新手也能對(duì)付病毒：清除svch0st.exe

holly0708

如果安裝了傻瓜式的雨過(guò)天晴電腦保護(hù)系統(tǒng)，只要恢復(fù)還原一下就可以徹底的清楚病毒了，但是如果沒(méi)有的話，就需要按照以下的步驟來(lái)操作了：
svch0st.exe和系統(tǒng)進(jìn)程svchost.exe只差一個(gè)字符，注意svch0st.exe中的0這個(gè)是數(shù)字零，而系統(tǒng)進(jìn)程svchost.exe中的o是字母O。

       該病毒運(yùn)行后在系統(tǒng)文件夾System下創(chuàng)建自身的副本，文件名為svch0st.exe。
（其中，System在Windows 95/98/Me 下為C:\Windows\System，在Windows NT/2000下為C:\Winnt\System32，在Windows XP下為 C:\Windows\System32）

       隨后病毒修改注冊(cè)表，以達(dá)到隨系統(tǒng)啟動(dòng)而自動(dòng)運(yùn)行的目的，在
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run下創(chuàng)建：
    "svch0st.exe" = "System\svch0st.exe"
    "taskmgr.exe" = "System\svch0st.exe"

      病毒運(yùn)行后檢查IE窗口標(biāo)題欄，判定當(dāng)前窗口是否為網(wǎng)上銀行的登陸頁(yè)面，涉及到國(guó)內(nèi)多家銀行的網(wǎng)上交易系統(tǒng)。一旦發(fā)現(xiàn)當(dāng)前IE窗口為上述銀行的登陸頁(yè)面，病毒立即開始記錄鍵盤輸入的所有鍵值，記錄的鍵值幾乎包括了所有可能的鍵盤錄入。竊取的用戶信息包括網(wǎng)上銀行的帳號(hào)、密碼、驗(yàn)證碼等。當(dāng)病毒截獲被感染計(jì)算機(jī)所輸入的鍵盤值后，將其竊取到的信息發(fā)送到指定的地址。

清除方法：

      關(guān)閉系統(tǒng)還原，開始－運(yùn)行：msconfig　（運(yùn)行系統(tǒng)配置程序）。

      在啟動(dòng)項(xiàng)中取消"svch0st.exe" = "%System%\svch0st.exe"和 "taskmgr.exe" = "%System%\svch0st.exe" 兩項(xiàng)前面的勾。

      打開任務(wù)管理器終止svch0st.exe,要看清楚不要弄錯(cuò)了。

      運(yùn)行系統(tǒng)搜索功能，并打開高級(jí)選項(xiàng)，查找隱藏的文件，查找svch0st.exe并刪除。