antidu.cn/board/zsst/ )

注释: services.exe 是存放在目录 C:WindowsSystem32。已知的 Windows XP 文件大小为 108,032 字节 (占总出现比率 81% ),108,544 字节,101,376 字节,279,552 字节,279,040 字节,110,592 字节,111,104 字节,110,080 字节,103,936 字节。

services.exe 是 Windows 系统文件。 程序是不可见的。 这个文件是由 Microsoft 所签发。 总结在技术上威胁危险度是 6% , 但是也可以参考 用户意见。

如果 services.exe 位于在目录 C:WindowsSystem32drivers下,那么威胁危险度是 77% 。文件大小是 546,816 字节 (占总出现比率 59% ),19,456 字节,94,208 字节,26,624 字节,13,824 字节,18,944 字节,14,336 字节,16,384 字节,32,768 字节,445,353 字节,23,552 字节,14,848 字节,1,018,956 字节,33,280 字节,270,445 字节,7,168 字节。这个不是 Windows 系统文件。 程序是不可见的。 文件存放于 Windows 目录但并非系统核心文件。 这个进程打开接口连到局域网或互联网。 services.exe 是有能力可以 接到互联网,监控应用程序,纪录输入。

[1][2][3]详细手动清除services.exe 病毒步骤

一、注册表:先使用注册表修复工具,或者直接使用regedit修正以下部分

1.SYSTEM.INI (NT系统在注册表: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon)

shell = Explorer.exe 1 修改为shell = Explorer.exe

2.将 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下的

Torjan Program----------C:WINNTservices.exe删除

3. HKEY_Classes_root.exe

默认值 winfiles 改为exefile

4.删除以下两个键值:

HKEY_Classes_rootwinfiles

HKEY_Local_machinesoftwareclasseswinfiles

5. 打开注册表编辑器,依此分别查找“rundll32.com”、“finder.com”、“command.pif”,把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”

6. 查找“iexplore.com”的信息,把找到的内容里面的“iexplore.com”改为“iexplore.exe”

7. 查找“explorer.com”的信息,把找到的内容里面的“explorer.com”改为“explorer.exe”

8. 查找“iexplore.pif”,应该能找到类似“%ProgramFiles%Common Filesiexplore.pif”的信息,把这内容改为“C:Program FilesInternet Exploreriexplore.exe”

9. 删除病毒添加的文件关联信息和启动项:

[HKEY_CLASSES_ROOTwinfiles]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

“Torjan Program”=“%Windows%services.exe”

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices]

“Torjan Program”=“%Windows%services.exe”

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]

“Shell”=“Explorer.exe 1”

改为

“Shell”=“Explorer.exe”

10. 这些是病毒释放的一个VB库文件(MSWINSCK.OCX)的相关信息,不一定要删除:

HKEY_CLASSES_ROOTMSWinsock.Winsock

HKEY_CLASSES_ROOTMSWinsock.Winsock.1

HKEY_CLASSES_ROOTCLSID{248DD896-BB45-11CF-9ABC-0080C7E7B78D}

HKEY_CLASSES_ROOTCLSID{248DD897-BB45-11CF-9ABC-0080C7E7B78D}

HKEY_CLASSES_ROOTInterface{248DD892-BB45-11CF-9ABC-0080C7E7B78D}

HKEY_CLASSES_ROOTInterface{248DD893-BB45-11CF-9ABC-0080C7E7B78D}

HKEY_CLASSES_ROOTTypeLib{248DD890-BB45-11CF-9ABC-0080C7E7B78D}

注:因为病毒修改了很多关联信息,所以在那些病毒文件没有被删除之前,请不要做任何多余的操作,以免激活病毒

二、然后重启系统,删除以下文件部分,注意打开各分区时,先打开“我的电脑”后请使用右键单击分区,选“打开”进入。或者直接执行附件的Kv.bat来删除以下文件

c:antorun.inf (如果你有多个分区,请检查其他分区是否有这个文件,有也一并删除)

%programfiles%common filesiexplore.pif

%programfiles%Internat exploreriexplore.com

%windir%1.com

%windir%exeroute.exe

%windir%explorer.com

%windir%finder.com

%windir%mswinsck.ocx

%windir%services.exe

%windir%system32command.pif

%windir%system32dxdiag.com

%windir%system32finder.com

%windir%system32msconfig.com

%windir%system32 egedit.com

%windir%system32 undll32.com

删除以下文件夹:

%windir%debug

%windir%system32NtmsData

 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
如何用java替换看不见的字符比如零宽空格​十六进制U+200B
 干货   2023-09-10
网页字号不能单数吗,网页字体大小为什么一般都是偶数
 干货   2023-09-06
java.lang.ArrayIndexOutOfBoundsException: 4096
 干货   2023-09-06
Noto Sans CJK SC字体下载地址
 干货   2023-08-30
window.navigator和navigator的区别是什么?
 干货   2023-08-23
js获取referer、useragent、浏览器语言
 干货   2023-08-23
oscache遇到404时会不会缓存?
 干货   2023-08-23
linux下用rm -rf *删除大量文件太慢怎么解决?
 干货   2023-08-08
刀郎新歌破世界纪录!
 娱乐   2023-08-01
js实现放大缩小页面
 干货   2023-07-31
生成式人工智能服务管理暂行办法
 百态   2023-07-31
英语学习:过去完成时The Past Perfect Tense举例说明
 干货   2023-07-31
Mysql常用sql命令语句整理
 干货   2023-07-30
科学家复活了46000年前的虫子
 探索   2023-07-29
英语学习:过去进行时The Past Continuous Tense举例说明
 干货   2023-07-28
meta name="applicable-device"告知页面适合哪种终端设备:PC端、移动端还是自适应
 干货   2023-07-28
只用css如何实现打字机特效?
 百态   2023-07-15
css怎么实现上下滚动
 干货   2023-06-28
canvas怎么画一个三角形?
 干货   2023-06-28
canvas怎么画一个椭圆形?
 干货   2023-06-28
canvas怎么画一个圆形?
 干货   2023-06-28
canvas怎么画一个正方形?
 干货   2023-06-28
中国河南省郑州市金水区蜘蛛爬虫ip大全
 干货   2023-06-22
javascript简易动态时间代码
 干货   2023-06-20
感谢员工的付出和激励的话怎么说?
 干货   2023-06-18
 
>>返回首页<<
 
 
 
静静地坐在废墟上,四周的荒凉一望无际,忽然觉得,凄凉也很美
© 2005- 王朝网络 版权所有