这个周末我发现我的电脑可能感染了某种病毒或间谍软件。我的任务管理器中有一个“svchost.exe -k netsvcs”,它以我的用户名运行,而不是 SYSTEM 帐户。SYSTEM 帐户下已经有另一个具有相同命令行选项的相同进程。
此用户帐户 svchost.exe 持续消耗 50% 的 CPU(我的 CPU 的两个核心中的 1 个)。在 Process Explorer 中,我可以看到它是由 explorer.exe 而不是 services.exe 启动的。但是,我无法在注册表或磁盘中找到其真正的服务 dll 位置。有人知道如何找到这个恶意程序吗?
答案1
只需使用ProcessExplorer
。这里是一篇文章。
答案2
制作一个启动 AV 光盘,然后从该光盘启动并扫描硬盘,删除它发现的任何感染,我自己喜欢卡巴斯基光盘。
http://www.techmixer.com/free-bootable-antivirus-rescue-cds-download-list/
然后:安装免费的 MBAM,运行该程序并转到“更新”选项卡并进行更新,然后转到“扫描仪”选项卡并进行快速扫描,选择并删除它找到的任何内容。
http://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html
当 MBAM 完成安装 SAS 免费版本后,运行快速扫描,删除其自动选择的内容。 http://www.superantispyware.com/download.html
MBAM 和 SAS 不是 Norton 之类的 AV 软件,它们是按需扫描程序,仅在您运行程序时扫描恶意软件,不会干扰 Norton 之类的 AV 程序,这些程序可以每周运行一次以确保您没有受到感染。请确保在每次每周扫描之前更新它们。
。
答案3
进程监控器,同样由 SysInternals 制作的会是更好的选择,只需为 svchost 创建一个过滤器。