svchost.exe執行檔-可能為木馬

930407 · 發表於 2008-12-27 06:14:40

木馬的行為介紹－Svchost
1. Svchost這支木馬跟系統中預設的程式Svchost.exe名稱一模一樣，目前在網路
上查不到任何的資訊，也就是在一些安全軟體的木馬資料中並沒有它的特徵
值，所以無法偵測到它的存在。也因它的名稱是用系統中原本就有的檔案名
稱，一般使用者很難去查覺。
2. 它會將本身程式（Svchost.exe）放在c:\winnt中，正常的Svchost是存放在
c:\winnt\system32中。
3. 它會主動用80Port連線至下列的IP：
61.220.57.10
61.221.104.67
如何清除Svchost
1. 查看Registry中是否有下列任一機碼，如果有的話請將它刪除：
[HKET_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
“Svchost.exe”=”c:\Winnt\Svchost.exe”
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
“Svchost.exe”=”c:\Winnt\Svchost.exe”
[HEKY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
“Svchost.exe”=”c:\Winnt\Svchost.exe”
2. 將機碼刪除重新開機後，將Services.exe這個檔案刪除。
註：一定要先刪機碼並重新開機後，才可刪除該檔案。

[ 本帖最後由 goddameit 於 2008-12-29 06:39 PM 編輯 ]

jacky40915 · 發表於 2009-5-23 12:35:23

感謝大大的無私分享!! 你真棒感恩感恩
謝謝謝謝啦讚啦

samsam654321 · 發表於 2009-5-25 20:04:51

提示: 作者被禁止或刪除內容自動屏蔽

o952992220 · 發表於 2009-5-31 22:47:57

我電腦是XP的..

沒

c:\winnt

這個資料夾=D

代表沒木馬嘛XD?

bightv77804 · 發表於 2009-6-3 13:58:30

這問題已經存在已久了!!
希望這個方法可以解決這支"隱藏性木馬程式"
謝謝囉

Force!!不明 · 發表於 2009-6-3 20:24:39

難怪有不少SVCHOST在我電腦上囧

		自動登錄	找回密碼
密碼			註冊

svchost.exe執行檔-可能為木馬

評分

瀏覽過的版塊

samsam654321 samsam654321 當前離線 UID 119205 帖子精華主題積分 55 現金積極性威望違規熱心推廣次數閱讀權限 0 註冊時間 2008-12-8 在線時間小時最後登錄 1970-1-1 頭像被屏蔽該用戶從未簽到	發表於 2009-5-25 20:04:51 \| 顯示全部樓層提示: 作者被禁止或刪除內容自動屏蔽

	回復支持反對使用道具舉報