• 所有问题

    • services.exe进程被挂木马

    services.exe进程内存使用增加到25000~30000K左右,联入网络后会自动打开本地1000后的端口连接外部电脑,并占用50%CPU,疑是灰鸽子变种
    使用360,瑞星和金山专杀都没有找到解决方法,传统的手工清除_hook.dll文件也无法找到,真心求助,因为实在是不想重装系统
    在WINDOWS\Prefetch目录下可以找到一个SERVICES.EXE-2F433351.pf的文件,删除后又会自动生成,是否和马有关?

    主要是电脑平时维护得好,没什么问题,这次是有其他人动了电脑才中招,怕重装系统是因为C盘有很多重要的文件不好转移,比较麻烦,有没有什么比较简单的重装系统的办法

    举报该问题
    推荐答案   2009-05-30
    一、注册表:先使用注册表修复工具,或者直接使用regedit修正以下部分

    1.SYSTEM.INI (NT系统在注册表: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon)

    shell = Explorer.exe 1 修改为shell = Explorer.exe

    2.将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的

    Torjan Program----------C:\WINNT\services.exe删除

    3. HKEY_Classes_root\.exe

    默认值 winfiles 改为exefile

    4.删除以下两个键值:

    HKEY_Classes_root\winfiles

    HKEY_Local_machine\software\classes\winfiles

    5. 打开注册表编辑器,依此分别查找“rundll32.com”、“finder.com”、“command.pif”,把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”

    6. 查找“iexplore.com”的信息,把找到的内容里面的“iexplore.com”改为“iexplore.exe”

    7. 查找“explorer.com”的信息,把找到的内容里面的“explorer.com”改为“explorer.exe”

    8. 查找“iexplore.pif”,应该能找到类似“%ProgramFiles%\Common Files\iexplore.pif”的信息,把这内容改为“C:\Program Files\Internet Explorer\iexplore.exe”

    9. 删除病毒添加的文件关联信息和启动项:

    [HKEY_CLASSES_ROOT\winfiles]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

    "Torjan Program"="%Windows%\services.exe"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

    "Torjan Program"="%Windows%\services.exe"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

    "Shell"="Explorer.exe 1"

    改为

    "Shell"="Explorer.exe"

    10. 这些是病毒释放的一个VB库文件(MSWINSCK.OCX)的相关信息,不一定要删除:

    HKEY_CLASSES_ROOT\MSWinsock.Winsock

    HKEY_CLASSES_ROOT\MSWinsock.Winsock.1

    HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}

    HKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}

    HKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}

    HKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}

    HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}

    注:因为病毒修改了很多关联信息,所以在那些病毒文件没有被删除之前,请不要做任何多余的操作,以免激活病毒

    二、然后重启系统,删除以下文件部分,注意打开各分区时,先打开“我的电脑”后请使用右键单击分区,选“打开”进入。或者直接执行附件的Kv.bat来删除以下文件

    c:\antorun.inf (如果你有多个分区,请检查其他分区是否有这个文件,有也一并删除)

    %programfiles%\common files\iexplore.pif

    %programfiles%\Internat explorer\iexplore.com

    %windir%\1.com

    %windir%\exeroute.exe

    %windir%\explorer.com

    %windir%\finder.com

    %windir%\mswinsck.ocx

    %windir%\services.exe

    %windir%\system32\command.pif

    %windir%\system32\dxdiag.com

    %windir%\system32\finder.com

    %windir%\system32\msconfig.com

    %windir%\system32\regedit.com

    %windir%\system32\rundll32.com

    删除以下文件夹:

    %windir%\debug

    %windir%\system32\NtmsData
    温馨提示:答案为网友推荐,仅供参考
    其他回答
    第1个回答  2009-05-30
    我觉得
    还是重装系统吧.

    我曾经也都是中毒后想尽一切办法杀毒
    各种杀毒软件.
    杀毒软件不行 手动杀毒
    手动不行找高手

    但是往往是毒花费很多时间才杀掉
    过一段时间你还是得重装系统
    因为系统会莫名变慢 还是会有影响
    大概是系统的某些东西被系统打乱了 没法恢复
    这个没深入研究过

    反正我现在中毒了都是直接重装了
    备份好了 重装也不是很麻烦 顶多两小时
    方便快捷无后患

    我现在的观点是
    杀毒软件是防止电脑中毒的
    中了毒 杀毒软件就没用了 - -!

    呵呵 重装吧本回答被提问者采纳
    相似回答
    360查出service.exe说是木马,是否可以删除?答:这个程序对你系统的正常运行是非常重要的。注意:services也可能是W32.Randex.R(储存在%systemroot%\system32\目录)和Sober.P (储存在%systemroot%\Connection Wizard\Status\目录)木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除。建议你按照360的提示处理一下,...
    ...下的文件svchost.exe和services.exe是特洛伊木马答:有可能这两个进程被木马注入了,或者感染了。不知是exe注入还是dll注入,你还是下载其他的杀软检测一下~
    services.exe木马问题答:木马程序”或“load=“木马”程序”更改为“run=”和“load=”;编辑system.ini文件,将[BOOT]下面的“shell=‘木马’文件”,更改为:“shell=explorer.exe”;在注册表中,用regedit对注册表进行编辑,先在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序...
    Services.exe是什么?如何辨别services.exe是否为病毒?答:正常的services.exe应位于%systemroot%\System32文件夹中,也就是在进程里用户名显示为“system”,不过services也可能是W32.Randex.R(储存在%systemroot%\system32\目录)和Sober.P (储存在%systemroot%\Connection Wizard\Status\目录)木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据...
    services进程好象中毒了,电脑暴卡答:你可能是中了Worm.NetSky.B木马了。1、先使用进程序管理器结束病毒进程services.exe"。不行就得用冰刀了。2、查找并删除病毒,进入系统目录程序(%Winnt\system32%或%Windows\system32%)。找到文件"services.exe“将其删除。(名字有可能不同。)清理注册表的时候最好先备份一份注册表。3、清除病毒...
    services.exe这个进程的CPU占用率很高,求解决方法??答:正常的services.exe 应位于%systemroot%\System32文件夹中,也就是在进程里用户名显示为“system”,不过services也可能是W32.Randex.R(储存在%systemroot%\system32\目录)和Sober.P (储存在%systemroot%\Connection Wizard\Status\目录)木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该...
    Services.exe是什么进程?Services.exe病毒吗答:正常情况下的services.exe文件该出现在C:\Windows\System32文件夹内,并且如果使用任务管理器查看应该显示示为“system”用户权限。如果是木马或者病毒,通过感染系统文件,允许黑客通过恶意软件远程访问您的计算机,并且会下载大量盗号木马驻留在您的系统中,一旦开启网游、网银等会自行盗取发送帐号密码。热衷于...
    Services.exe是什么进程?Services.exe病毒吗答:这个程序对你系统的正常运行是非常重要的。终止进程后会重启。病毒伪装 services.exe是MSN蠕虫变种,向MSN联系人发送不同语言的诱惑文字消息和带毒压缩包,当联系人接收并打开带毒压缩包中的病毒文件时系统受到感染。可以安装360杀毒和安全卫士对services.exe进行扫描,根据结果判断是不是病毒。
    求助:services.exe 应用程序错误答:services.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。注意:services也可能是W32.Randex.R(储存在%systemroot%\system32\目录)和Sober.P (储存在%systemroot%\Connection Wizard\Status\目录)木马
    大家正在搜
    services是什么进程dgservice.exeexplorer.exe怎么修复explorer.exe黑屏修复运行servicesservicesservices文件夹services是什么文件夹spoolsv.exe