科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道新手也能对付病毒:清除svch0st.exe

新手也能对付病毒:清除svch0st.exe

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

一旦发现当前IE窗口为上述银行的登陆页面,病毒立即开始记录键盘输入的所有键值,记录的键值几乎包括了所有可能的键盘录入。窃取的用户信息包括网上银行的帐号、密码、验证码等。

作者:中国IT实验室 2007年8月30日

关键字: svchost 键值 网上银行 系统进程 病毒 木马

  • 评论
  • 分享微博
  • 分享邮件

svch0st.exe和系统进程svchost.exe只差一个字符,注意svch0st.exe中的0这个是数字零,而系统进程svchost.exe中的o是字母O.

该病毒运行后在系统文件夹%System%下创建自身的副本,文件名为svch0st.exe.(其中,%System%在Windows 95/98/Me 下为C:\Windows\System,在Windows NT/2000下为C:\Winnt\System32,在Windows XP下为 C:\Windows\System32)

随后病毒修改注册表,以达到随系统启动而自动运行的目的,在HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run

下创建:"svch0st.exe" = "%System%\svch0st.exe" "taskmgr.exe" = "%System%\svch0st.exe"

病毒运行后检查IE窗口标题栏,判定当前窗口是否为网上银行的登陆页面,涉及到国内多家银行的网上交易系统。一旦发现当前IE窗口为上述银行的登陆页面,病毒立即开始记录键盘输入的所有键值,记录的键值几乎包括了所有可能的键盘录入。窃取的用户信息包括网上银行的帐号、密码、验证码等。当病毒截获被感染计算机所输入的键盘值后,将其窃取到的信息发送到指定的地址。

清除方法:

关闭系统还原,开始-运行:msconfig (运行系统配置程序)。

在启动项中取消"svch0st.exe" = "%System%\svch0st.exe"和 "taskmgr.exe" = "%System%\svch0st.exe" 两项前面的勾。

打开任务管理器终止svch0st.exe,要看清楚不要弄错了。

运行系统搜索功能,并打开高级选项,查找隐藏的文件,查找svch0st.exe并删除。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章