Services.exe进程分析及木马病毒查杀

“Services.exe进程分析及木马病毒查杀”是零度电脑知识网根据书本知识、网上资料、实际操作总结出来的经验文章，如果你想了解更多此类问题，请关注病毒安全版块中的更多文章！

Services.exe是什么？services是什么进程？Services.exe占用内存过高怎么办？services.exe病毒如何查杀？请看本文。

　　Services.exe是什么

　　Services.exe

　　进程文件： services 或者 services.exe

　　进程名称： Windows Service Controller

　　描述

　　services.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。终止进程后会重启。正常的services.exe应位于%systemroot%\System32文件夹中，也就是在进程里用户名显示为“system”，不过services也可能是W32.Randex.R（储存在%systemroot%\system32\目录）和Sober.P （储存在%systemroot%\Connection Wizard\Status\目录）木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议立即删除。

　　属于：Microsoft Windows Operating System

　　系统进程： 是

　　后台程序： 是

　　使用网络： 否

　　硬件相关： 否

　　常见错误： 未知N/A

　　内存使用： 1336kb

　　安全等级 （0-5）： 0

　　间谍软件： 否

　　Adware: 否

　　广告软件： 否

　　木马： 否

　　Services.exe占用内存过高

　　长时间使用电脑会导致services.exe占用大量内存，其主要原因是Event Log过多，而services.exe启动时会加载Event log。由此使得进程占用大量内存。

        解决方法：“控制面板”-“管理工具”-“事件查看器”里，把三种事件日志全部清空。

###################################################################################
零度电脑知识网是电脑基础知识学习的专业网站,为电脑初学者提供入门电脑基础知识、电脑基础知识视频、电脑基础知识讲座、下载电脑基础知识,学习电脑基础知识就在零度电脑知识网!
###################################################################################

Services.exe病毒（msn蠕虫变种）分析

　　病毒行为：

　　病毒运行后复制自身到系统目录：

　　%systemroot%\system\services.exe

　　创建包含自身的带毒ZIP压缩包：

　　%systemroot%\IMG0024.zip

　　压缩包中包含的病毒文件名为：IMG0017-WWW.PHOTOUPLOAD.COM

　　创建启动项：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

　　“Windows Services Registry”=“%Windows%\system\services.exe”

　　在Windows防火墙中添加自身到例外列表：

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

　　“%systemroot%\system\services.exe”=“%Windows%\system\services.exe:*:Enabled:Messenger Sharing”

　　设置注册表信息：

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]

　　“WaitToKillServiceTimeout”=“7000”

　　根据染毒系统的语言向MSN联系人发送相应的诱惑文字消息，同时发送带毒压缩包IMG0024.zip诱使联系人接收打开。

　　尝试连接远程IRC：sz.secdreg.org

　　Services.exe病毒手动清除：

　　一、注册表修复

        使用注册表修复工具，或者直接使用regedit修正以下部分

　　1.SYSTEM.INI （NT系统在注册表： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon）

　　shell = Explorer.exe 1 修改为shell = Explorer.exe

　　2.将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的

　　Torjan Program----------C:\WINNT\services.exe删除

　　3. HKEY_Classes_root\.exe

　　默认值 winfiles 改为exefile

　　4.删除以下两个键值：

　　HKEY_Classes_root\winfiles

　　HKEY_Local_machine\software\classes\winfiles

　　5. 打开注册表编辑器，依此分别查找“rundll32.com”、“finder.com”、“command.pif”，把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”

　　6. 查找“iexplore.com”的信息，把找到的内容里面的“iexplore.com”改为“iexplore.exe”

　　7. 查找“explorer.com”的信息，把找到的内容里面的“explorer.com”改为“explorer.exe”

　　8. 查找“iexplore.pif”，应该能找到类似“%ProgramFiles%\Common Files\iexplore.pif”的信息，把这内容改为“C:\Program Files\Internet Explorer\iexplore.exe”

　　9. 删除病毒添加的文件关联信息和启动项：

　　[HKEY_CLASSES_ROOT\winfiles]

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

　　“Torjan Program”=“%Windows%\services.exe”

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

　　“Torjan Program”=“%Windows%\services.exe”

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

　　“Shell”=“Explorer.exe 1”

　　改为

　　“Shell”=“Explorer.exe”

　　10. 这些是病毒释放的一个VB库文件（MSWINSCK.OCX）的相关信息，不一定要删除：

　　HKEY_CLASSES_ROOT\MSWinsock.W