首钢鸥洲 二手房:Services.exe
来源:百度文库 编辑:九乡新闻网 时间:2024/04/28 23:23:44
Services.exe
services.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。终止进程后会重启。
进程文件:
services 或者 services.exe进程名称:
Windows Service Controller描述
正常的services.exe应位于%systemroot%\System32文件夹中,也就是在进程里用户名显示为“system”,不过services也可能是W32.Randex.R(储存在%systemroot%\system32\目录)和Sober.P (储存在%systemroot%\Connection Wizard\Status\目录)木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除。 英文描述: services.exe is a part of the Microsoft Windows Operating System and manages the operation of starting and stopping services. This process also deals with the automatic starting of services during the computers boot-up and the stopping of servicse durin 出品者: Microsoft Corp. 属于:Microsoft Windows Operating System 系统进程: 是 后台程序: 是 使用网络: 否 硬件相关: 否 常见错误: 未知N/A 内存使用: 1336kb 安全等级 (0-5): 0 间谍软件: 否 Adware: 否 广告软件: 否 木马: 否占用内存
长时间使用电脑会导致services.exe占用大量内存,其主要原因是Event Log过多,而services.exe启动时会加载Event log。由此使得进程占用大量内存。 解决方法:“控制面板”-“管理工具”-“事件查看器”里,把三种事件日志全部清空。病毒伪装
基本信息
进程文件:services.exe 文件版本:未知N/A 文件大小:33,792 字节 所在系统:Win9x, WinMe, WinNT, Win2000, WinXp, Win2003 所在位置:C:\WINDOWS\system MD5校验码:9881D76DFC1D1F40366C62246307C12F 进程名称:Trojan.Win32.Agent.axx; Dropper.Win32.InsteadMem.b; Win32.Troj.Agent.33792 描 述:services.exe是MSN蠕虫变种,向MSN联系人发送不同语言的诱惑文字消息和带毒压缩包,当联系人接收并打开带毒压缩包中的病毒文件时系统受到感染。 出 品 者:未知N/A 属 于:未知N/A 系统进程:否后台程序:是 使用网络:是 硬件相关:否 常见错误:未知N/A 内存使用:未知N/A 风险等级(0-5):4 间谍软件:否 广告软件:否 病毒文件:是 木马文件:否
技术分析
========== MSN蠕虫变种,向MSN联系人发送不同语言的诱惑文字消息和带毒压缩包,当联系人接收并打开带毒压缩包中的病毒文件时系统受到感染。 病毒运行后复制自身到系统目录: %systemroot%\system\services.exe 创建包含自身的带毒ZIP压缩包: %systemroot%\IMG0024.zip 压缩包中包含的病毒文件名为:IMG0017-WWW.PHOTOUPLOAD.COM 创建启动项: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Windows Services Registry"="%Windows%\system\services.exe" 在Windows防火墙中添加自身到例外列表: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "%systemroot%\system\services.exe"="%Windows%\system\services.exe:*:Enabled:Messenger Sharing" 设置注册表信息: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control] "WaitToKillServiceTimeout"="7000" 根据染毒系统的语言向MSN联系人发送相应的诱惑文字消息,同时发送带毒压缩包IMG0024.zip诱使联系人接收打开: ay no ese pelo fue lo mas chistoso...q estabas pensando jajaja yo me recuerdo cuando tuvistes el pelo asi oye ponga esa foto en tu myspace como la foto principal voy a poner esa foto de nosotros en mi blog ya esa foto de tu y yo la voy a poner en myspace hola esas son las fotos jaja debes poner esa foto como foto principal en tu myspace o algo :D oye voy a agregar esa foto a mi blog ya jaja recuerda cuando tuviste el pelo asi oye voy a poner esa foto de nosotros en mi myspace :-> Per favore nessuno lasciare vede le nostre foto Io ricordo quando abbiamo portato questa foto Caricher?questa foto al mio myspace adesso 省略。。。 尝试连接远程IRC:sz.secdreg.org 清除步骤 ( 需要用的工具请先下载:http://www.antidu.cn/board/helpst/ ) 1. 删除病毒创建的启动项: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Windows Services Registry"="%Windows%\system\services.exe" 2. 重新启动计算机 3. 删除病毒文件: %systemroot%\system\services.exe %systemroot%\IMG0024.zip 4. 删除Windows防火墙例外列表中的“Messenger Sharing”项: 该项对应病毒文件:%systemroot%\system\services.exe 5. 设置注册表信息: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control] "WaitToKillServiceTimeout"="20000" ( 如果大家还是不明白的话,可以去找专杀工具 http://www.antidu.cn/board/zsst/ ) 注释: services.exe 是存放在目录 C:\Windows\System32。已知的 Windows XP 文件大小为 108,032 字节 (占总出现比率 81% ),108,544 字节,101,376 字节,279,552 字节,279,040 字节,110,592 字节,111,104 字节,110,080 字节,103,936 字节。 services.exe 是 Windows 系统文件。 程序是不可见的。 这个文件是由 Microsoft 所签发。 总结在技术上威胁危险度是 6% , 但是也可以参考 用户意见。 如果 services.exe 位于在目录 C:\Windows\System32\drivers下,那么威胁危险度是 77% 。文件大小是 546,816 字节 (占总出现比率 59% ),19,456 字节,94,208 字节,26,624 字节,13,824 字节,18,944 字节,14,336 字节,16,384 字节,32,768 字节,445,353 字节,23,552 字节,14,848 字节,1,018,956 字节,33,280 字节,270,445 字节,7,168 字节。这个不是 Windows 系统文件。 程序是不可见的。 文件存放于 Windows 目录但并非系统核心文件。 这个进程打开接口连到局域网或互联网。 services.exe 是有能力可以 接到互联网,监控应用程序,纪录输入。 [1]详细手动清除services.exe 病毒步骤 一、注册表:先使用注册表修复工具,或者直接使用regedit修正以下部分 1.SYSTEM.INI (NT系统在注册表: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon) shell = Explorer.exe 1 修改为shell = Explorer.exe 2.将 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下的 Torjan Program----------C:WINNTservices.exe删除 3. HKEY_Classes_root.exe 默认值 winfiles 改为exefile 4.删除以下两个键值: HKEY_Classes_rootwinfiles HKEY_Local_machinesoftwareclasseswinfiles 5. 打开注册表编辑器,依此分别查找“rundll32.com”、“finder.com”、“command.pif”,把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe” 6. 查找“iexplore.com”的信息,把找到的内容里面的“iexplore.com”改为“iexplore.exe” 7. 查找“explorer.com”的信息,把找到的内容里面的“explorer.com”改为“explorer.exe” 8. 查找“iexplore.pif”,应该能找到类似“%ProgramFiles%Common Filesiexplore.pif”的信息,把这内容改为“C:\Program FilesInternet Exploreriexplore.exe” 9. 删除病毒添加的文件关联信息和启动项: [HKEY_CLASSES_ROOTwinfiles] [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] “Torjan Program”=“%Windows%services.exe” [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices] “Torjan Program”=“%Windows%services.exe” [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon] “Shell”=“Explorer.exe 1” 改为 “Shell”=“Explorer.exe” 10. 这些是病毒释放的一个VB库文件(MSWINSCK.OCX)的相关信息,不一定要删除: HKEY_CLASSES_ROOTMSWinsock.Winsock HKEY_CLASSES_ROOTMSWinsock.Winsock.1 HKEY_CLASSES_ROOTCLSID{248DD896-BB45-11CF-9ABC-0080C7E7B78D} HKEY_CLASSES_ROOTCLSID{248DD897-BB45-11CF-9ABC-0080C7E7B78D} HKEY_CLASSES_ROOTInterface{248DD892-BB45-11CF-9ABC-0080C7E7B78D} HKEY_CLASSES_ROOTInterface{248DD893-BB45-11CF-9ABC-0080C7E7B78D} HKEY_CLASSES_ROOTTypeLib{248DD890-BB45-11CF-9ABC-0080C7E7B78D} 注:因为病毒修改了很多关联信息,所以在那些病毒文件没有被删除之前,请不要做任何多余的操作,以免激活病毒 二、然后重启系统,删除以下文件部分,注意打开各分区时,先打开“我的电脑”后请使用右键单击分区,选“打开”进入。或者直接执行附件的Kv.bat来删除以下文件 c:antorun.inf (如果你有多个分区,请检查其他分区是否有这个文件,有也一并删除) %programfiles%common filesiexplore.pif %programfiles%Internat exploreriexplore.com %windir%1.com %windir%exeroute.exe %windir%explorer.com %windir%finder.com %windir%mswinsck.ocx %windir%services.exe %windir%system32command.pif %windir%system32dxdiag.com %windir%system32finder.com %windir%system32msconfig.com %windir%system32 egedit.com %windir%system32 undll32.com 删除以下文件夹: %windir%debug %windir%system32NtmsData
Services.exe
Mastering Windows Services
Windows Media Services
SNS-Social Networking Services
Web Services 简介
systray.exe
update.exe
msconfig.exe
exe dll
regedit.exe
svchost.exe
msfeedssync.exe
Regedit.exe与Regedt32.exe
Microsoft Internet Information Services (IIS)...
Azure Services Platform Step by Step1
Chinese vice premier urges better services fo...
Algeria security services investigate arms sm...
永豐銀行信用卡服務網 Bank Sinopac Card Services
Bullet services to 'stay slow' during checks
nc.exe怎么使用!
explorer.exe应用程序错误
netsh.exe简介
如何禁用ctfmon.exe
让EXE导出函数