Services.exe

Services.exe是什么?services是什么进程?Services.exe占用内存过高怎么办?services.exe病毒如何查杀?请看本文。

Services.exe是什么
Services.exe
进程文件：services 或者services.exe
进程名称：Windows Service Controller
描述
services.exe是微软Windows操作系统的一部分。

用于管理启动和停止服务。

该进程也会处理在计算机启动和关机时运行的服务。

这个程序对你系统的正常运行是非常重要的。

终止进程后会重启。

正常的services.exe应位于%systemroot%System32文件夹中，也就是在进程里用户名显示为“system”，不过services也可能是W32.Randex.R(储存在%systemroot%system32目录)和Sober.P (储存在%systemroot%Connection WizardStatus目录)木马。

该木马允许攻击者访问你的计算机，窃取密码和个人数据。

该进程的安全等级是建议立即删除。

属于：Microsoft Windows Operating System
系统进程：是
后台程序：是
使用网络：否
硬件相关：否
常见错误：未知N/A
内存使用：1336kb
安全等级(0-5)：0
间谍软件：否
Adware: 否
广告软件：否
木马：否
Services.exe占用内存过高
长时间使用电脑会导致services.exe占用大量内存，其主要原因是Event Log过多，而services.exe启动时会加载Event log。

由此使得进程占用大量内存。

解决方法：“控制面板”-“管理工具”-“事件查看器”里，把三种事件日志全部清空。

Services.exe病毒(msn蠕虫变种)分析
病毒行为：
病毒运行后复制自身到系统目录：
%systemroot%systemservices.exe
创建包含自身的带毒ZIP压缩包：
%systemroot%IMG0024.zip
压缩包中包含的病毒文件名为：
创建启动项：
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRun]
"Windows Services Registry"="%Windows%systemservices.exe"
在Windows防火墙中添加自身到例外列表：
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesShared
AccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsList]
"%systemroot%systemservices.exe"="%Windows%systemservices.exe:*:Enabled:Messenger Sharing"
设置注册表信息：
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl]
"WaitToKillServiceTimeout"="7000"
根据染毒系统的语言向MSN联系人发送相应的诱惑文字消息，同时发送带毒压缩包IMG0024.zip诱使联系人接收打开。

尝试连接远程IRC：
Services.exe病毒手动清除：
一、注册表修复
使用注册表修复工具，或者直接使用regedit修正以下部分
1.SYSTEM.INI (NT系统在注册表：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon)
shell = Explorer.exe 1 修改为shell = Explorer.exe
2.将HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下的
Torjan Program----------C:WINNTservices.exe删除
3. HKEY_Classes_root.exe
默认值winfiles 改为exefile
4.删除以下两个键值：
HKEY_Classes_rootwinfiles
HKEY_Local_machinesoftwareclasseswinfiles
5. 打开注册表编辑器，依此分别查找""、""、"command.pif"，把找到的内容里面的""、""、"command.pif"分别改为"Rundll32.exe"
6. 查找""的信息，把找到的内容里面的""改为"iexplore.exe"
7. 查找""的信息，把找到的内容里面的""改为"explorer.exe"
8. 查找"iexplore.pif"，应该能找到类似"%ProgramFiles%Common Filesiexplore.pif"的信息，把这内容改为"C:Program FilesInternet Exploreriexplore.exe"
9. 删除病毒添加的文件关联信息和启动项：
[HKEY_CLASSES_ROOTwinfiles]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRun]\
"Torjan Program"="%Windows%services.exe"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRunServices]
"Torjan Program"="%Windows%services.exe"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
"Shell"="Explorer.exe 1"
改为
"Shell"="Explorer.exe"
10. 这些是病毒释放的一个VB库文件(MSWINSCK.OCX)的相关信息，不一定要删除：HKEY_CLASSES_ROOTMSWinsock.Winsock
HKEY_CLASSES_ROOTMSWinsock.Winsock.1
HKEY_CLASSES_ROOTCLSID
HKEY_CLASSES_ROOTCLSID
HKEY_CLASSES_ROOTInterface
HKEY_CLASSES_ROOTInterface
HKEY_CLASSES_ROOTTypeLib
注：因为病毒修改了很多关联信息，所以在那些病毒文件没有被删除之前，请不要做任何多余的操作，以免激活病毒
二、删除病毒文件
重启系统，删除以下文件部分，注意打开各分区时，先打开“我的电脑”后请使用右键单击分区，选“打开”进入。

或者直接执行附件的Kv.bat来删除以下文件
c:antorun.inf (如果你有多个分区，请检查其他分区是否有这个文件，有也一并删除)
%programfiles%common filesiexplore.pif
%programfiles%Internat
%windir%.com
%windir%exeroute.exe
%windir%
%windir%
%windir%mswinsck.ocx
%windir%services.exe
%windir%system32command.pif
%windir%
%windir%
%windir%
%windir%
%windir%
删除以下文件夹：
%windir%debug
%windir%system32NtmsData
本文来自：剑盟反病毒技术门户() 原文链接：/html/xueyuan/200912/04-2545.html。