QQ病毒的特征以及清除方法_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
QQ病毒的特征以及清除方法
&&QQ病毒的特征以及清除方法
你可能喜欢28被浏览1,892分享邀请回答0添加评论分享收藏感谢收起svchost.exe病毒如何彻底清除?
svchost.exe病毒如何彻底清除?
09-02-01 &
1.SVCHOST病毒解决方法 一、Svchost.exe做为病毒它有两个特征。 1、用病毒自己做为进程 这种方式运行的Svchost.exe病毒没有直接利用真正的Svchost.exe进程，而是启动了另外一个名称同样是Svchost.exe的病毒进程，由于这个假冒的病毒进程并没有加载系统服务，它和真正的Svchost.exe进程是不同的，只需在命令行窗口中运行一下“Tasklist /svc”，如果看到哪个Svchost.exe进程后面提示的服务信息是“暂缺”，而不是一个具体的服务名，那么它就是病毒进程了，如图正常的XP带的进程： 66.jpg (67.57 KB)
13:48 正常的Svchost.exe文件是位于%systemroot%\System32目录中的，而假冒的Svchost.exe病毒或木马文件则会在其他目录，例如： “w32.welchina.worm”病毒假冒的Svchost.exe就隐藏在Windows\System32\Wins目录中，将其删除，并彻底清除病毒的其他数据即可 2、做为系统的进程加载服务。 病毒就是真正的Svchost.exe进程加载病毒程序，而Svchost.exe是通过注册表数据来决定要装载的服务列表的，所以病毒通常会在注册表中采用以下四个方法进行加载 会修改注册表的，所以病毒通常会在注册表中采用以下方法进行加载： 二、添加一个新的服务组，在组里添加病毒服务名 三、在现有的服务组里直接添加病毒服务名 四、修改现有服务组里的现有服务属性，修改其“ServiceDll”键值指向病毒程序 判断方法: 病毒程序要通过真正的Svchost.exe进程加载，就必须要修改相关的注册表数据，可以打开[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost]，观察有没有增加新的服务组，同时要留意服务组中的服务列表，观察有没有可疑的服务名称，通常来说，病毒不会在只有一个服务名称的组中添加，往往会选择LocalService和netsvcs这两个加载服务较多的组，以干扰分析，还有通过修改服务属性指向病毒程序的，通过注册表判断起来都比较困难，这时可以利用前面介绍的服务管理专家，分别打开LocalService和netsvcs分支，逐个检查右边服务列表中的服务属性，尤其要注意服务描述信息全部为英文的，很可能是第三方安装的服务，同时要结合它的文件描述、版本、公司等相关信息，进行综合判断。例如这个名为PortLess BackDoor的木马程序，在服务列表中可以看到它的服务描述为“Intranet Services”，而它的文件版本、公司、描述信息更全部为空，如果是微软的系统服务程序是绝对不可能出现这种现象的。从启动信息“C:\WINDOWS\System32\svchost.exe -k netsvcs”中可以看出这是一款典型的利用Svchost.exe进程加载运行的木马，知道了其原理， 清除方法也很简单了： 先用服务管理专家停止该服务的运行，然后运行regedit.exe打开“注册表编辑器”，删除[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPRIP]主键，重新启动计算机，再删除%systemroot%\System32目录中的木马源程序“svchostdll.dll”，通过按时间排序，又发现了时间完全相同的木马安装程序“PortlessInst.exe”，一并删除即可。 清除Svchost.exe病毒方法： 第一步：进入安全模式（电脑启动时按F8），打开我的电脑，搜索SVCHOST，将搜索到的文件除了%systemroot%\System32这个文件夹里的之外的都删除。 第二步：进入注册表，搜索SVCHOST，将搜索到的除开[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\ CurrentVersion\Svchost]这个值的不动之外，其他的都删除掉。然后重新搜索一遍，进行整理 第三步、重启动电脑。 一、手工清除SVCHOST.EXE病毒 查看：svchost.exe进程详解 在开始菜单的运行中输入cmd，出现命令行提示，输入命令“tasklist /svc &c:\1.txt”（例如：C:\Documents and Settings\Administrator&tasklist /svc &c:\1.txt），就会在C盘根目录生成1.txt文件，打开1.txt可以看到如下内容： 查找svchost.exe的PID值和服务名称。 ****************************************************************************** 图像名 PID 服务 ========================= ====== ============================================= System Idle Process 0 暂缺 System 4 暂缺 smss.exe 1168 暂缺 csrss.exe 1228 暂缺 winlogon.exe 1260 暂缺 services.exe 1308 Eventlog, PlugPlay lsass.exe 1320 PolicyAgent, ProtectedStorage, SamSs ibmpmsvc.exe 1484 IBMPMSVC ati2evxx.exe 1520 Ati HotKey Poller svchost.exe 1544 DcomLaunch, TermService svchost.exe 1684 RpcSs svchost.exe 380 AudioSrv, BITS, Browser, CryptSvc, Dhcp, EventSystem, FastUserSwitchingCompatibility, helpsvc, lanmanserver, lanmanworkstation, Netman, Nla, RasMan, Schedule, seclogon, SENS, SharedAccess, ShellHWDetection, TapiSrv, Themes, TrkWks, W32Time, winmgmt, wscsvc, wuauserv, WZCSVC btwdins.exe 420 btwdins ati2evxx.exe 456 暂缺 EvtEng.exe 624 EvtEng S24EvMon.exe 812 S24EventMonitor svchost.exe 976 Dnscache svchost.exe 1192 Alerter, LmHosts, RemoteRegistry, SSDPSRV, WebClient spoolsv.exe 1852 Spooler IPSSVC.EXE 272 IPSSVC AcPrfMgrSvc.exe 288 AcPrfMgrSvc guard.exe 1064 AVG Anti-Spyware Guard avp.exe 1124 AVP mDNSResponder.exe 1284 Bonjour Service inetinfo.exe 1848 IISADMIN, W3SVC ibguard.exe 3464 InterBaseGuardian RegSrvc.exe 3556 RegSrvc svchost.exe 3596 stisvc SUService.exe 3968 SUService TPHDEXLG.exe 3788 TPHDEXLGSVC TpKmpSvc.exe 3804 TpKmpSVC tvtsched.exe 3836 TVT Scheduler wdfmgr.exe 3920 UMWdf vmware-authd.exe 3956 VMAuthdService vmount2.exe 3576 vmount2 vmnat.exe 4112 VMware NAT Service vmnetdhcp.exe 4360 VMnetDHCP AcSvc.exe 4388 AcSvc ibserver.exe 4684 InterBaseServer explorer.exe 5416 暂缺 alg.exe 5704 ALG SynTPEnh.exe 3776 暂缺 SvcGuiHlpr.exe 4912 暂缺 TPHKMGR.exe 5088 暂缺 UNavTray.exe 5120 暂缺 TpShocks.exe 5136 暂缺 TPONSCR.exe 4532 暂缺 avp.exe 4648 暂缺 TpScrex.exe 4412 暂缺 CRavgas.exe 5196 暂缺 ctfmon.exe 5284 暂缺 VStart.exe 6020 暂缺 QQ.exe 6124 暂缺 TXPlatform.exe 5584 暂缺
请登录后再发表评论!
重启进入安全模式（开机按f8）。 1. 打开注册表编辑器。点击开始&运行，输入regedit，按enter 2. 在左边的面板中，双击:hkey_local_machine&system&currentcontrolset&services 3. 仍然在左边的面板中，找到并删除如下键：“wgareg”魔波（worm.mocbot.a）、“wgavm ”魔波变种b(worm.mocbot.b) 恢复enabledcom和restrictanonymous注册表项目 1. 仍然在注册表编辑器中，在左边的面板中，双击： hkey_local_machine&software&microsoft&ole 2. 在右边的面板中，找到如下项目：ienabledcom = &n& 3. 右击该项目选择修改值为： enabledcom = &y& 删除关于管理共享的注册表项目 1. 在注册表编辑器中，在左边的面板中，双击：hkey_local_machine&system&currentcontrolset& services&lanmanserver&parameters 2. 在左边的面板中，找到并删除如下项目： a. autosharewks = &dword:& b. autoshareserver = &dword:& 3. 在注册表编辑器中，在左边的面板中，双击：hkey_local_machine&system&currentcontrolset& services&lanmanworkstation&parameters 4. 在左边的面板中，找到并删除如下项目： a. autosharewks = &dword:& b. autoshareserver = &dword:& 魔波（worm.mocbot.a，又称worm_ircbot.jl）删除添加或者修改的注册表项目 1. 在注册表编辑器中，在左边的面板中，双击：hkey_local_machine&software&microsoft&security center 2. 在右边的面板中，找到项目：o firewalldisablenotify = &dword:& o antivirusoverride = &dword:& o antivirusdisablenotify = &dword:& o firewalldisableoverride = &dword:& 3. 在左边的面板中，双击：hkey_local_machine&software&policies&microsoft&windowsfirewall&domainprofile 4. 在右边的面板中，找到项目：enablefirewall = &dword:& 5. 在左边的面板中，双击：hkey_local_machine&software&policies&microsoft&windowsfirewall&standardprofile 魔波变种b(worm.mocbot.b，又称worm_ircbot.jk)删除添加或者修改的注册表项目： 1. 在注册表编辑器中，在左边的面板中，双击：hkey_local_machine&software&microsoft&security center 2. 在右边的面板中，找到并删除如下项目：: antivirusdisablenotify = &dword:& antivirusoverride = &dword:& firewalldisablenotify = &dword:& firewalldisableoverride = &dword:& 3. 在左边的面板中，双击：hkey_local_machine&system&currentcontrolset&services&sharedaccess 4. 在右边的面板中，找到项目： start = &dword:& 5. 右击该注册表项目，选择修改项目值为：start = &dword:& 6. 在左边的面板中，双击：hkey_local_machine&software&policies&microsoft&windowsfirewall&domainprofile 7. 在右边的面板中，找到并删除如下项目：enablefirewall = &dword:& 8. 在左边的面板中，双击：hkey_local_machine&software&policies&microsoft&windowsfirewall&standardprofile 9. 在右边的面板中，找到并删除如下项目：enablefirewall = &dword:& 10. 关闭注册表编辑器 附加windows me/xp清除说明 运行windows me和xp的用户必须禁用系统还原，从而可以对受感染的系统进行全面扫描。运行其他windows版本的用户可以不需要处理上面的附加说明。 杀毒工具推荐：使用趋势科技防病毒产品扫描系统并删除所有被检测为魔波（worm.mocbot.a，又称worm_ircbot.jl）、魔波变种b(worm.mocbot.b，又称worm_ircbot.jk)的文件。趋势科技的用户必须在扫描系统之前下载最新病毒码文件。
请登录后再发表评论!
我也中过，我也没有用专杀！就是下载360卫士，升级到最新版，重启！重启后打开360，把开始－所有程序－启动－把SVCHOST.EXE拖到360粉碎器上，直接粉碎，之后打开360，选启动项，再把SVCHOST.EXE这个文件删除重启后就没有了！（正常来说是这样）
请登录后再发表评论!
推荐一款非常好用的工具，我中马了经常用他来清除 unlocker
请登录后再发表评论!
正常的Svchost.exe文件是位于%systemroot%\System32目录中的，而假冒的Svchost.exe病毒或木马文件则会在其他目录，例如： “w32.welchina.worm”病毒假冒的Svchost.exe就隐藏在Windows\System32\Wins目录中，将其删除，并彻底清除病毒的其他数据即可 2、做为系统的进程加载服务。 病毒就是真正的Svchost.exe进程加载病毒程序，而Svchost.exe是通过注册表数据来决定要装载的服务列表的，所以病毒通常会在注册表中采用以下四个方法进行加载 会修改注册表的，所以病毒通常会在注册表中采用以下方法进行加载： 二、添加一个新的服务组，在组里添加病毒服务名 三、在现有的服务组里直接添加病毒服务名 四、修改现有服务组里的现有服务属性，修改其“ServiceDll”键值指向病毒程序 判断方法: 病毒程序要通过真正的Svchost.exe进程加载，就必须要修改相关的注册表数据，可以打开[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost]，观察有没有增加新的服务组，同时要留意服务组中的服务列表，观察有没有可疑的服务名称，通常来说，病毒不会在只有一个服务名称的组中添加，往往会选择LocalService和netsvcs这两个加载服务较多的组，以干扰分析，还有通过修改服务属性指向病毒程序的，通过注册表判断起来都比较困难，这时可以利用前面介绍的服务管理专家，分别打开LocalService和netsvcs分支，逐个检查右边服务列表中的服务属性，尤其要注意服务描述信息全部为英文的，很可能是第三方安装的服务，同时要结合它的文件描述、版本、公司等相关信息，进行综合判断。例如这个名为PortLess BackDoor的木马程序，在服务列表中可以看到它的服务描述为“Intranet Services”，而它的文件版本、公司、描述信息更全部为空，如果是微软的系统服务程序是绝对不可能出现这种现象的。从启动信息“C:\WINDOWS\System32\svchost.exe -k netsvcs”中可以看出这是一款典型的利用Svchost.exe进程加载运行的木马，知道了其原理， 清除方法也很简单了： 先用服务管理专家停止该服务的运行，然后运行regedit.exe打开“注册表编辑器”，删除[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPRIP]主键，重新启动计算机，再删除%systemroot%\System32目录中的木马源程序“svchostdll.dll”，通过按时间排序，又发现了时间完全相同的木马安装程序“PortlessInst.exe”，一并删除即可。重启进入安全模式（开机按f8）。 1. 打开注册表编辑器。点击开始&运行，输入regedit，按enter 2. 在左边的面板中，双击:hkey_local_machine&system&currentcontrolset&services 3. 仍然在左边的面板中，找到并删除如下键：“wgareg”魔波（worm.mocbot.a）、“wgavm ”魔波变种b(worm.mocbot.b) 恢复enabledcom和restrictanonymous注册表项目 1. 仍然在注册表编辑器中，在左边的面板中，双击： hkey_local_machine&software&microsoft&ole 2. 在右边的面板中，找到如下项目：ienabledcom = &n& 3. 右击该项目选择修改值为： enabledcom = &y& 删除关于管理共享的注册表
请登录后再发表评论!
winlogon.exe&&C:\WINDOWS\system\CA0C4DEE.DLL，判定病毒名为： Explorer.EXE&&C:\WINDOWS\system\CA0C4DEE.DLL，判定病毒名为： 说是清除成功，重启后还会扫描到。 2、用卡卡、360都扫不出东西。 3、手动清除C:\WINDOWS\system32\下的病毒文件，重启后继续存在。4、进入注册表搜索“219829DA”相关项，全部删除，重启后继续存在。3、在服务中，禁用“219829DA”，重启后，服务继续存在，并且启动类型又改为“自动”。 4、此时，进安全模式，出现“stop：0x0000007B”错误。 5、再重启进入，360被卸载，卡卡被卸载；瑞星不能升级，主页不能直接登陆，但是从其他页面可以转入瑞星首页。 6、重装卡卡、360，均告失败。 7、Windows木马清道夫（未注册），扫描出下列可疑文件： C:\WINDOWS\system32\mszstb.dll C:\WINDOWS\system32\drivers\mszstb.sys C:\WINDOWS\system32\TALSZG.dll C:\WINDOWS\system32\bgswitch.dllC:\WINDOWS\system32\DrvMon.exe8、木马克星扫描出下列可疑文件： c:\windows\system32\cdnns.dll c:\windows\system32\myxp.exe（发现1218f广告软件） c:\windows\system32\smj.exe（发现1218f广告软件） 以及成功删除8个广告程序注册项 除了cdnns.dll没有发现外，其余2个文件采用上面的步骤清除。9、再用上述步骤清除“219829DA”相关项，再禁用该服务。 重启还是不能进安全模式，正常启动后，杀毒软件不能升级，卡卡、360不能安装，但是“219829DA”服务没有加载了，其相关项基本没有了，只有C:\WINDOWS\system32\cid_store.dat还会出现。用瑞星的橙色八月没有发现什么；用金山的AV终结者V4.2专杀时,文件路径和扫描结果都报“发现Broken_SafeBoot”，状态报“已清除”，可是症状依旧，杀毒软件不能升级，安全模式不能进入，SREngPS不能打开，瑞星和毒霸首页不能直接进入，但可以从其他页面转入。恩，大致症状就是这样了，从症状描述来看，这倒像是个恶意软件，不像是病毒，也没有什么大影响，只是干扰用户正常使用电脑，比较让人烦恼吧。此病毒最近才不断有人在网上求助，可都没有很好的解决方法。去百度了一下，发现网上没有提供彩易网的专杀工具，中了此毒后，许多人说只能重装系统，我觉得这倒是不至于了，中了一个小小的恶意软件就重做系统，那地球人类还不累死啊？说下大家研究后总结的解决方法吧，发现其实很简单。。。。彩易网这个病毒与其它木马不一样，他是采用后台服务方式，所以大家用杀毒软件及其它系统修复工具都没有用，不过据说有人用windows清理助手清除过，不知道真假，反正我是没有清除掉，重启后情况还是老样子，网上很多人说都不能解决这个问题，其实手动清除这个病毒非常简单。1、开机时，如果电脑跳出的出错提示，有个&.dll&文件，记住文件名称，或者使用第三方进程管理器，查看进程，找到此dll目录并记住此dll文件名称。2、重新启动电脑，F8进入安全模式，或者PE光盘进系统更稳定。开始——运行regedit打开编辑注册表，编辑——查找注册表中刚才记下的文件名名称，注意“.dll不要输入”，把上部整个键值删除。3、右键点击桌面“我的电脑”--&管理--&双击“服务和应用程序”--&服务，仔细查找其中的二个第三方服务，把其改为禁止运行， 这二个服务一个是以数字开头的服务名如“219821DA”，另一个是名为jdpy的服务，都把他们状态改为禁用，如果没有这2个服务这步跳过。4、重启电脑就OK了。
请登录后再发表评论!当前位置：>>>Root文件卸载器app下载
Root文件卸载器官方介绍
Root文件卸载器类型：
1000万+人在玩9000万+人在玩9000万+人在玩100万+人在玩500万+人在玩1000万+人在玩
发现该APP下载安装使用错误或恶意扣费携带病毒，请
Root文件卸载器app相关搜索
版权所有 京ICP备号-5
京公网安备 50 备当前位置： &
& 怎么使用360一键ROOT工具清除手机病毒
怎么使用360一键ROOT工具清除手机病毒
类别：&&大小：5.67MB语言：简体中文&&授权：免费软件
　　现在很多手机软件都会自带病毒，在大家下了很多软件后不知道哪个软件是带病毒的恶意程序，那么这个时候可以用到360一键root工具来清除手机病毒了，具体应该怎么操作呢?下面就和小编一起来看看怎么使用360一键ROOT工具清除手机病毒吧。　　步骤1：使用360一键ROOT工具获取权限　　当你下载了360手机卫士，杀毒的时候，会提示你你某个恶意应用存在木马病毒，需要立即清除，不过需要手机获取ROOT权限。　　首先下载360一键ROOT工具：安装到电脑上打开运行　　设置好USB调试(打开USB调试教程),使用数据线连接到电脑，等待电脑成功安装上驱动，当360一键ROOT工具识别到你的手机之后，如下图　　接着点击一键ROOT，按照提示操作进行一键ROOT，大概一两分钟即可成功ROOT　　步骤2：使用360手机卫士杀毒　　下载：点击下载 ，安装到手机上，立即为你手机杀毒。按照操作提示即可　　PS：其实大部分手机恶意应用主要是通过网上下载，因为在下载之前最好对应用进行杀毒操作。 & &小编推荐： & & & & & &
上一篇 &：
下一篇 &：
文章链接：//www.gezila.com/tutorials/49607.html
(转载时请注明本文出处及文章链接)}