svch0st.exe【svch0st.exe】svch0st.exe是木马生成的病毒档案 。该木马允许攻击者访问你的计算机,窃取密码和个人数据 。这个进程的安全等级是建议立即进行删除 。
基本介绍进程档案: svch0st or svch0st.exe
使用网路: 是
硬体相关: 否
后台程式: 是
进程信息进程档案: svch0st or svch0st.exe进程位置: 系统或windir程式名称: Troj_Dingxa.A网银大盗Ⅱ或Troj.Downloader.bk又名:密码监视者,QQ宠物陷阱,传奇宝贝4.0木马病毒程式用途: 木马病毒 用于窃密或自动从网上下载后门的木马病毒 。出品者: 未知N/A属于: N/A系统进程: 是使用网路: 是硬体相关: 否常见错误: 未知N/A记忆体使用: 未知N/A间谍软体: 是广告软体: 是Virus(病毒): 是木马: 是后台程式: 是使用网路: 是硬体相关: 否安全等级: 低危害简介svch0st.exe和系统进程svchost.exe只差一个字元,注意svch0st.exe中的0这个是数字零,而系统进程svchost.exe中的o是字母O 。该病毒运行后在系统资料夹%System%下创建自身的副本,档案名称为svch0st.exe 。(其中,%System%在Windows 95/98/Me 下为C:\Windows\System,在Windows NT/2000下为C:\Winnt\System32,在Windows XP下为 C:\Windows\System32)随后病毒修改注册表,以达到随系统启动而自动运行的目的,在HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run下创建:"svch0st.exe" = "%System%\svch0st.exe""taskmgr.exe" = "%System%\svch0st.exe"病毒运行后检查IE视窗标题栏,判定当前视窗是否为网上银行的登入页面,涉及到国内多家银行的网上交易系统 。一旦发现当前IE视窗为上述银行的登入页面,病毒立即开始记录键盘输入的所有键值,记录的键值几乎包括了所有可能的键盘录入 。窃取的用户信息包括网上银行的帐号、密码、验证码等 。当病毒截获被感染计算机所输入的键盘值后,将其窃取到的信息传送到指定的地址 。清除方法1、终止病毒进程在Windows 9x/ME系统,同时按下CTRL+ALT+DELETE,在Windows NT/2000/XP系统中,同时按下CTRL+SHIFT+ESC,选择"任务管理器--〉进程",选中正在运行的进程"svch0st.exe",并终止其运行 。2、注册表的恢复点击"开始--〉运行",输入regedit,运行注册表编辑器,依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,并删除面板右侧的"svch0st.exe" = "%System%\\svch0st.exe"和 "taskmgr.exe" = "%System%\\svch0st.exe"3、删除病毒释放的档案点击"开始--〉查找--〉档案和资料夹",查找档案"svch0st.exe",并将找到的档案删除 。4、配置防火墙和边界路由器 根据病毒的技术特点,设定防火墙和边界路由器的规则,阻断病毒的入侵 。“下载者”(Troj.Downloader.bk)是一个会自动从网上下载后门的木马病毒 。该该病毒将拷贝其病毒档案到系统目录下,命名为svch0st.exe,并改写相关注册表使任务管理器被禁用 。该病毒在后台偷偷下载后门安装,使用户主机受到后门病毒严重感染 。该病毒也是“灰鸽子变种E(Backdoor.HuiGeZi.e)”病毒,该病毒修改注册表创建系统服务dnscacha实现自启动,运行后,病毒会在系统目录里释放病毒档案,档案名称分别为“SVCH0ST.DLL”和“SVCH0ST.EXE”“SVCH0ST.bat”“SVCH0STkey.dll”“SVCH0ST_hook.dll”“Microsoft Winshell.exe” 。频繁修改注册表启动项,保证下次系统启动时,病毒可以自动运行 。把“SVCH0ST.DLL”载入到系统进程explorer.exe中 。由于目前该病毒採取了免杀技术,普通防毒软体无法查获 。其默认属性为隐藏,无存档和唯读属性 。与其同一目录还一个autorun.inf也是只有隐藏属性,其内容为[AutoRun]OPEN=svch0st.exeshell\open=打开(&O)shell\open\Command=svch0st.exeshell\open\Default=1shell\explore=资源管理器(&X)shell\explore\Command=svch0st.exe未运行的svch0st.exe,360和最新安天查不出来,卡巴最新可以查杀 。(测试时间08.6.1,17:08)