sercives.exe是病毒!!!它伪装系统services.exe!
病毒名称: "网络天空"(Worm_Netsky.B )
其它英文命名:W32/Netsky.b@MM (McAfee)
W32/Netsky.B.worm (Panda)
WORM_NETSKY.B (Trend Micro)
Moodown.B (F-Secure)
I-Worm.Moodown.b (Kaspersky)
感染系统:Win9x/WinMe/WinNT/Win2000/WinXP/Win2003
病毒长度:22,016 字节(压缩后),1,984 字节(解压后)
病毒特征:
病毒使用UPX压缩,通过电子邮件进行传播。运行后,在Windows目录下生成自身的拷贝,修改注册表键值。病毒的拷贝有两个扩展名,使用Word的图标,并在共享文件夹中生成自身拷贝。
1、生成病毒文件
病毒运行后,在%Windows%目录下生成自身的拷贝,名称为services.exe,
(其中,%Windows% 是Windows的默认文件夹,通常是 C:Windows 或 C:WINNT)
2、修改注册表项
病毒创建注册表项,使得自身能够在系统启动时自动运行,在
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下创建
sservice = %Windows%services.exe -serv
3、通过电子邮件进行传播
病毒在被感染用户的系统内搜索所有扩展名为.msg 、.oft 、.sht 、.dbx 、.tbb 、.adb 、.doc 、.wab 、.asp 、.uin 、.rtf 、.vbs 、.html 、.htm 、.pl 、.php 、.txt的文件,并从中寻找合法电子邮件地址,并使用的自带的SMTP向这些地址发送带毒的电子邮件。
病毒发送的带毒电子邮件格式如下:
发件人:(可能不是真实的邮件地址,具有欺骗性的地址)
主题:(为下列之一)
hi
hello
read it immediately
something for you
warning
information
stolen
fake
unknown
内容:(为下列之一)
anything ok?
what does it mean?
ok
i'm waiting
read the details.
here is the document.
read it immediately!
my hero
here
is that true?
is that your name?
is that your account?
i wait for a reply!
is that from you?
you are a bad writer
I have your password!
something about you!
kill the writer of this document!
i hope it is not true!
your name is wrong
i found this document about you
yes, really?
that is bad
here it is
see you
greetings
stuff about you?
something is going wrong!
information about you
about me
from the chatter
here, the serials
here, the introduction
here, the cheats
that's funny
do you?
reply
take it easy
why?
thats wrong
misc
you earn money
you feel the same
you try to steal
you are bad
something is going wrong
something is fool
附件:(名称为下列之一,同时带有双扩展名)
document
msg
doc
talk
message
creditcard
details
attachment
me
stuff
posting
textfile
concert
information
note
bill
swimmingpool
product
topseller
ps
shower
aboutyou
nomoney
found
story
mails
website
friend
jokes
location
final
release
dinner
ranking
object
mail2
part2
disco
party
misc
附件扩展名1:(为下列之一)
.txt
.rtf
.doc
.htm
附件扩展名2:(为下列之一)
.exe
.scr
.com
.pif
5、病毒发作现象
在病毒第一次运行的时候,它显示包含如下字符串的信息框: The file could not be opened!(如下图所示)
6、病毒还在共享文件夹下生成自身的拷贝,病毒拷贝的名称为下列之一:
doom2.doc.pif
sex sex sex sex.doc.exe
rfc compilation.doc.exe
dictionary.doc.exe
win longhorn.doc.exe
e.book.doc.exe
programming basics.doc.exe
how to hack.doc.exe
max payne 2.crack.exe
e-book.archive.doc.exe
virii.scr
nero.7.exe
eminem - lick my pussy.mp3.pif
cool screensaver.scr
serial.txt.exe
office_crack.exe
hardcore porn.jpg.exe
angels.pif
porno.scr
matrix.scr
photoshop 9 crack.exe
strippoker.exe
dolly_buster.jpg.pif
winxp_crack.exe
手工清除该病毒的相关操作:
1、终止病毒进程
在Windows 9x/ME系统,同时按下CTRL+ALT+DELETE,在Windows NT/2000/XP系统中,同时按下CTRL+SHIFT+ESC,选择"任务管理器--〉进程",选中正在运行的进程"services.exe",并终止其运行。
2、注册表的恢复
点击"开始--〉运行",输入regedit,运行注册表编辑器,依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,并删除面板右侧的sservice = %Windows%services.exe -serv
3、删除病毒释放的文件
点击"开始--〉查找--〉文件和文件夹",查找文件"services.exe",并将找到的文件删除。
4、运行杀毒软件,对系统进行全面的病毒查杀
从病毒设定的发作截止日期我们看出,该病毒的运行时间主要在春节期间,这一时期很多用户会上网收发邮件,互致问候,病毒邮件就掺杂在其中迷惑用户。所以,用户一定要了解该病毒的主要特征,遇到此类邮件立即删除,千万不要打开邮件的附件,避免病毒的感染和进一步的传播。
目前,趋势和江民、瑞星公司已经上报解决方案,并对产品进行了升级,都可以有效的清除该病毒。
长时间使用电脑会导致services.exe占用大量内存,其主要原因是Event Log过多,而services.exe启动时会加载Event log。由此使得进程占用大量内存。解决方法:“控制面板”-“管理工具”-“事件查看器”里,把三种事件日志全部清空。如果这样还是不行,估计就是中毒了。赶紧杀毒!
http://baike.baidu.com/view/417608.htm#4
系统程序!你关闭自动更新,防火墙看看。估计后台在更新补丁或者是程序。查看启动项,关闭除去杀毒软件和输入法以外的启动项,重启电脑,要是还不行就是中毒了。
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024