Services.exe

services 或者 services.exe

Windows Service Controller

正常的services.exe ^[1]  應位於%systemroot%\System32文件夾中，也就是在進程裏用户名顯示為“system”，不過services也可能是W32.Randex.R（儲存在%systemroot%\system32\目錄）和Sober.P （儲存在%systemroot%\Connection Wizard\Status\目錄）木馬。該木馬允許攻擊者訪問你的計算機，竊取密碼和個人數據。該進程的安全等級是建議立即刪除。

services.exe is a part of the Microsoft Windows Operating System and manages the operation of starting and stopping services. This process also deals with the automatic starting of services during the computers boot-up and the stopping of servicse durin

出品者：Microsoft Corp.

屬於：Microsoft Windows Operating System

硬件相關：否

常見錯誤：未知N/A

內存使用：1336kb

安全等級 (0-5): 0

間諜軟件：否

Adware: 否

廣告軟件：否

木馬： 否

本進程是和Windows系統一起啓動的，無論你使用的是Windows 2000還是Windows 7系統。由於其處理系統服務的啓動等重要功能，所以不建議大家將其結束。

長時間使用電腦會導致services.exe佔用大量內存，其主要原因是Event Log過多，而services.exe啓動時會加載Event log。由此使得進程佔用大量內存。

解決方法：“控制面板”-“管理工具”-“事件查看器”裏，把三種事件日誌全部清空。

==========

MSN蠕蟲變種，向MSN聯繫人發送不同語言的誘惑文字消息和帶毒壓縮包，當聯繫人接收並打開帶毒壓縮包中的病毒文件時系統受到感染。

病毒運行後複製自身到系統目錄：

%systemroot%\system\services.exe

創建包含自身的帶毒ZIP壓縮包：

%systemroot%\IMG0024.zip

壓縮包中包含的病毒文件名為：

創建啓動項：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Windows Services Registry"="%Windows%\system\services.exe"

在Windows防火牆中添加自身到例外列表：

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"%systemroot%\system\services.exe"="%Windows%\system\services.exe:*:Enabled:Messenger Sharing"

設置註冊表信息：

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]

"WaitToKillServiceTimeout"="7000"

根據染毒系統的語言向MSN聯繫人發送相應的誘惑文字消息，同時發送帶毒壓縮包IMG0024.zip誘使聯繫人接收打開：

ay no ese pelo fue lo mas chistoso...q estabas pensando

jajaja yo me recuerdo cuando tuvistes el pelo asi

oye ponga esa foto en tu myspace como la foto principal

voy a poner esa foto de nosotros en mi blog ya

esa foto de tu y yo la voy a poner en myspace

hola esas son las fotos

jaja debes poner esa foto como foto principal en tu myspace o algo :D

oye voy a agregar esa foto a mi blog ya

jaja recuerda cuando tuviste el pelo asi

oye voy a poner esa foto de nosotros en mi myspace :-＞

Per favore nessuno lasciare vede le nostre foto

Io ricordo quando abbiamo portato questa foto

Caricher?questa foto al mio myspace adesso

省略。

清除步驟

⒈ 刪除病毒創建的啓動項：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Windows Services Registry"="%Windows%\system\services.exe"

⒉ 重新啓動計算機

⒊ 刪除病毒文件：

%systemroot%\system\services.exe

%systemroot%\IMG0024.zip

⒋ 刪除Windows防火牆例外列表中的“Messenger Sharing”項：

該項對應病毒文件：%systemroot%\system\services.exe

⒌ 設置註冊表信息：

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]

"WaitToKillServiceTimeout"="20000"

註釋： services.exe 是存放在目錄 C:\Windows\System32。已知的 Windows XP 文件大小為 108,032 字節 （佔總出現比率 81%），108,544 字節，101,376 字節，279,552 字節，279,040 字節，110,592 字節，111,104 字節，110,080 字節，103,936 字節。

services.exe 是 Windows 系統文件。程序是不可見的。這個文件是由 Microsoft 所簽發。總結在技術上威脅危險度是 6%，但是也可以參考 用户意見。

如果 services.exe 位於在目錄 C:\Windows\System32\drivers下，那麼威脅危險度是 77%。文件大小是 546,816 字節 （佔總出現比率 59%），19,456 字節，94,208 字節，26,624 字節，13,824 字節，18,944 字節，14,336 字節，16,384 字節，32,768 字節，445,353 字節，23,552 字節，14,848 字節，1,018,956 字節，33,280 字節，270,445 字節，7,168 字節。這個不是 Windows 系統文件。程序是不可見的。文件存放於 Windows 目錄但並非系統核心文件。這個進程打開接口連到局域網或互聯網。services.exe 是有能力可以 接到互聯網，監控應用程序，紀錄輸入。

一、註冊表：先使用註冊表修復工具，或者直接使用regedit修正以下部分

⒈SYSTEM.INI （NT系統在註冊表：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon）

shell = Explorer.exe 1 修改為shell = Explorer.exe

⒉將 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下的

Torjan Program----------C:WINNTservices.exe刪除

⒊ HKEY_Classes_root.exe

默認值 winfiles 改為exefile

⒋刪除以下兩個鍵值：

HKEY_Classes_rootwinfiles

HKEY_Local_machinesoftwareclasseswinfiles

⒏ 查找“iexplore.pif”，應該能找到類似“%ProgramFiles%Common Filesiexplore.pif”的信息，把這內容改為“C:\Program FilesInternet Exploreriexplore.exe”

⒐ 刪除病毒添加的文件關聯信息和啓動項：

[HKEY_CLASSES_ROOTwinfiles]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

“Torjan Program”=“%Windows%services.exe”

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices]

“Torjan Program”=“%Windows%services.exe”

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]

“Shell”=“Explorer.exe 1”

改為

“Shell”=“Explorer.exe”

⒑ 這些是病毒釋放的一個VB庫文件（MSWINSCK.OCX）的相關信息，不一定要刪除：

HKEY_CLASSES_ROOTMSWinsock.Winsock

HKEY_CLASSES_ROOTMSWinsock.Winsock.1

HKEY_CLASSES_ROOTCLSID{248DD896-BB45-11CF-9ABC-0080C7E7B78D}

HKEY_CLASSES_ROOTCLSID{248DD897-BB45-11CF-9ABC-0080C7E7B78D}

HKEY_CLASSES_ROOTInterface{248DD892-BB45-11CF-9ABC-0080C7E7B78D}

HKEY_CLASSES_ROOTInterface{248DD893-BB45-11CF-9ABC-0080C7E7B78D}

HKEY_CLASSES_ROOTTypeLib{248DD890-BB45-11CF-9ABC-0080C7E7B78D}

注：因為病毒修改了很多關聯信息，所以在那些病毒文件沒有被刪除之前，請不要做任何多餘的操作，以免激活病毒

二、然後重啓系統，刪除以下文件部分，注意打開各分區時，先打開“我的電腦”後請使用右鍵單擊分區，選“打開”進入。或者直接執行附件的Kv.bat來刪除以下文件

c:antorun.inf （如果你有多個分區，請檢查其他分區是否有這個文件，有也一併刪除）

%programfiles%common filesiexplore.pif

%windir%exeroute.exe

%windir%explorer

%windir%finder

%windir%mswinsck.ocx

%windir%services.exe

%windir%system32command.pif

%windir%system32dxdiag

%windir%system32finder

%windir%system32msconfig

%windir%system32 egedi

%windir%system32 undll32

刪除以下文件夾：

%windir%debug

%windir%system32NtmsData

出現提示缺少exe文件問題的大部分原因是因該文件被木馬病毒破壞導致系統程序找不到此文件，出現錯誤提示框，或程序無法運行，解決此問題只需找到專業的exe文件下載網站，下載該文件後，找到適合程序的文件版本，複製到相應目錄。即可解決。

1、Windows 95/98/Me系統，則複製到C:\WINdows\system32\ 目錄下。

2、Windows NT/2000系統，則複製到C:\WINNT\system32\ 目錄下。

3、Windows XP系統，則複製到C:\WINdows\system32\ 目錄下。

4、Windows 7/8系統，則複製到C:\WINdows\system32\目錄下。