本文导读目录:
scvhostexe(电脑中了svchost.exe病毒怎么办
电脑中了svchost.exe病毒怎么办
svchost.exe不是病毒,它是nt核心系统的非常重要的进程,对于xp来说,不可或缺。很多病毒木马也会调用它。所以,深入了解这个程序,是玩电脑的必修课之一。大家对windows操作系统一定不陌生,但你是否注意到系统中“svchost.exe”这个文件呢?细心的朋友会发现windows中存在多个“svchost”进程(通过“ctrl+alt+del”键打开任务管理器,这里的“进程”标签中就可看到了,为什么会这样呢?下面就来揭开它神秘的面纱。发现在基于nt内核的windows操作系统家族中,不同版本的windows系统,存在不同数量的“svchost”进程,用户使用“任务管理器”可查看其进程数目。一般来说,win有两个svchost进程,winxp中则有四个或四个以上的svchost进程(以后看到系统中有多个这种进程,千万别立即判定系统有病毒了哟,而winserver中则更多。这些svchost进程提供很多系统服务,如:rpcss服务(remoteprocedurecalldmserver服务(logicaldiskmanagerdhcp服务(dhcpclient等。如果要了解每个svchost进程到底提供了多少系统服务,可以在win的命令提示符窗口中输入“tlist-s”命令来查看,该命令是winsupporttools提供的。在winxp则使用“tasklist/svc”命令。svchost中可以包含多个服务深入windows系统进程分为独立进程和共享进程两种,“svchost.exe”文件存在于“%systemroot%system”目录下,它属于共享进程。随着windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动。但svchost进程只作为服务宿主,并不能实现任何服务功能,即它只能提供条件让其他服务在这里被启动,而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢?原来这些系统服务是以动态链接库(dll形式实现的,它们把可执行程序指向svchost,由svchost调用相应服务的动态链接库来启动服务。那svchost又怎么知道某个系统服务该调用哪个动态链接库呢?这是通过系统服务在注册表中设置的参数来实现。下面就以rpcss(remoteprocedurecall服务为例,进行讲解。从启动参数中可见服务是靠svchost来启动的。实例以windowsxp为例,点击“开始”/“运行”,输入“services.msc”命令,弹出服务对话框,然后打开“remoteprocedurecall”属性对话框,可以看到rpcss服务的可执行文件的路径为“c:windowssystemsvchost-krpcss”,这说明rpcss服务是依靠svchost调用“rpcss”参数来实现的,而参数的内容则是存放在系统注册表中的。在运行对话框中输入“regedit.exe”后回车,打开注册表编辑器,找到[hkey_local_machinesystemcurrentcontrolsetservicesrpcss]项,找到类型为“reg_expand_sz”的键“magepath”,其键值为“%systemroot%systemsvchost-krpcss”(这就是在服务窗口中看到的服务启动命令,另外在“parameters”子项中有个名为“servicedll”的键,其值为“%systemroot%systemrpcss.dll”,其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样svchost进程通过读取“rpcss”服务注册表信息,就能启动该服务了。解惑因为
svchost进程启动各种服务,所以病毒木马也想尽办法来利用它,企图利用它的特性来迷惑用户,达到感染入侵破坏的目的(如冲击波变种病毒“w.welchia.worm”。但windows系统存在多个svchost进程是很正常的,在受感染的机器中到底哪个是病毒进程呢?这里仅举一例来说明。假设windowsxp系统被“w.welchia.worm”感染了。正常的svchost文件存在于“c:windowssystem”目录下,如果发现该文件出现在其他目录下就要小心了。“w.welchia.worm”病毒存在于“c:windowssystemwins”目录中,因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。windows系统自带的任务管理器不能够查看进程的路径,可以使用第三方进程管理软件,如“windows优化大师”进程管理器,通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径,一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。个也是正常的范围,现在我的进程里有六个.Svchost.exe是病毒的两种情况.利用假冒Svchost.exe名称的病毒程序这种方式运行的病毒并没有直接利用真正的Svchost.exe进程,而是启动了另外一个名称同样是Svchost.exe的病毒进程,由于这个假冒的病毒进程并没有加载系统服务,它和真正的Svchost.exe进程是不同的,只需在命令行窗口中运行一下“Tasklist/svc”,如果看到哪个Svchost.exe进程后面提示的服务信息是“暂缺”,而不是一个具体的服务名,那么它就是病毒进程了,记下这个病毒进程对应的PID数值(进程标识符),即可在任务管理器的进程列表中找到它,结束进程后,在C盘搜索Svchost.exe文件,也可以用第三方进程工具直接查看该进程的路径,正常的Svchost.exe文件是位于%systemroot%System目录中的,而假冒的Svchost.exe病毒或木马文件则会在其他目录,例如“w.welchina.worm”病毒假冒的Svchost.exe就隐藏在WindowsSystemWins目录中,将其删除,并彻底清除病毒的其他数据即可。:一些高级病毒则采用类似系统服务启动的方式,通过真正的Svchost.exe进程加载病毒程序,而Svchost.exe是通过注册表数据来决定要装载的服务列表的,所以病毒通常会在注册表中采用以下方法进行加载:添加一个新的服务组,在组里添加病毒服务名在现有的服务组里直接添加病毒服务名修改现有服务组里的现有服务属性,修改其“ServiceDll”键值指向病毒程序判断方法:病毒程序要通过真正的Svchost.exe进程加载,就必须要修改相关的注册表数据,可以打开[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionSvchost],观察有没有增加新的服务组,同时要留意服务组中的服务列表,观察有没有可疑的服务名称,通常来说,病毒不会在只有一个服务名称的组中添加,往往会选择LocalService和svcs这两个加载服务较多的组,以干扰分析,还有通过修改服务属性指向病毒程序的,通过注册表判断起来都比较困难,这时可以利用前面介绍的服务管理专家,分别打开LocalService和svcs分支,逐个检查右边服务列表中的服务属性,尤其要注意服务描述信息全部为英文的,很可能是第三方安装的服务,同时要结合它的文件描述版本公司等相关信息,进行综合判断佳能 数码相机(三星i8520)。例如这个名为PortLessBackDoor的木马程序,在服务列表中可以看到它的服务描述为“IntraServices”,而它的文件版本公司描述信息更全部为空,如果是微软的系统服务程序是绝对不可能出现这种现象的。从启动信息“C:WINDOWSSystemsvchost.exe-ksvcs”中可以看出这是一款典型的利用Svchost.exe进程加载运行的木马,知道了其原理,清除方法也很简单了:先用服务管理专家停止该服务的运行,然后运行regedit.exe打开“注册表编辑器”,删除[HKEY_LOCAL_MACHINESystemCurrentControlSetServicesIPRIP]主键,重新启动计算机,再删除%systemroot%System目录中的木马源程序“svchostdll.dll”,通过按时间排序,又发现了时间完全相同的木马安装程序“PortlessInst.exe”,一并删除即可。
svchost.exe是什么文件
在基于nt内核的windows操作系统家族中,svchost.exe是一个非常重要的进程。很多病毒木马驻留系统与这个进程密切相关,因此深入了解该进程是非常有必要的。本文主要介绍svchost进程的功能,以及与该进程相关的知识。svchost进程概述微软对“svchost进程”的定义是:svchost.exe是从动态链接库(dll中运行的服务的通用主机进程名称。svchost.exe文件位于“%systemroot%system”文件夹中。当系统启动时,svchost将检查注册表中的服务部分,以构建需要加载的服务列表。svchost的多个实例可以同时运行。每个svchost会话可以包含一组服务,以便根据svchost的启动方式和位置的不同运行不同的服务,这样可以更好地进行控制且更加便于调试。svchost组是由注册表[hkey_local_machinesoftwaremicrosoftwindowsntcurrentversionsvchost]项来识别的。在这个注册表项下的每个值都代表单独的svchost组,并在我们查看活动进程时作为单独的实例显示。这里的键值均为reg_multi_sz类型的值,并且包含该svchost组里运行的服务名称(如图。
三星i8520rom之家刷机包免费(ROM之家刷机包
建议使用刷机工具来完成ROM的下载和手机刷机过程。
佳能 数码相机(三星i8520)以刷机大师为例说明操作过程。
电脑安装刷机大师,打开。
佳能 数码相机的介绍就聊到这里吧,感谢你花时间阅读本站内容,更多关于三星i8520、佳能 数码相机的信息别忘了在本站进行查找喔。