-
svch0st.exe
鎖定
svch0st.exe是木馬生成的病毒文件。該木馬允許攻擊者訪問你的計算機,竊取密碼和個人數據。這個進程的安全等級是建議立即進行刪除。
- 進程文件
- svch0st or svch0st.exe
- 使用網絡
- 是
- 硬件相關
- 否
- 後台程序
- 是
svch0st.exe進程信息
進程文件: svch0st or svch0st.exe
進程位置: 系統或windir
程序名稱: Troj_Dingxa.A網銀大盜Ⅱ或Troj.Downloader.bk
又名:密碼監視者,QQ寵物陷阱,傳奇寶貝4.0木馬病毒
程序用途: 木馬病毒 用於竊密或自動從網上下載後門的木馬病毒。
svch0st.exe(8張)
屬於: N/A
系統進程: 是
使用網絡: 是
硬件相關: 否
常見錯誤: 未知N/A
內存使用: 未知N/A
間諜軟件: 是
廣告軟件: 是
Virus(病毒): 是
木馬: 是
後台程序: 是
使用網絡: 是
硬件相關: 否
安全等級: 低
svch0st.exe危害簡介
該病毒運行後在系統文件夾%System%下創建自身的副本,文件名為svch0st.exe。(其中,%System%在Windows 95/98/Me 下為C:\Windows\System,在Windows NT/2000下為C:\Winnt\System32,在Windows XP下為 C:\Windows\System32)
隨後病毒修改註冊表,以達到隨系統啓動而自動運行的目的,在
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run下創建:
"svch0st.exe" = "%System%\svch0st.exe"
"taskmgr.exe" = "%System%\svch0st.exe"
病毒運行後檢查IE窗口標題欄,判定當前窗口是否為網上銀行的登陸頁面,涉及到國內多家銀行的網上交易系統。一旦發現當前IE窗口為上述銀行的登陸頁面,病毒立即開始記錄鍵盤輸入的所有鍵值,記錄的鍵值幾乎包括了所有可能的鍵盤錄入。竊取的用户信息包括網上銀行的賬號、密碼、驗證碼等。當病毒截獲被感染計算機所輸入的鍵盤值後,將其竊取到的信息發送到指定的地址。
svch0st.exe清除方法
1、終止病毒進程
在Windows 9x/ME系統,同時按下CTRL+ALT+DELETE,在Windows NT/2000/XP系統中,同時按下CTRL+SHIFT+ESC,選擇"任務管理器--〉進程",選中正在運行的進程"svch0st.exe",並終止其運行。
2、註冊表的恢復
點擊"開始--〉運行",輸入regedit,運行註冊表編輯器,依次雙擊左側的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,並刪除面板右側的"svch0st.exe" = "%System%\\svch0st.exe"和 "taskmgr.exe" = "%System%\\svch0st.exe"
3、刪除病毒釋放的文件
點擊"開始--〉查找--〉文件和文件夾",查找文件"svch0st.exe",並將找到的文件刪除。
“下載者”(Troj.Downloader.bk)是一個會自動從網上下載後門的木馬病毒。該該病毒將拷貝其病毒文件到系統目錄下,命名為svch0st.exe,並改寫相關注冊表使任務管理器被禁用。該病毒在後台偷偷下載後門安裝,使用户主機受到後門病毒嚴重感染。
該病毒也是“灰鴿子變種E(Backdoor.HuiGeZi.e)”病毒,該病毒修改註冊表創建系統服務dnscacha實現自啓動,運行後,病毒會在系統目錄裏釋放病毒文件,文件名分別為“SVCH0ST.DLL”和“SVCH0ST.EXE”“SVCH0ST.bat”“SVCH0STkey.dll”“SVCH0ST_hook.dll”“Microsoft Winshell.exe”。 頻繁修改註冊表啓動項,保證下次系統啓動時,病毒可以自動運行。把“SVCH0ST.DLL”加載到系統進程explorer.exe中。由於目前該病毒採取了免殺技術,普通殺毒軟件無法查獲。
其默認屬性為隱藏,無存檔和只讀屬性。與其同一目錄還一個autorun.inf也是隻有隱藏屬性,其內容為
[AutoRun]
OPEN=svch0st.exe
shell\open=打開(&O)
shell\open\Command=svch0st.exe
shell\open\Default=1
shell\explore=資源管理器(&X)
shell\explore\Command=svch0st.exe
未運行的svch0st.exe,360和最新安天查不出來,卡巴最新可以查殺。(測試時間08.6.1,17:08)
- 詞條統計
-
- 瀏覽次數:次
- 編輯次數:24次歷史版本
- 最近更新: qxx2000蒙蒙