网站地图
hnsjyk999.com
三九百科 包罗万象
scvhost.exe 发布于:

scvhost.exe是W32/Agobot-S病毒的一部分。该木马允许攻击者访问你的计算机,窃取密码和个人数据。这个进程的安全等级是建议立即进行删除。

进程名称: W32/Agobot-S病毒

属于:W32/Agobot-S病毒

使用网络: 是

硬件相关: 否

常见错误: 未知

内存使用: 未知

安全等级 (0-5): 4

间谍软件:

广告软件:

病毒木马:

手动删除方法:

1:在任务管里器里将scvhost.exe结束进程

2:在C:\WINDOWS下和C:\WINDOWS\system32下找到与scvhost.exe的中毒时间相同的或相进的文件删除(注一定要取消系统文件隐藏)

3:在注册表中查找scvhost.exe数值删除

4:重新启动电脑 在看任务管理器里还有没有scvhost.exe,没有就删除成功

一、svchost.exe

由于系统服务是以动态链接库(DLL)形式实现的,它们把可执行程序指向scvhost,由cvhost调用相应服务的动态链接库来启动服务。病毒常以此进程文件伪装的有svch0st.exe、schvost.exe、scvhost.exe等,一个字符大小写的变化,即可以生存多种形态。

系统调用查看:这里可以依次打开“控制面板”→“管理工具”→服务,双击其中“ClipBook”服务,在其属性面板中可以发现对应的可执行文件路径为 “C:WINDOWSsystem32clipsrv.exe”。再双击“Alerter”服务,可以发现其可执行文件路径为“C: WINDOWSsystem32svchost.exe -k LocalService”,而“Server”服务的可执行文件路径为“C:WINDOWSsystem32svchost.exe -k netsvcs”。

当svchost.exe的可执行文件路径位于C:WINDOWSsystem32目录外,那么就可以判定是病毒伪装。

系统进程线数:Windows2000系统中一般存在2个svchost.exe进程,一个是RPCSS(RemoteProcedureCall)服务进程,另外一个则是由很多服务共享的一个svchost.exe;WindowsXP中,则一般有4到五个svchost.exe服务进程。如果 svchost.exe进程的数量多于5个,此时用户就要小心了,很可能是病毒假冒的。


相关文章推荐:
进程名称 | 间谍软件 | 广告软件 | 系统文件 | svchost.exe | 系统服务 | 动态链接库 | 控制面板 | 可执行文件 | 可执行文件 | svchost.exe | svchost.exe | 可执行文件 | 系统进程 | svchost.exe | RemoteProcedureCall | svchost.exe |