1svchostexe涉及到多的系统服务,比如,DNS Client、DHCP Client、Windows Defender、Superfetch、Server、Background Intelligent Transfer Service、Windows Update等,它们的进程名都是svchostexe,会联网的也有好几个,所以要想在电脑上上网,又要省流量,需要进行一番设置。
2自动更新:设置为检查更新,但是让我选择是否下载和安装更新。如果不用自动更新,可以禁用其相关服务;如果想用又想不让它乱下载,可以这样设置。将下面》《里面的内容分别复制到记事本(不复制》《),另存为bat文件(所有文件),需要以管理员身份打开。更新之前用第二个批处理,重启更新配置好之后用第一个禁用,也可以加入计划任务设置……这里的BITS服务是用来“使用空闲网络带宽在后台传送文件”说难听些就是偷偷后台下载。很有可能是它在搞鬼。
停用自动更新的批处理——》
@echo off
title 正在停用自动更新相关服务
sc config wuauserv start= disabled
net stop wuauserv
sc config BITS start= disabled
net stop BITS
ping -n 3 127001>nul
《——
启用自动更新的批处理——》
@echo off
title 正在启用自动更新相关服务
sc config wuauserv start= delayed-auto
net start wuauserv
sc config BITS start= delayed-auto
net start BITS
ping -n 3 127001>nul
《——
3Windows Defender如果不是用可以禁用Windows Defender服务,运行servicemsc可以打开服务来设置。用的话在软件的界面、工具、选项,把“扫描前检查更新的定义”去掉。
4把系统里面其它会联网的软件、会自动更新的都取消,包括什么输入法、浏览器、Java运行库、播放器等等。
5运行Perfmon /res打开资源监视器,查看是那些进程在后台联网,利用其写入磁盘的文件及进程名等来确认是哪个软件或服务,该停用的停用,该关闭的关闭。可以在上网时打开资源监视器,实时监视联网的进程,不对劲就强行断网。
6开始菜单输入高级,打开高级安全Windows防火墙,设置出站规则,来禁止相关软件自动联网。
7许多杀毒软件也会在后台联网,即使关闭其自动更新也不行,比如Avast!,可以禁用相关功能,没办法,不是宽带吗?
8现在许多浏览器都可以上Wap网站,比如Opera、IE9,再把它们的页面动画、声音关闭,会省许多流量。
9听说你用的360,将其加入高级防火墙的出站规则中,禁止请联网,从其网站下载离线更新包来更新,或在更新时在更改那个规则。
10经过上述设置,相信会很大程度上减少或避免svchost exe无限上传与下载的问题,要善于利用资源监视器,祝你好运!
@echo off
echo ------------U盘杀毒------------
@echo
@echo
pause
@echo
@echo
echo 正在清除病毒
taskkill /F /IM winserviceexe
@echo
@echo
echo 请稍等5秒钟
pause
rd /S /Q C:\WINDOWS\winsystem
@echo
@echo
rem 删除病毒文件
echo 正在恢复文件夹
@echo
@echo
rem 取消属性
dir /a:ds /b >dirtxt
for /f "tokens= delims= " %%i in (dirtxt) do call :ss "%%i"
del dirtxt
attrib -s -h -r openexe
del openexe
del "lnk"
attrib +s +h "System Volume Information"
attrib +s +h "&"
@echo
@echo
@echo
@echo
echo 清除成功。。。
pause
goto :eof
:ss
set var=%1
echo 正在修复文件夹 %var%
attrib -s -h -r %var%
goto :e
肯定中毒了
利用假冒Svchostexe名称的病毒程序 这种方式运行的病毒并没有直接利用真正的Svchostexe进程,而是启动了另外一个名称同样是Svchostexe的病毒进程,由于这个假冒的病毒进程并没有加载系统服务,它和真正的Svchostexe进程是不同的,只需在命令行窗口中运行一下“Tasklist /svc”,如果看到哪个Svchostexe进程后面提示的服务信息是“暂缺”,而不是一个具体的服务名,那么它就是病毒进程了,记下这个病毒进程对应的PID数值(进程标识符),即可在任务管理器的进程列表中找到它,结束进程后,在C盘搜索Svchostexe文件,也可以用第三方进程工具直接查看该进程的路径,正常的Svchostexe文件是位于%systemroot%\System32目录中的,而假冒的Svchostexe病毒或木马文件则会在其他目录,例如“w32welchinaworm”病毒假冒的Svchostexe就隐藏在Windows\System32\Wins目录中,将其删除,并彻底清除病毒的其他数据即可。 2:一些高级病毒则采用类似系统服务启动的方式,通过真正的Svchostexe进程加载病毒程序,而Svchostexe是通过注册表数据来决定要装载的服务列表的,所以病毒通常会在注册表中采用以下方法进行加载: 添加一个新的服务组,在组里添加病毒服务名在现有的服务组里直接添加病毒服务名 修改现有服务组里的现有服务属性,修改其“ServiceDll”键值指向病毒程序判断方法:病毒程序要通过真正的Svchostexe进程加载,就必须要修改相关的注册表数据,可以打开[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\
CurrentVersion\Svchost],观察有没有增加新的服务组,同时要留意服务组中的服务列表,观察有没有可疑的服务名称,通常来说,病毒不会在只有一个服务名称的组中添加,往往会选择LocalService和netsvcs这两个加载服务较多的组,以干扰分析,还有通过修改服务属性指向病毒程序的,通过注册表判断起来都比较困难,这时可以利用前面介绍的服务管理专家,分别打开LocalService和netsvcs分支,逐个检查右边服务列表中的服务属性,尤其要注意服务描述信息全部为英文的,很可能是第三方安装的服务,同时要结合它的文件描述、版本、公司等相关信息,进行综合判断。例如这个名为PortLess BackDoor的木马程序,在服务列表中可以看到它的服务描述为“Intranet Services”,而它的文件版本、公司、描述信息更全部为空,如果是微软的系统服务程序是绝对不可能出现这种现象的。从启动信息“C:\WINDOWS\System32\svchostexe -k netsvcs”中可以看出这是一款典型的利用Svchostexe进程加载运行的木马,知道了其原理,清除方法也很简单了:先用服务管理专家停止该服务的运行,然后运行regeditexe打开“注册表编辑器”,删除[HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\IPRIP]主键,重新启动计算机,再删除%systemroot%\System32目录中的木马源程序“svchostdlldll”,通过按时间排序,又发现了时间完全相同的木马安装程序“PortlessInstexe”,一并删除即可。
计算机木马的名称来源于古希腊的特洛伊木马的故事,希腊人围攻特洛伊城,很多年不能得手后想出了木马的计策,他们把士兵藏匿于巨大的木马中。在敌人将其作为战利品拖入城内后,木马内的士兵爬出来,与城外的部队里应外合而攻下了特洛伊城。
计算机木马的设计者套用了同样的思路,把木马程序插入正常的软件、邮件等宿主中。在受害者执行这些软件的时候,木马就可以悄悄地进入系统,向黑客开放进入计算机的途径。
如果你的机器有时死机,有时又重新启动;在没有执行什么 *** 作的时候,却在拼命读写硬盘;系统莫明其妙地对软驱进行搜索;没有运行大的程序,而系统的速度越来越慢,系统资源占用很多;用任务管理器调出任务表,发现有多个名字相同的程序在运行,而且可能会随时间的增加而增多,这时你就应该查一查你的系统,是不是有木马在你的计算机里安家落户了。
木马的产生与发展
与病毒一样,木马也是从Unix平台上产生出来,在Windows *** 作系统上“发扬光大”的。最早的Unix木马与现在流行的BO、冰河等有很大的不同,它是运行在服务器后台的一个小程序,伪装成Unix的login登录过程。那时候计算机还属于很珍贵的宝物,不是个人能够买得起的,某个大学、研究机构可能会有一台计算机,大家都从终端上用自己的帐号来登录连接到它上面。那么我们就可以看一下,用户向一台中了木马的计算机上登录时会发生什么事情:用户登录的时候,木马劫持登录过程,向用户提供一个与正常登录界面一样的输入窗口,骗用户输入。在得到用户名和口令之后,木马就会把它存放起来,然后把真正的登录进程调出来。这时用户看到登录界面第二次出现了,这与通常的密码错误的现象是一样的,于是用户再次输入信息而进入系统。整个过程没有人发觉,而密码已经保存在硬盘的某个小角落里了,黑客隔一段时间就可以访问一下服务器,看看有多少收获。
随着木马开发者们孜孜不倦的努力,随后又出现了ftp型、破坏型、信息发送型等等的接班人。ftp型打开所在计算机的端口,使他人可以跳过密码上传或下载;信息发送型木马找到系统中的重要信息如密码等,用e-mail发送到指定的信箱中;破坏型可以删除文件甚至格式化硬盘(真是损人不利已)。不过现在最流行的还是远程控制型的,我们要在这里详细介绍。下面咱们掀起她的盖头来,分析一下这木马的行动原理。
远程控制型木马的运行原理
这是目前最受广大黑帽子欢迎的一类木马。以冰河为例,在一台中了招的机器上,除了正常的服务(如FTP等)之外,冰河的服务器端,就是安装在受害机器上的木马,会秘密地开放出一个默认的TCP 7626端口,让黑客连接实现远程控制。这与正规的PC-Anywhere、Terminal Service等商业远程管理软件的效果是一样的。同样可以进行远程桌面的直接控制,冰河服务器端的大小是260多K,而商业软件是一、二十兆。这种黑客软件做得也真是够精巧的了。当然这也是木马成功进入他人系统的必要条件,太大的木马很容易被别人发觉。
木马是怎样植入计算机的?
木马首先要伪装自己。一般有两种隐藏手段,第一种是把自己伪装成一般的软件。我在做安全工程的时候就碰到一个程序员中了木马,他在论坛上得到一个小程序,拿下来执行了一下,但系统报告了内部错误,程序退出了。他认为是程序没有开发好,就没有在意。谁知有一天自己的QQ密码怎么也进不去,他才觉得不对了。我们后来检查那个程序,果然是个木马伪装成的,在木马代码的前段会完成自我安装与隐藏的过程,最后显示一个错误信息,骗过用户。
第二种是把自己绑定在正常的程序上面。老到的黑客可以通过编程把一个正版winzip安装程序和木马编译成一个新的文件,它即可以一边进行winzip程序的正常安装,一边神不知鬼不觉地把木马种下去。这种木马有可能被细心的用户发觉,因为这个winzip程序在绑定了木马之后尺寸就会变大。
伪装之后,木马就可以通过邮件发给被攻击者了,或者是放在网站上供人下载。黑客还会为它们加上一些动人的话语来诱惑别人,象“最新笑笑小**!”、“cuteFTP40完全解密版!!!”(一点不骗人,安装了这个cuteFTP之后,你的机器就被“完全解密”了)。那些喜欢免费盗版的朋友们也要小心了。(写到这里突然想起一句名言:这世上没有比免费更贵的了)
木马(Trojan)这个名字来源于古希腊传说(荷马史诗中木马计的故事,Trojan一词的本意是特洛伊的,即代指特洛伊木马,也就是木马计的故事)。
“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程 *** 控被种者的电脑。“木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。
它是指通过一段特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是客户端,即控制端,另一个是服务端,即被控制端。植入被种者电脑的是“服务器”部分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障了! 木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接,其控制端将享有服务端的大部分 *** 作权限,例如给计算机增加口令,浏览、移动、复制、删除文件,修改注册表,更改计算机配置等。
随着病毒编写技术的发展,木马程序对用户的威胁越来越大,尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己,使普通用户很难在中毒后发觉。
木马的种类
[编辑本段]
1 网络游戏木马
随着网络在线游戏的普及和升温,我国拥有规模庞大的网游玩家。网络游戏中的金钱、装备等虚拟财富与现实财富之间的界限越来越模糊。与此同时,以**网游帐号密码为目的的木马病毒也随之发展泛滥起来。
网络游戏木马通常采用记录用户键盘输入、Hook游戏进程API函数等方法获取用户的密码和帐号。窃取到的信息一般通过发送电子邮件或向远程脚本程序提交的方式发送给木马作者。
网络游戏木马的种类和数量,在国产木马病毒中都首屈一指。流行的网络游戏无一不受网游木马的威胁。一款新游戏正式发布后,往往在一到两个星期内,就会有相应的木马程序被制作出来。大量的木马生成器和黑客网站的公开销售也是网游木马泛滥的原因之一。
2 网银木马
网银木马是针对网上交易系统编写的木马病毒,其目的是**用户的卡号、密码,甚至安全证书。此类木马种类数量虽然比不上网游木马,但它的危害更加直接,受害用户的损失更加惨重。
网银木马通常针对性较强,木马作者可能首先对某银行的网上交易系统进行仔细分析,然后针对安全薄弱环节编写病毒程序。如2004年的“网银大盗”病毒,在用户进入工行网银登录页面时,会自动把页面换成安全性能较差、但依然能够运转的老版页面,然后记录用户在此页面上填写的卡号和密码;“网银大盗3”利用招行网银专业版的备份安全证书功能,可以**安全证书;2005年的“新网银大盗”,采用API Hook等技术干扰网银登录安全控件的运行。
随着我国网上交易的普及,受到外来网银木马威胁的用户也在不断增加。
3 即时通讯软件木马
现在,国内即时通讯软件百花齐放。QQ、新浪UC、网易泡泡、盛大圈圈……网上聊天的用户群十分庞大。常见的即时通讯类木马一般有3种:
一、发送消息型。通过即时通讯软件自动发送含有恶意网址的消息,目的在于让收到消息的用户点击网址中毒,用户中毒后又会向更多好友发送病毒消息。此类病毒常用技术是搜索聊天窗口,进而控制该窗口自动发送文本内容。发送消息型木马常常充当网游木马的广告,如“武汉男生2005”木马,可以通过MSN、QQ、UC等多种聊天软件发送带毒网址,其主要功能是**传奇游戏的帐号和密码。
二、盗号型。主要目标在于即时通讯软件的登录帐号和密码。工作原理和网游木马类似。病毒作者盗得他人帐号后,可能偷窥聊天记录等隐私内容,或将帐号卖掉。
三、传播自身型。2005年初,“MSN性感鸡”等通过MSN传播的蠕虫泛滥了一阵之后,MSN推出新版本,禁止用户传送可执行文件。2005年上半年,“QQ龟”和“QQ爱虫”这两个国产病毒通过QQ聊天软件发送自身进行传播,感染用户数量极大,在江民公司统计的2005年上半年十大病毒排行榜上分列第一和第四名。从技术角度分析,发送文件类的QQ蠕虫是以前发送消息类QQ木马的进化,采用的基本技术都是搜寻到聊天窗口后,对聊天窗口进行控制,来达到发送文件或消息的目的。只不过发送文件的 *** 作比发送消息复杂很多。
4 网页点击类木马
网页点击类木马会恶意模拟用户点击广告等动作,在短时间内可以产生数以万计的点击量。病毒作者的编写目的一般是为了赚取高额的广告推广费用。此类病毒的技术简单,一般只是向服务器发送>
以上就是关于【Windows 7】我的本本系统是正版的win7旗舰版的,最近有个系统程序svchost.exe老是无限量的上传、下载全部的内容,包括:【Windows 7】我的本本系统是正版的win7旗舰版的,最近有个系统程序svchost.exe老是无限量的上传、下载、木马病毒如何破解(源代码破解)、每次开机后,屏幕d出:windows找不到文件C\WINDOWS\svchost.exe怎处理等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)