木馬的行為介紹－Svchost

木馬的行為介紹－Svchost



過年前我差點被這隻木馬搞瘋

一直出現 Svchost.exe訊息，上網時變的十分龜速，在windows\temp裡，竟然造成一堆垃圾，佔有 502 MB

之多，刪不掉，殺掉又會重生，殺到我手軟，簡直是「陰魂不散」－－－我判定大概是病毒搞的鬼－－－於是：



用NOD32掃，抓不到，用

AVG Anti-Spyware 7.5.0.50也偵測不到，最後乾脆用搜尋的，找到了兩隻，一隻在windows\裡，另

一隻在windows\system32\裡，無法判定哪一隻是對的，跑去別人家找，原來正確的是在windows\system32里

搞怪的就在windows\裡的這一隻，用刪的，刪不掉，用 Unlock，說重新開機後會刪，結果開機後，依然存在

，再刪它，依然不動如山，真氣死我也！最後用 Ghost才解決問題。

後來找到了這篇，才得知它是令人討厭的「木馬」，提供大家參考：



1. Svchost這支木馬跟系統中預設的程式Svchost.exe名稱一模一樣，目前在網路

上查不到任何的資訊，也就是在一些安全軟體的木馬資料中並沒有它的特徵

值，所以無法偵測到它的存在。也因它的名稱是用系統中原本就有的檔案名

稱，一般使用者很難去查覺。

2. 它會將本身程式（Svchost.exe）放在c:\windows中，正常的Svchost是存放在

c:\windows\system32中。

3. 它會主動用80-Port連線至下列的IP：

61.220.57.10

61.221.104.67

如何清除Svchost

1. 查看Registry中是否有下列任一機碼，如果有的話請將它刪除：

[HKET_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

「Svchost.exe」=」c:\windows\Svchost.exe」

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

「Svchost.exe」=」c:\windows\Svchost.exe」

[HEKY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

「Svchost.exe」=」c:\windows\Svchost.exe」

2. 將機碼刪除重新開機後，將Services.exe這個檔案刪除。

註：一定要先刪機碼並重新開機後，才可刪除該檔案。