Services.exe
进程文件: services 或者 services.exe
进程名称: Windows Service Controller
描述services.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。终止进程后会重启。正常的services.exe应位于%systemroot%System32文件夹中,也就是在进程里用户名显示为“system”,不过services也可能是W32.Randex.R(储存在%systemroot%system32目录)和Sober.P (储存在%systemroot%Connection WizardStatus目录)木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除。
英文描述:
services.exe is a part of the Microsoft Windows Operating System and manages the operation of starting and stopping services. This process also deals with the automatic starting of services during the computers boot-up and the stopping of servicse durin
出品者: Microsoft Corp.
属于:Microsoft Windows Operating System
系统进程: 是
后台程序: 是
使用网络: 否
硬件相关: 否
常见错误: 未知N/A
内存使用: 1336kb
安全等级 (0-5): 0
间谍软件: 否
Adware: 否
广告软件: 否
木马: 否
占用内存长时间使用电脑会导致services.exe占用大量内存,其主要原因是Event Log过多,而services.exe启动时会加载Event log。由此使得进程占用大量内存。
解决方法:“控制面板”-“管理工具”-“事件查看器”里,把三种事件日志全部清空。
病毒伪装如果大家怀疑自己的电脑有毒请用在线杀毒http://www.antidu.cn/board/online/ 查杀
(果然,瑞星报毒)请大家先看完上面两段 在看这段 呵呵呵
技术分析
==========
MSN蠕虫变种,向MSN联系人发送不同语言的诱惑文字消息和带毒压缩包,当联系人接收并打开带毒压缩包中的病毒文件时系统受到感染。
病毒运行后复制自身到系统目录:
%systemroot%systemservices.exe
创建包含自身的带毒ZIP压缩包:
%systemroot%IMG0024.zip
压缩包中包含的病毒文件名为:IMG0017-WWW.PHOTOUPLOAD.COM
创建启动项:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"Windows Services Registry"="%Windows%systemservices.exe"
在Windows防火墙中添加自身到例外列表:
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsList]
"%systemroot%systemservices.exe"="%Windows%systemservices.exe:*:Enabled:Messenger Sharing"
设置注册表信息:
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl]
"WaitToKillServiceTimeout"="7000"
根据染毒系统的语言向MSN联系人发送相应的诱惑文字消息,同时发送带毒压缩包IMG0024.zip诱使联系人接收打开:
ay no ese pelo fue lo mas chistoso...q estabas pensando
jajaja yo me recuerdo cuando tuvistes el pelo asi
oye ponga esa foto en tu myspace como la foto principal
voy a poner esa foto de nosotros en mi blog ya
esa foto de tu y yo la voy a poner en myspace
hola esas son las fotos
jaja debes poner esa foto como foto principal en tu myspace o algo :D
oye voy a agregar esa foto a mi blog ya
jaja recuerda cuando tuviste el pelo asi
oye voy a poner esa foto de nosotros en mi myspace :->
Per favore nessuno lasciare vede le nostre foto
Io ricordo quando abbiamo portato questa foto
Caricher?questa foto al mio myspace adesso
省略。。。
尝试连接远程IRC:sz.secdreg.org
清除步骤
( 需要用的工具请先下载:http://www.antidu.cn/board/helpst/ )
1. 删除病毒创建的启动项:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"Windows Services Registry"="%Windows%systemservices.exe"
2. 重新启动计算机
3. 删除病毒文件:
%systemroot%systemservices.exe
%systemroot%IMG0024.zip
4. 删除Windows防火墙例外列表中的“Messenger Sharing”项:
该项对应病毒文件:%systemroot%systemservices.exe
5. 设置注册表信息:
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl]
"WaitToKillServiceTimeout"="20000"
( 如果大家还是不明白的话,可以去找专杀工具 http://www.antidu.cn/board/zsst/ )
注释: services.exe 是存放在目录 C:WindowsSystem32。已知的 Windows XP 文件大小为 108,032 字节 (占总出现比率 81% ),108,544 字节,101,376 字节,279,552 字节,279,040 字节,110,592 字节,111,104 字节,110,080 字节,103,936 字节。
services.exe 是 Windows 系统文件。 程序是不可见的。 这个文件是由 Microsoft 所签发。 总结在技术上威胁危险度是 6% , 但是也可以参考 用户意见。
如果 services.exe 位于在目录 C:WindowsSystem32drivers下,那么威胁危险度是 77% 。文件大小是 546,816 字节 (占总出现比率 59% ),19,456 字节,94,208 字节,26,624 字节,13,824 字节,18,944 字节,14,336 字节,16,384 字节,32,768 字节,445,353 字节,23,552 字节,14,848 字节,1,018,956 字节,33,280 字节,270,445 字节,7,168 字节。这个不是 Windows 系统文件。 程序是不可见的。 文件存放于 Windows 目录但并非系统核心文件。 这个进程打开接口连到局域网或互联网。 services.exe 是有能力可以 接到互联网,监控应用程序,纪录输入。
[1][2][3]详细手动清除services.exe 病毒步骤
一、注册表:先使用注册表修复工具,或者直接使用regedit修正以下部分
1.SYSTEM.INI (NT系统在注册表: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon)
shell = Explorer.exe 1 修改为shell = Explorer.exe
2.将 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下的
Torjan Program----------C:WINNTservices.exe删除
3. HKEY_Classes_root.exe
默认值 winfiles 改为exefile
4.删除以下两个键值:
HKEY_Classes_rootwinfiles
HKEY_Local_machinesoftwareclasseswinfiles
5. 打开注册表编辑器,依此分别查找“rundll32.com”、“finder.com”、“command.pif”,把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”
6. 查找“iexplore.com”的信息,把找到的内容里面的“iexplore.com”改为“iexplore.exe”
7. 查找“explorer.com”的信息,把找到的内容里面的“explorer.com”改为“explorer.exe”
8. 查找“iexplore.pif”,应该能找到类似“%ProgramFiles%Common Filesiexplore.pif”的信息,把这内容改为“C:Program FilesInternet Exploreriexplore.exe”
9. 删除病毒添加的文件关联信息和启动项:
[HKEY_CLASSES_ROOTwinfiles]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
“Torjan Program”=“%Windows%services.exe”
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices]
“Torjan Program”=“%Windows%services.exe”
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
“Shell”=“Explorer.exe 1”
改为
“Shell”=“Explorer.exe”
10. 这些是病毒释放的一个VB库文件(MSWINSCK.OCX)的相关信息,不一定要删除:
HKEY_CLASSES_ROOTMSWinsock.Winsock
HKEY_CLASSES_ROOTMSWinsock.Winsock.1
HKEY_CLASSES_ROOTCLSID{248DD896-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOTCLSID{248DD897-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOTInterface{248DD892-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOTInterface{248DD893-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOTTypeLib{248DD890-BB45-11CF-9ABC-0080C7E7B78D}
注:因为病毒修改了很多关联信息,所以在那些病毒文件没有被删除之前,请不要做任何多余的操作,以免激活病毒
二、然后重启系统,删除以下文件部分,注意打开各分区时,先打开“我的电脑”后请使用右键单击分区,选“打开”进入。或者直接执行附件的Kv.bat来删除以下文件
c:antorun.inf (如果你有多个分区,请检查其他分区是否有这个文件,有也一并删除)
%programfiles%common filesiexplore.pif
%programfiles%Internat exploreriexplore.com
%windir%1.com
%windir%exeroute.exe
%windir%explorer.com
%windir%finder.com
%windir%mswinsck.ocx
%windir%services.exe
%windir%system32command.pif
%windir%system32dxdiag.com
%windir%system32finder.com
%windir%system32msconfig.com
%windir%system32 egedit.com
%windir%system32 undll32.com
删除以下文件夹:
%windir%debug
%windir%system32NtmsData