热点科技

标题: [求助] [求助]关于SERVICES.EXE的病毒 [打印本页]

作者: 273531523 时间: 2006-10-22 09:52
标题: [求助] [求助]关于SERVICES.EXE的病毒
[求助]关于SERVICES.EXE的病毒
朋友的电脑中毒了，XP系统，装有瑞星的杀毒软件，症状是一连上网就会在桌面上多出两个网页的快捷方式。偶发现任务管理器里面有两个SERVICES.EXE进程，一个是系统进程，另一个是用户进程，由于是与系统进程重名无法所以正常结束。

在C盘查找了一下services.exe，发现除了在C:\WINDOWS\system32\目录下有一个services.exe外，C:\WINDOWS\system32\Com目录下也有一个SERVICES.EXE，由于没办法结束那个用户进程，这个文件在正常模式下无法删除。所以我进到安全模式下，此时的进程列表里面就只有一个services.exe进程，可以把目录C:\WINDOWS\system32\Com下的SERVICES.EXE文件删除。但是重新启动之后这个文件又被恢复了，进程里面又出现两个services.exe进程。

自己可以肯定的是注册表里面的启动项并没有加载C:\WINDOWS\system32\Com\SERVICES.EXE这个程序，我只留下几个简单的启动项。而且这个系统里面应该不会有其他的病毒来启动它，当然这点不敢十分肯定。所以我很疑惑，这个程序是怎么启动的？又怎么被恢复的？

希望各位大虾能给点意见，指点指点，不胜感谢

作者: alhais 时间: 2006-10-22 10:03
注册表中可以让程序自启动入口的老多了，你确定删干净了？再说病毒也可以以其他形式加载的
用hijackthis扫，不行再用强点的杀毒软件，比如卡巴，NOD32

作者: zhaohj5201025 时间: 2006-10-22 10:05
用Autoruns或者Msconfig看一下都有哪些程序自启动，把可疑程序全部咔嚓掉，尤其是rundll32.exe这个样子的。

搜索rundl132.exe（注意，是“1”而不是“l”），然后删。（如果我没有猜错的话，应该有这个东西）。还有好几个可疑的启动程序，一并删除吧。

作者: qianqiyun 时间: 2006-10-22 16:01
楼上这个好象是威金病毒吧，SERVICES.EXE好象不是威金病毒生产出来的。
请参考这两个页面：
http://www.webjx.com/htmldata/2006-09-18/1158571988.html
http://blog.sina.com.cn/u/4966b159010005sw

作者: 1253 时间: 2006-10-22 16:16
用卡巴卡掉吧..

欢迎光临热点科技 (http://www.itheat.com/activity/)