發文數:612
發表時間:2006-11-20 19:21:00
發表時間:2006-11-20 19:21:00
<img=http://us.f2.yahoofs.com/users/44646c07m3eee07f6/ba40scd/__sr_/2a01scd.jpg?phQOSYFBFRfWWzWd></img>
卡巴 司機山不掉也
是否是系統檔 我怕刪掉就當機了
卡巴 司機山不掉也
是否是系統檔 我怕刪掉就當機了
胖虎 於 2016-05-28 16:07:05 修改文章內容
商業贊助
發文數:1發表時間:2025-08-06 17:33:52
發文數:1614
發表時間:2006-11-20 22:20:00
發表時間:2006-11-20 22:20:00
引用小步所述:
<img=http://us.f2.yahoofs.com/users/44646c07m3eee07f6/ba40scd/__sr_/2a01scd.jpg?phQOSYFBFRfWWzWd></i..........恕刪
我也中了好幾個特洛伊,一直刪不掉。
重灌吧...
<img=http://us.f2.yahoofs.com/users/44646c07m3eee07f6/ba40scd/__sr_/2a01scd.jpg?phQOSYFBFRfWWzWd></i..........恕刪
我也中了好幾個特洛伊,一直刪不掉。
重灌吧...
LINE 於 2006-11-20 22:20:00 修改文章內容
發文數:156
發表時間:2006-11-21 01:08:00
發表時間:2006-11-21 01:08:00
木馬的偽裝程式─svchost.exe
Svchost.exe是NT核心系統非常重要的檔,對於Windows 2000/XP來說,不可或缺。Svchost進程提供很多系統服務,如:logical disk manager、remote procedure call(RPC)、dhcp client、Automatic Updates、Background Intelligent Transfer Service、COM+ Event System、Internet Connection Sharing、Network Connections、Portable Media Serial Number Service、Remote Access Auto Connection Manager、Remote Access Connection Manager、Removable Storage、Routing and Remote Access、System Event Notification、Telephony、Wireless Configuration等等。
聰明的讀者一眼就可以看出,Svchost.exe對於系統來說是多麼的重要了。也正是因為Svchost.exe的重要性,所以病毒、木馬也想盡辦法來利用它,企圖利用它的特性來迷惑用戶,達到感染、入侵、破壞的目的。那麼應該如何判斷到底哪個是病毒進程呢?正常的Svchost.exe檔應該存在於“C:\Windows\system32”目錄下,如果發現該檔出現在其他目錄下就要小心了。另外,駭客們為了使用Svchost.exe達到進程欺騙的目的,有可能使用一些迷惑性的名字,如將字母o變成數位0(零),這樣程式的名稱就變成了svch0st.exe了,如果不注意觀察,很容易逃過普通用戶的眼睛。
以上節錄http://forum.icst.org.tw/phpBB2/viewtopic.php?t=9226該篇文章內容,接下來就是該如何處理木馬程式了。(PS.以下作法為建議作法,因為木馬太多種,我無法保證這樣做可以清除木馬)
作業環境:Windows XP
第一步:
開始→搜尋→所有檔案和資料夾→輸入”svchost.exe”,開啟進階選項→勾選”搜尋系統資料夾”、”搜尋隱藏檔案及資料夾”、”搜尋子資料夾”→開始搜尋。
結果若只出現一個在windows/system32/下的svchost.exe的話,那先恭喜你,但也可能是最糟的狀況,因為如果是在windows/system32目錄下的svchost.exe中毒的話,那表示你必須重新安裝系統比較安全,因為該目錄下的svchost.exe不能刪除。搜尋到其他目錄下有svchost.exe的,請不用客氣,因為它幾乎就是木馬程式,所以刪除他吧!
第二步
清除IE的暫存檔。IE→工具→網際網路選項→Temporary Internet files區塊的設定→檢視檔案。會開啟一個資料夾,請將裡面的所有檔案清除,當然如果你確定Cookie檔沒問題,可以不用刪除Cookie檔。注意!!該目錄內所有檔案刪除後,很多密碼紀錄都會消失,另刪除檔案前,請將目錄的顯示所有檔案的功能開啟。
第三步
重新用防毒軟體再掃描一次,確認無其他狀況。
以上為建議的發現有木馬後的動作,只有針對svchost.exe的木馬。其餘的不同木馬,就要根據掃毒軟體發現的種類去做了。
Svchost.exe是NT核心系統非常重要的檔,對於Windows 2000/XP來說,不可或缺。Svchost進程提供很多系統服務,如:logical disk manager、remote procedure call(RPC)、dhcp client、Automatic Updates、Background Intelligent Transfer Service、COM+ Event System、Internet Connection Sharing、Network Connections、Portable Media Serial Number Service、Remote Access Auto Connection Manager、Remote Access Connection Manager、Removable Storage、Routing and Remote Access、System Event Notification、Telephony、Wireless Configuration等等。
聰明的讀者一眼就可以看出,Svchost.exe對於系統來說是多麼的重要了。也正是因為Svchost.exe的重要性,所以病毒、木馬也想盡辦法來利用它,企圖利用它的特性來迷惑用戶,達到感染、入侵、破壞的目的。那麼應該如何判斷到底哪個是病毒進程呢?正常的Svchost.exe檔應該存在於“C:\Windows\system32”目錄下,如果發現該檔出現在其他目錄下就要小心了。另外,駭客們為了使用Svchost.exe達到進程欺騙的目的,有可能使用一些迷惑性的名字,如將字母o變成數位0(零),這樣程式的名稱就變成了svch0st.exe了,如果不注意觀察,很容易逃過普通用戶的眼睛。
以上節錄http://forum.icst.org.tw/phpBB2/viewtopic.php?t=9226該篇文章內容,接下來就是該如何處理木馬程式了。(PS.以下作法為建議作法,因為木馬太多種,我無法保證這樣做可以清除木馬)
作業環境:Windows XP
第一步:
開始→搜尋→所有檔案和資料夾→輸入”svchost.exe”,開啟進階選項→勾選”搜尋系統資料夾”、”搜尋隱藏檔案及資料夾”、”搜尋子資料夾”→開始搜尋。
結果若只出現一個在windows/system32/下的svchost.exe的話,那先恭喜你,但也可能是最糟的狀況,因為如果是在windows/system32目錄下的svchost.exe中毒的話,那表示你必須重新安裝系統比較安全,因為該目錄下的svchost.exe不能刪除。搜尋到其他目錄下有svchost.exe的,請不用客氣,因為它幾乎就是木馬程式,所以刪除他吧!
第二步
清除IE的暫存檔。IE→工具→網際網路選項→Temporary Internet files區塊的設定→檢視檔案。會開啟一個資料夾,請將裡面的所有檔案清除,當然如果你確定Cookie檔沒問題,可以不用刪除Cookie檔。注意!!該目錄內所有檔案刪除後,很多密碼紀錄都會消失,另刪除檔案前,請將目錄的顯示所有檔案的功能開啟。
第三步
重新用防毒軟體再掃描一次,確認無其他狀況。
以上為建議的發現有木馬後的動作,只有針對svchost.exe的木馬。其餘的不同木馬,就要根據掃毒軟體發現的種類去做了。
flybird 於 2006-11-21 01:08:00 修改文章內容