Services.exe

 

services.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。终止进程后会重启。

进程文件：

　　services 或者 services.exe

进程名称：

　　Windows Service Controller

描述

　　正常的services.exe应位于%systemroot%\System32文件夹中,也就是在进程里用户名显示为“system”，不过services也可能是W32.Randex.R(储存在%systemroot%\system32\目录)和Sober.P (储存在%systemroot%\Connection Wizard\Status\目录)木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议立即删除。　　英文描述:　　services.exe is a part of the Microsoft Windows Operating System and manages the operation of starting and stopping services. This process also deals with the automatic starting of services during the computers boot-up and the stopping of servicse durin　　出品者： Microsoft Corp.　　属于：Microsoft Windows Operating System　　系统进程： 是　　后台程序： 是　　使用网络： 否　　硬件相关： 否　　常见错误： 未知N/A　　内存使用： 1336kb　　安全等级 (0-5): 0　　间谍软件： 否　　Adware: 否　　广告软件： 否　　木马: 否

占用内存

　　长时间使用电脑会导致services.exe占用大量内存，其主要原因是Event Log过多，而services.exe启动时会加载Event log。由此使得进程占用大量内存。　　解决方法：“控制面板”-“管理工具”-“事件查看器”里，把三种事件日志全部清空。

病毒伪装

基本信息

　　 进程文件：services.exe 文件版本：未知N/A 文件大小：33,792 字节 所在系统：Win9x, WinMe, WinNT, Win2000, WinXp, Win2003 所在位置：C:\WINDOWS\system MD5校验码：9881D76DFC1D1F40366C62246307C12F 进程名称：Trojan.Win32.Agent.axx; Dropper.Win32.InsteadMem.b; Win32.Troj.Agent.33792 描　述：services.exe是MSN蠕虫变种，向MSN联系人发送不同语言的诱惑文字消息和带毒压缩包，当联系人接收并打开带毒压缩包中的病毒文件时系统受到感染。 出 品 者：未知N/A 属　于：未知N/A 系统进程：否
后台程序：是 使用网络：是 硬件相关：否 常见错误：未知N/A 内存使用：未知N/A 风险等级(0-5)：4 间谍软件：否 广告软件：否 病毒文件：是 木马文件：否

技术分析

　　==========　　MSN蠕虫变种，向MSN联系人发送不同语言的诱惑文字消息和带毒压缩包，当联系人接收并打开带毒压缩包中的病毒文件时系统受到感染。　　病毒运行后复制自身到系统目录：　　%systemroot%\system\services.exe　　创建包含自身的带毒ZIP压缩包：　　%systemroot%\IMG0024.zip　　压缩包中包含的病毒文件名为：IMG0017-WWW.PHOTOUPLOAD.COM　　创建启动项：　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]　　"Windows Services Registry"="%Windows%\system\services.exe"　　在Windows防火墙中添加自身到例外列表：　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]　　"%systemroot%\system\services.exe"="%Windows%\system\services.exe:*:Enabled:Messenger Sharing"　　设置注册表信息：　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]　　"WaitToKillServiceTimeout"="7000"　　根据染毒系统的语言向MSN联系人发送相应的诱惑文字消息，同时发送带毒压缩包IMG0024.zip诱使联系人接收打开：　　ay no ese pelo fue lo mas chistoso...q estabas pensando　　jajaja yo me recuerdo cuando tuvistes el pelo asi　　oye ponga esa foto en tu myspace como la foto principal　　voy a poner esa foto de nosotros en mi blog ya　　esa foto de tu y yo la voy a poner en myspace　　hola esas son las fotos　　jaja debes poner esa foto como foto principal en tu myspace o algo :D　　oye voy a agregar esa foto a mi blog ya　　jaja recuerda cuando tuviste el pelo asi　　oye voy a poner esa foto de nosotros en mi myspace :->　　Per favore nessuno lasciare vede le nostre foto　　Io ricordo quando abbiamo portato questa foto　　Caricher?questa foto al mio myspace adesso　　省略。。。　　尝试连接远程IRC：sz.secdreg.org　　清除步骤　　（ 需要用的工具请先下载：http://www.antidu.cn/board/helpst/ ）　　1. 删除病毒创建的启动项：　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]　　"Windows Services Registry"="%Windows%\system\services.exe"　　2. 重新启动计算机　　3. 删除病毒文件：　　%systemroot%\system\services.exe　　%systemroot%\IMG0024.zip　　4. 删除Windows防火墙例外列表中的“Messenger Sharing”项：　　该项对应病毒文件：%systemroot%\system\services.exe　　5. 设置注册表信息：　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]　　"WaitToKillServiceTimeout"="20000"　　（ 如果大家还是不明白的话，可以去找专杀工具 http://www.antidu.cn/board/zsst/ ）　　注释: services.exe 是存放在目录 C:\Windows\System32。已知的 Windows XP 文件大小为 108,032 字节 (占总出现比率 81% )，108,544 字节，101,376 字节，279,552 字节，279,040 字节，110,592 字节，111,104 字节，110,080 字节，103,936 字节。　　services.exe 是 Windows 系统文件。 程序是不可见的。 这个文件是由 Microsoft 所签发。 总结在技术上威胁危险度是 6% , 但是也可以参考 用户意见。　　如果 services.exe 位于在目录 C:\Windows\System32\drivers下，那么威胁危险度是 77% 。文件大小是 546,816 字节 (占总出现比率 59% )，19,456 字节，94,208 字节，26,624 字节，13,824 字节，18,944 字节，14,336 字节，16,384 字节，32,768 字节，445,353 字节，23,552 字节，14,848 字节，1,018,956 字节，33,280 字节，270,445 字节，7,168 字节。这个不是 Windows 系统文件。 程序是不可见的。 文件存放于 Windows 目录但并非系统核心文件。 这个进程打开接口连到局域网或互联网。 services.exe 是有能力可以 接到互联网，监控应用程序，纪录输入。　　^[1]详细手动清除services.exe 病毒步骤　　一、注册表：先使用注册表修复工具，或者直接使用regedit修正以下部分　　1.SYSTEM.INI （NT系统在注册表： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon）　　shell = Explorer.exe 1 修改为shell = Explorer.exe　　2.将 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下的　　Torjan Program----------C:WINNTservices.exe删除　　3. HKEY_Classes_root.exe　　默认值 winfiles 改为exefile　　4.删除以下两个键值：　　HKEY_Classes_rootwinfiles　　HKEY_Local_machinesoftwareclasseswinfiles　　5. 打开注册表编辑器，依此分别查找“rundll32.com”、“finder.com”、“command.pif”，把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”　　6. 查找“iexplore.com”的信息，把找到的内容里面的“iexplore.com”改为“iexplore.exe”　　7. 查找“explorer.com”的信息，把找到的内容里面的“explorer.com”改为“explorer.exe”　　8. 查找“iexplore.pif”，应该能找到类似“%ProgramFiles%Common Filesiexplore.pif”的信息，把这内容改为“C:\Program FilesInternet Exploreriexplore.exe”　　9. 删除病毒添加的文件关联信息和启动项：　　[HKEY_CLASSES_ROOTwinfiles]　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]　　“Torjan Program”=“%Windows%services.exe”　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices]　　“Torjan Program”=“%Windows%services.exe”　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]　　“Shell”=“Explorer.exe 1”　　改为　　“Shell”=“Explorer.exe”　　10. 这些是病毒释放的一个VB库文件（MSWINSCK.OCX）的相关信息，不一定要删除：　　HKEY_CLASSES_ROOTMSWinsock.Winsock　　HKEY_CLASSES_ROOTMSWinsock.Winsock.1　　HKEY_CLASSES_ROOTCLSID{248DD896-BB45-11CF-9ABC-0080C7E7B78D}　　HKEY_CLASSES_ROOTCLSID{248DD897-BB45-11CF-9ABC-0080C7E7B78D}　　HKEY_CLASSES_ROOTInterface{248DD892-BB45-11CF-9ABC-0080C7E7B78D}　　HKEY_CLASSES_ROOTInterface{248DD893-BB45-11CF-9ABC-0080C7E7B78D}　　HKEY_CLASSES_ROOTTypeLib{248DD890-BB45-11CF-9ABC-0080C7E7B78D}　　注：因为病毒修改了很多关联信息，所以在那些病毒文件没有被删除之前，请不要做任何多余的操作，以免激活病毒　　二、然后重启系统，删除以下文件部分，注意打开各分区时，先打开“我的电脑”后请使用右键单击分区，选“打开”进入。或者直接执行附件的Kv.bat来删除以下文件　　c:antorun.inf （如果你有多个分区，请检查其他分区是否有这个文件，有也一并删除）　　%programfiles%common filesiexplore.pif　　%programfiles%Internat exploreriexplore.com　　%windir%1.com　　%windir%exeroute.exe　　%windir%explorer.com　　%windir%finder.com　　%windir%mswinsck.ocx　　%windir%services.exe　　%windir%system32command.pif　　%windir%system32dxdiag.com　　%windir%system32finder.com　　%windir%system32msconfig.com　　%windir%system32 egedit.com　　%windir%system32 undll32.com　　删除以下文件夹：　　%windir%debug　　%windir%system32NtmsData