services.exe是微軟Windows作業系統的一部分。用於管理啟動和停止服務。該進程也會處理在計算機啟動和關機時運行的服務。這個程式對你系統的正常運行是非常重要的。終止進程後會重啟。
基本介紹
- 中文名:Services.exe
- 系統進程:是
- 後台程式:是
- 使用網路:否
進程檔案,進程名稱,描述,占用記憶體,病毒偽裝,基本信息,技術分析,問題描述,
進程檔案
services 或者 services.exe
進程名稱
Windows Service Controller
描述
正常的services.exe應位於%systemroot%\System32資料夾中,也就是在進程里用戶名顯示為“system”,不過services也可能是W32.Randex.R(儲存在%systemroot%\system32\目錄)和Sober.P (儲存在%systemroot%\Connection Wizard\Status\目錄)木馬。該木馬允許攻擊者訪問你的計算機,竊取密碼和個人數據。該進程的安全等級是建議立即刪除。
英文描述:
services.exe is a part of the Microsoft Windows Operating System and manages the operation of starting and stopping services. This process also deals with the automatic starting of services during the computers boot-up and the stopping of servicse durin
出品者:Microsoft Corp.
屬於:Microsoft Windows Operating System
硬體相關:否
常見錯誤:未知N/A
記憶體使用:1336kb
安全等級 (0-5): 0
間諜軟體:否
Adware: 否
廣告軟體:否
木馬: 否
本進程是和Windows系統一起啟動的,無論你使用的是Windows 2000還是Windows 7系統。由於其處理系統服務的啟動等重要功能,所以不建議大家將其結束。
占用記憶體
長時間使用電腦會導致services.exe占用大量記憶體,其主要原因是Event Log過多,而services.exe啟動時會載入Event log。由此使得進程占用大量記憶體。
病毒偽裝
基本信息
進程檔案:services.exe | |
檔案版本:未知N/A | |
檔案大小:33,792 位元組 | |
所在系統:Win9x,WinMe,WinNT,Win2000,WinXp,Win2003 | |
所在位置:C:\WINDOWS\system | |
MD5校驗碼:9881D76DFC1D1F40366C62246307C12F | |
進程名稱:Trojan.Win32.Agent.axx; Dropper.Win32.InsteadMem.b; Win32.Troj.Agent.33792 | |
描 述:services.exe是MSN蠕蟲變種,向MSN聯繫人傳送不同語言的誘惑文字訊息和帶毒壓縮檔,當聯繫人接收並打開帶毒壓縮檔中的病毒檔案時系統受到感染。 | |
出 品 者:未知N/A | |
屬 於:未知N/A | |
系統進程:否 | |
後台程式:是 | |
使用網路:是 | |
硬體相關:否 | |
常見錯誤:未知N/A | |
記憶體使用:未知N/A | |
風險等級(0-5):4 | |
間諜軟體:否 | |
廣告軟體:否 | |
病毒檔案:是 | |
木馬檔案:否 |
技術分析
==========
MSN蠕蟲變種,向MSN聯繫人傳送不同語言的誘惑文字訊息和帶毒壓縮檔,當聯繫人接收並打開帶毒壓縮檔中的病毒檔案時系統受到感染。
病毒運行後複製自身到系統目錄:
%systemroot%\system\services.exe
創建包含自身的帶毒ZIP壓縮檔:
%systemroot%\IMG0024.zip
壓縮檔中包含的病毒檔案名稱為:
創建啟動項:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Services Registry"="%Windows%\system\services.exe"
在Windows防火牆中添加自身到例外列表:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%systemroot%\system\services.exe"="%Windows%\system\services.exe:*:Enabled:Messenger Sharing"
設定註冊表信息:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
"WaitToKillServiceTimeout"="7000"
根據染毒系統的語言向MSN聯繫人傳送相應的誘惑文字訊息,同時傳送帶毒壓縮檔IMG0024.zip誘使聯繫人接收打開:
ay no ese pelo fue lo mas chistoso...q estabas pensando
jajaja yo me recuerdo cuando tuvistes el pelo asi
oye ponga esa foto en tu myspace como la foto principal
voy a poner esa foto de nosotros en mi blog ya
esa foto de tu y yo la voy a poner en myspace
hola esas son las fotos
jaja debes poner esa foto como foto principal en tu myspace o algo :D
oye voy a agregar esa foto a mi blog ya
jaja recuerda cuando tuviste el pelo asi
oye voy a poner esa foto de nosotros en mi myspace :->
Per favore nessuno lasciare vede le nostre foto
Io ricordo quando abbiamo portato questa foto
Caricher?questa foto al mio myspace adesso
省略。
清除步驟
⒈ 刪除病毒創建的啟動項:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Services Registry"="%Windows%\system\services.exe"
⒉ 重新啟動計算機
⒊ 刪除病毒檔案:
%systemroot%\system\services.exe
%systemroot%\IMG0024.zip
⒋ 刪除Windows防火牆例外列表中的“Messenger Sharing”項:
該項對應病毒檔案:%systemroot%\system\services.exe
⒌ 設定註冊表信息:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
"WaitToKillServiceTimeout"="20000"
注釋: services.exe 是存放在目錄 C:\Windows\System32。已知的 Windows XP 檔案大小為 108,032 位元組 (占總出現比率 81%),108,544 位元組,101,376 位元組,279,552 位元組,279,040 位元組,110,592 位元組,111,104 位元組,110,080 位元組,103,936 位元組。
services.exe 是 Windows 系統檔案。程式是不可見的。這個檔案是由 Microsoft 所簽發。總結在技術上威脅危險度是 6%,但是也可以參考 用戶意見。
如果 services.exe 位於在目錄 C:\Windows\System32\drivers下,那么威脅危險度是 77%。檔案大小是 546,816 位元組 (占總出現比率 59%),19,456 位元組,94,208 位元組,26,624 位元組,13,824 位元組,18,944 位元組,14,336 位元組,16,384 位元組,32,768 位元組,445,353 位元組,23,552 位元組,14,848 位元組,1,018,956 位元組,33,280 位元組,270,445 位元組,7,168 位元組。這個不是 Windows 系統檔案。程式是不可見的。檔案存放於 Windows 目錄但並非系統核心檔案。這個進程打開接口連到區域網路或網際網路。services.exe 是有能力可以 接到網際網路,監控應用程式,紀錄輸入。
詳細手動清除services.exe 病毒步驟
一、註冊表:先使用註冊表修復工具,或者直接使用regedit修正以下部分
⒈SYSTEM.INI (NT系統在註冊表:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon)
shell = Explorer.exe 1 修改為shell = Explorer.exe
⒉將 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下的
Torjan Program----------C:WINNTservices.exe刪除
⒊ HKEY_Classes_root.exe
默認值 winfiles 改為exefile
⒋刪除以下兩個鍵值:
HKEY_Classes_rootwinfiles
HKEY_Local_machinesoftwareclasseswinfiles
⒏ 查找“iexplore.pif”,應該能找到類似“%ProgramFiles%Common Filesiexplore.pif”的信息,把這內容改為“C:\Program FilesInternet Exploreriexplore.exe”
⒐ 刪除病毒添加的檔案關聯信息和啟動項:
[HKEY_CLASSES_ROOTwinfiles]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
“Torjan Program”=“%Windows%services.exe”
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices]
“Torjan Program”=“%Windows%services.exe”
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
“Shell”=“Explorer.exe 1”
改為
“Shell”=“Explorer.exe”
⒑ 這些是病毒釋放的一個VB庫檔案(MSWINSCK.OCX)的相關信息,不一定要刪除:
HKEY_CLASSES_ROOTMSWinsock.Winsock
HKEY_CLASSES_ROOTMSWinsock.Winsock.1
HKEY_CLASSES_ROOTCLSID{248DD896-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOTCLSID{248DD897-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOTInterface{248DD892-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOTInterface{248DD893-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOTTypeLib{248DD890-BB45-11CF-9ABC-0080C7E7B78D}
註:因為病毒修改了很多關聯信息,所以在那些病毒檔案沒有被刪除之前,請不要做任何多餘的操作,以免激活病毒
二、然後重啟系統,刪除以下檔案部分,注意打開各分區時,先打開“我的電腦”後請使用右鍵單擊分區,選“打開”進入。或者直接執行附屬檔案的Kv.bat來刪除以下檔案
c:antorun.inf (如果你有多個分區,請檢查其他分區是否有這個檔案,有也一併刪除)
%programfiles%common filesiexplore.pif
%windir%exeroute.exe
%windir%explorer
%windir%finder
%windir%mswinsck.ocx
%windir%services.exe
%windir%system32command.pif
%windir%system32dxdiag
%windir%system32finder
%windir%system32msconfig
%windir%system32 egedi
%windir%system32 undll32
刪除以下資料夾:
%windir%debug
%windir%system32NtmsData
問題描述
出現提示缺少exe檔案問題的大部分原因是因該檔案被木馬病毒破壞導致系統程式找不到此檔案,出現錯誤提示框,或程式無法運行,解決此問題只需找到專業的exe檔案下載網站,下載該檔案後,找到適合程式的檔案版本,複製到相應目錄。即可解決。
1、Windows 95/98/Me系統,則複製到C:\WINdows\system32\ 目錄下。
2、Windows NT/2000系統,則複製到C:\WINNT\system32\ 目錄下。
3、Windows XP系統,則複製到C:\WINdows\system32\ 目錄下。
4、Windows 7/8系統,則複製到C:\WINdows\system32\目錄下。
