网友遇到scvhsot.exe,SVCH0ST.EXE,wincabb.exe,wmcony.exe等

最新推荐文章于 2022-02-25 19:38:17 发布
原创 最新推荐文章于 2022-02-25 19:38:17 发布 · 2.2k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#c #email #service #windows #ie #xp

本文提供了一位网友遭遇Trojan-PSW.Win32.WOW.ms等木马后的解决步骤,包括安全模式启动、关闭系统还原、使用WinRAR备份并删除恶意文件、利用HijackThis修复注册表项等内容。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

endurer 原创

2006-12-20 第1版 

有一位网友发email来说,他遇到了与

遭遇Trojan-PSW.Win32.WOW.ms、Trojan.PSW.Lmir.lnv等木马

相似的问题,并附带了 HijackThis 扫描的简明log,可惜没有ProcView的进程列表。

在log中发现如下可疑项目:
/------
Logfile of HijackThis v1.99.1
Platform: Windows XP SP2 (WinNT 5.01.2600)

C:/WINDOWS/system32/scvhsot.exe
C:/DOCUME~1/yu/LOCALS~1/Temp/wincabb.exe


O4 - HKLM/../Run: [QQKAV] C:/WINDOWS/system32/scvhsot.exe
O4 - HKCU/../Run: [myZt] C:/WINDOWS/east/SVCH0ST.EXE
O4 - HKCU/../Run: [svc] C:/DOCUME~1/yu/LOCALS~1/Temp/wmcony.exe

O20 - AppInit_DLLs: 235780M.BMP

O23 - Service: MGAFGEXE - Matrox Graphics Inc. - C:/WINDOWS/system32/mgafg.exe
------/

修复建议:

以下操作方法可参考:【系统修复系列之】基本操作索引
http://endurer.blogchina.com/2591241.html


重启电脑到安全模式下

关闭系统还原功能


用WinRAR找到下列文件,打包备份后删除:
/------
C:/WINDOWS/system32/scvhsot.exe(注意:不是svchost.exe)
C:/WINDOWS/east/SVCH0ST.EXE
C:/Documents and Settings/yu/Local Settings/Temp/wincabb.exe
C:/Documents and Settings/yu/Local Settings/Temp/wmcony.exe
235780M.BMP(一般在c:/windows中)
------/

用WinRAR找到文件C:/WINDOWS/system32/mgafg.exe,打包备份,但不要删除。


关闭所有文件夹和IE窗口,用HijackThis修复下列项目:
/------
O4 - HKLM/../Run: [QQKAV] C:/WINDOWS/system32/scvhsot.exe
O4 - HKCU/../Run: [myZt] C:/WINDOWS/east/SVCH0ST.EXE
O4 - HKCU/../Run: [svc] C:/DOCUME~1/yu/LOCALS~1/Temp/wmcony.exe

O20 - AppInit_DLLs: 235780M.BMP
------/

清空IE临时文件夹。

重启电脑到正常模式,把先前打包备份的文件scvhsot.exe等作为email附件发到endurer@163.com

网友的电脑中发现scvhsot.exe的进程和启动项
Purpleendurer@优快云
12-30 2536
endurer 原创2006-12-30 第1版今天收到一位的求助Email,其中有HijakcThis 扫描的 log。在 log 发现可疑项:/===========Logfile of HijackThis v1.99.1Scan saved at 6:54:09, on 2006-12-30Platform: Windows XP SP2 (WinNT 5.01.2600)
php有个schost.exe_svchost.exe是什么
weixin_39978863的博客
12-21 230
打开任务管理器通常会发现不少的svchost.exe进程?svchost.exe是什么?svchost.exe是病毒吗?一、svchost.exe是什么svchost.exewindows操作系统一个非常重要的进程模块。因此很多病毒都利用svchost.exe来迷惑大家(有时候是svch0st.exe,在小写的时候0和o很难分辨)。通常XP操作系统下有五到六个svchost.exe进程,其中SY...
php有个schost.exe_全面认识Svchost.exe进程
weixin_39607937的博客
12-21 218
很多朋友对svchost.exe进程都不太了解,有时在任务管理器中一旦看到有多个该进程(有6个),就以为自己的电脑中了病毒或木马,其实并非如此!正常情况下,windows中可以有多个svchost.exe进程同时运行,例如Windows2000至少有2个Svchost进程,WindowsXP中有4个以上,Windows2003中则有更多,所以当你看到多个svchost进程时,未必就是病毒!svch...
php有个schost.exe_window_XP主要15个系统进程,  1.svchost.exe    进程文 - phpStudy...
weixin_35762553的博客
02-08 215
XP主要15个系统进程1.svchost.exe进程文件:svchost或者svchost.exe进程名称:microsoft service host process描述:svchost.exe是一个属于微软windows操作系统的系统程序,用于执行dll文件。这个程序对你系统的正常运行是非常重要的。注意:svchost.exe也有可能是w32.welchia.worm病毒,它利用windows...
勒索病毒与大家分享tpmagentservice.dll和TrustedHostServeces.exe
爱干点啥干点儿啥
01-27 1万+
有大约56个DLL文件。通过svchost.exe和spoolsv.exe,注入到系统进程。 会在 C:\windows\SecureBootThemes\Microsoft C:\windows\System32\SecureBootThemes 俩文件夹下面。 通常有两个配置文件。svchost.xml和spoolsv.xml,日志文件为stage2.txt 这是第一个svch
win7进程中的svchost.exe占用CPU和内存很高的原因和解决窍门
热门推荐
FollowYH的博客
08-04 2万+
转载自:http://blog.sina.com.cn/s/blog_542268bd0102w3uo.html 当您运行了Windows任务管理器后,您可能会在“进程”选项卡中看到若干个名称均为SVCHOST.EXE的进程正在同时运行。而且,这些SVCHOST.EXE可能有一个或若干个占用了较多的系统资源,影响了计算机的工作效率。 win7进程中的svchost.exe占用CPU和内
手动删除SVCH0ST.EXE的方法
weixin_33757609的博客
12-24 426
       最近几天在办公室的计算机上又发现了一种病毒,在进程管理器中多出了两个进程:SVCH0ST.EXEIEXPLORE.EXE,经一番查看揭开了它们的真面目,现将清除这种病毒的方法总结如下:   病毒特征说明:   1、SVCH0ST.EXE进程,乍一看酷似系统进程SVCHOST.EXE,但是仔细查看可以发现二者的差异,前者是数字“0”,而后者是字母“O”。   2、I...
svchost.exe应用程序错误怎么办,我来告诉你
senmmy的专栏
01-24 4956
svchost.exe是微软Windows操作系统中的一个系统程序,其微软官方对它的解释是:svchost.exe是从动态链接库(DLL)中运行的服务的通用主机进程名称。该程序对系统的正常运行起到了重中之重的作用,而且是不能被结束的。   Svchost.exe文件存在于“%system root%\system32”(如C:\Windows\system32)目录下,可以说是Windo
svchost.exe小记
a1b2c3是弱口令
11-26 1841
svchost.exe是一个属于微软Windows操作系统的系统程序,微软官方对它的解释是:Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。这个程序对系统的正常运行是非常重要,而且是不能被结束的。许多服务通过注入到该程序中启动,所以会有多个进程。在一次对系统可疑进程排查中发现发现这个很乱,所以学习了下。 进程信息 进程文件:svchost or svchos...
如何查杀运行状态下的EXE、DLL病毒
11-15
在进程中可发现的单进程或双进程EXE病毒或木马程序,例如`svch0st.exe`这类可疑进程,通常需要采取特定策略进行处理。 1. **单进程EXE病毒或木马程序**: - 部分杀毒软件可以直接发现并终止此类进程。 - 如果杀毒...
Reach-SVCH 219 - 1907-2006 - 20210101 - 最新完整英文电子版(540页).zip
10-01
Reach-SVCH 219 是一份重要的技术文档,涵盖了1907年至2006年间的相关技术内容,并在2021年1月1日进行了更新,提供了最新的完整英文电子版,总共540页。这份文档可能是关于某个特定领域的深度研究报告或技术规范,但...
服务器日常维护.doc
06-08
通常的后门如果有进程的话,一般会取一个与系统进程类似的名称,如svch0st.exe,此 时要仔细辨别[通常迷惑手段是变字母o为数字0,变字母l为数字1] 3、检查系统 打开计算机管理,展开本地用户和组选项,查看组选项,...
HTML文件中病毒,文件最下面附有<SCRIPT Language=VBScript><!-- DropFileName = “svchost.exe
qq_44371321的博客
01-18 2607
HTML文件最后带有: <SCRIPT Language=VBScript><!-- DropFileName = "svchost.exe" WriteData = "4D5A90000300000004000000FFFF0000B8000000000000004000000000000000000000000000000000000000000000000000000000000000000000008800000009DAF5C5C824EA25F0055C7EB55610FA4A
K8s 很难么?带你从头到尾捋一遍,不信你学不会
民工哥的博客
02-23 9874
点击关注公众号,回复“1024”获取2TB学习资源!为什么要学习 Kubernetes?虽然 Docker 已经很强大了,但是在实际使用上还是有诸多不便,比如集群管理、资源调度、文件管理等...
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)
北豼不太皮的博客
02-21 4031
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)一、学习目标二、了解单片机STM32F401RET6三、C语言基础 一、学习目标 二、了解单片机STM32F401RET6 4、STM32F401RE特征 三、C语言基础 1.数据类型 常用2的次方: 2^7 = 128 2^8 = 256 2^15 = 32768 2^16= 65536 51单片机常见的数据类型: char: 占内存1字节 取值范围:-128~127 -2^7 ~ 2
Android开发(1) | Fragment 的应用——新闻应用
Jormungand_V的博客
02-21 7418
文章目录 news_item.xml: <TextView xmlns:android="http://schemas.android.com/apk/res/android" android:id="@+id/news_title" android:layout_width="match_parent" android:layout_height="wrap_content" android:lines="1" android:ellipsize="
系统学习 TypeScript(四)——变量声明的初步学习
编程三昧
02-25 1958
认识了 TypeScript 中的基础类型,接下来当然是变量声明的相关学习了,我在这里记录一下我学习过程中的一些总结。
清除浮动的五种方法
weixin_52212950的博客
02-22 3022
为什么要清除浮动?因为往往浮动后的子元素因为脱离了标准流,不能自动撑起父元素的高度,所以会对后续布局产生影响,对此清除浮动不如理解为清除浮动产生的影响更为合理。 例如:我们设置了两个盒子如图所示,粉色为父盒子,只有宽度没有高度,蓝色盒子有宽有高,粉色盒子的高由蓝盒子的高度撑开。 但是给蓝色的子盒子设置了左浮动后,脱离了标准流,无法再撑开粉盒子,可以看到粉盒子高度变成了0; 清除浮动有五种方法: 直接设置父元素的高度 额外标签法 单伪元素法 双伪元素法 ove.
Reach-SVCH 219英文版电子书完整更新版发布
资源摘要信息: "Reach-SVCH 219 - 1907-2006 - *** - 最新完整英文电子版(540页).zip" 是一个包含单一文件的压缩包,该文件为 "Reach-SVCH 219 - 1907-2006 - *** - 最新完整英文电子版(540页).pdf" 的PDF格式...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

紫郢剑侠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值