【】MicrosoftWindowsOperating系统经常见出错及应对办法_病毒安全_

1 services.exe-services-process简介

进程文件：services或services.exe

进程名称：Windows Service Controller

进程类别：其他进程

英语描述：

services.exe是Microsoft Windows操作系统的一部分，并且管理启动和停止服务的操作。此过程还涉及在计算机启动过程中自动启动服务以及停止服务durin

中文参考：

services.exe是Microsoft Windows操作系统的一部分。用于管理服务的启动和停止。此过程还处理在计算机启动和关闭时运行的服务。该程序对于系统的正常运行非常重要。注意：服务也可能是W3 2. Randex.R（存储在％systemroot％\ system32 \目录中）和Sober.P（存储在％systemroot％\ Connection Wizard \ Status \目录中）木马。该木马允许攻击者访问您的计算机并窃取密码和个人数据。建议立即删除该过程的安全级别。

生产商：Microsoft Corp。

属于：Microsoft Windows操作系统

系统进程：是

后台程序：是

与网络相关：否

常见错误：不适用

内存使用情况：不适用

安全级别（0- 5)：0

软件：否

广告软件：否

病毒：否

木马：不

这个后门还不错，也有点BT，总共生成了14个文件+ 3个快捷方式图标+ 2个文件夹。除了Run和System.ini之外，注册表部分还具有异常使用EXE文件关联的更多特征，请首先修改.exe的默认值，然后将.exe从默认的exefile更改为winfiles，然后创建winfiles项值使EXE文件关联和木马挂钩。也就是说，中毒后，任何EXE文件的属性，“应用程序”都变为“ EXE文件”

当然，清洁方法也很简单，但是您需要注意以下步骤：

一、注册表：首先使用注册表修复工具，或直接使用regedit纠正以下部分

1. SYSTEM.INI（注册表中的NT系统：HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon）

shell = Explorer.exe 1修改为shell = Explorer.exe

2.将HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run

Torjan程序---------- C：\ WINNT \ services.exe删除

3. HKEY_Classes_root \ .exe

winfiles的默认值更改为exefile

4.删除以下两个键值：

HKEY_Classes_root \ winfiles

HKEY_Local_machine \ software \ classes \ winfiles

二、然后重新启动系统并删除以下文件部分。请注意，打开每个分区时，请先打开“我的电脑”，然后右键单击该分区，然后选择“打开”以输入。或者直接执行附件中的Kv.bat删除以下文件

c：\ antorun.inf（如果您有多个分区，请检查其他分区中是否存在此文件，并将其删除）

％programfiles％\常用文件\ iexplore.pif

％programfiles％\ Internat Explorer \

％windir％\

％windir％\ exeroute.exe

％windir％\

％windir％\

％windir％\ mswinsck.ocx

％windir％\ services.exe

％windir％\ system32 \ command.pif

％windir％\ system32 \

％windir％\ system32 \

％windir％\ system32 \

％windir％\ system32 \

％windir％\ system32 \

删除以下文件夹：

％windir％\ debug

％windir％\ system32 \ NtmsData

一、病毒评估

1。该病毒的中文名称：SCO变种N

2。该病毒的英文名称：Worm.Novarg.N

3。病毒别名：Worm.Mydoom.m

4。病毒大小：28832字节

5。病毒类型：蠕虫病毒

6。病毒风险等级：★★★★

7。病毒传播方式：邮件

8。病毒相关系统：Windows 9X / NT / 2000 / XP

二、病毒的破坏

1。蠕虫病毒通过电子邮件传播，被感染后，它将首先在用户的本地计算机上搜索电子邮件地址，然后向其发送病毒电子邮件；

2。使用在本机上搜索到的电子邮件地址的后缀作为关键字，在四个搜索引擎（例如Google和Yahoo）上搜索相关的电子邮件地址，然后发送病毒电子邮件以自行传播。

3。发送的大量搜索请求大大降低了这四个搜索引擎的运行速度。

4。在感染了该病毒的计算机上，不能正常使用Internet Explorer，OE软件和Outlook软件。

5。该病毒发出大量病毒邮件，这严重消耗了网络资源，并可能导致LAN拥塞。

三、技术分析

1。蠕虫，使用Upx压缩。运行后，将您自己复制到％WINDOWS％目录，文件名为：java.exe。在文件名为services.exe的同一目录中释放后门病毒。

2。在注册表启动键“ \ CurrentVersion \ Run”下添加这两个文件的启动键值：JavaVM和Service，以自动实现病毒启动。

3。强制关闭IE浏览器，OE软件和Outlook软件，使其无法正常使用。

4。在本地计算机上搜索电子邮件地址：从注册表中读取系统当前使用的wab文件名，然后在其中搜索电子邮件地址；在Internet临时目录（本地设置\ Internet临时文件）中搜索文件，并从中提取电子邮件电子邮件地址；遍历所有驱动器号从C：到Z：的硬盘驱动器，并尝试从以下扩展文件中提取电子邮件地址：.adb，.asp，.dbx，.htm，.php，.pl，.sht，.tbb， .txt，.wab。

5。当病毒搜索电子邮件地址时，病毒将使用“ mailto +％本地系统找到的邮件地址”，“ reply +％本地系统找到的邮件地址％”，“ {| contact + | | e | |-||”。 | mail} +％“本地系统找到的电子邮件地址％”是关键字，并且使用以下四个搜索引擎来搜索电子邮件地址：、、、。使用此方法，病毒可以搜索很多可用的电子邮件地址。

6。病毒电子邮件的附件名称是：自述文件，说明，成绩单，邮件，信件，文件，文本，附件等。病毒附件的扩展名是：cmd，bat，com，exe，pif，scr，zip。

四、病毒解决方案：

1.升级

Rising将在同一天进行紧急升级。升级后的软件版本号为1 6. 3 7. 10。此版本的Rising防病毒软件可以彻底检查并杀死“ SCO变异N”病毒。 Rising杀毒软件标准版和版的用户都可以直接登录Rising网站（）下载升级包进行升级，或使用Rising杀毒软件的智能升级功能。

2.使用特殊的查杀工具

鉴于该病毒的特征，瑞星公司还为没有手动杀毒软件的用户提供了免费的杀毒工具。用户可以在网站上免费下载和使用它。

3.使用防病毒软件并下载版本

用户还可以使用Rising的防病毒和下载版本产品来删除该病毒。这两种产品是使用手机付费的。用户可以登录以使用防病毒产品，也可以登录以使用下载版本的产品。

4.寻求帮助

如果您遇到有关病毒的其他问题，用户可以随时拨打Rising Anti-Virus紧急电话：寻求反病毒专家的帮助！

5.手动删除

（[1）在系统中结束进程名称：Services.exe和java.exe（在％windows％目录中）

（[2）删除系统临时目录中的两个病毒数据文件：MLITGB.LOG和ZINCITE.LOG

（[3）删除病毒密钥的注册表项：

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run

“ JavaVM” =％WINDOWS％\ java.exe

和HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run

“服务” =％WINDOWS％\ Services.exe

注意：％WINDOWS％是系统的Windows目录，在Windows 9X / ME / XP下默认为：

C：\ WINDOWS，Win2K下的默认值为：C：\ WINNT

注意：％WINDIR％是Windows系统的安装目录。在Windows 95/98 / ME / XP操作系统下，默认值为：C：\ WINDOWS目录，在WINDOWS2000操作系统下，默认值为：C：\ WINNT目录。

五、安全建议：

1.建立良好的安全习惯。例如：不要打开一些来历不明的电子邮件和附件，不要去不太熟悉的网站，不要在没有防病毒处理的情况下执行从Internet下载的软件，等等。这些必要的习惯会使您的计算机更安全。

2.关闭或删除系统中不必要的服务。默认情况下，许多操作系统将安装一些辅助服务，例如FTP客户端，Telnet和Web服务器。这些服务为攻击者提供了便利，但对用户没有太大用处。如果将其删除，则可以大大降低受到攻击的可能性。

3.经常更新安全补丁。据统计，有80％的网络病毒通过系统安全漏洞传播，例如Worm King，Shockwave，Sasser等。因此，我们应定期从Microsoft网站下载最新的安全补丁，以防止它们发生。

4.使用复杂的密码。许多网络病毒通过猜测简单的密码来攻击系统。因此，使用复杂的密码将大大提高计算机的安全系数。

5.快速隔离受感染的计算机。当计算机发现病毒或异常时，应立即断开连接，以防止计算机感染更多病毒或成为传播源并再次感染其他计算机。

6.了解一些病毒知识。这样，可以及时发现新病毒，并可以采取相应的措施来保护其计算机在关键时刻免受病毒破坏。如果您了解注册表的某些知识，则可以定期检查注册表的自启动项中是否存在可疑的密钥；如果您了解一些内存知识，就可以经常检查内存中是否有可疑程序。

7.最好安装的防病毒软件进行全面监视。随着当今病毒数量的增加，使用防病毒软件进行防病毒已成为一种越来越经济的选择。但是，在安装了防病毒软件之后，用户应该经常升级，经常打开一些主要的监视程序（例如邮件监视程序），内存监视程序，并在遇到问题时等待问题并报告，这样才能真正保证计算机的安全性。

8.用户还应该安装个人防火墙软件以防止被黑客入侵。由于Internet的发展，用户计算机面临的黑客攻击问题变得越来越严重。许多网络病毒使用黑客方法来攻击用户的计算机。因此，用户还应该安装个人防火墙软件，并将安全级别设置为中或高。 ，从而有效地防止黑客对网络的攻击。

本文来自本站，转载请注明本文网址：
http://www.pc-fly.com/a/shouji/article-374181-1.html