电脑开机进程中的SERVICES.EXE是病毒吗

电脑开机30个进程有病毒吗~

不一定是病毒，不过可以查杀一下，


如果怀疑系统存在病毒，建议您安装瑞星杀毒软件V16版本升级到最新病毒库后进行病毒扫描查杀，下载地址：http://pc.rising.com.cn/

1、Services.exe系统文件是什么
services.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。终止进程后会重启。正常的services.exe应位于%systemroot%\System32文件夹中。
2、如何辨别services.exe是否为病毒
正常情况下的services.exe文件该出现在C：\Windows\System32文件夹内，并且如果使用任务管理器查看应该显示示为“system”用户权限。如果是木马或者病毒，通过感染系统文件，允许黑客通过恶意软件远程访问您的计算机，并且会下载大量盗号木马驻留在您的系统中，一旦开启网游、网银等会自行盗取发送帐号密码。热衷于网游、团购的网民请时刻警惕，一旦发现异常情况立即进行查杀木马。
3、如何清除感染型services.exe木马病毒
下载最新的杀毒软件进行全盘查杀即可。

Services.exe
services.exe进程病毒
1 services.exe - services - 进程介绍
进程文件： services or services.exe
进程名称： Windows Service Controller
进程类别：其他进程

英文描述：

services.exe is a part of the Microsoft Windows Operating System and manages the operation of starting and stopping services. This process also deals with the automatic starting of services during the computers boot-up and the stopping of servicse durin

中文参考：

services.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。注意：services也可能是W32.Randex.R(储存在%systemroot%\system32\目录)和Sober.P (储存在%systemroot%\Connection Wizard\Status\目录)木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议立即删除。

出品者：Microsoft Corp.
属于：Microsoft Windows Operating System
系统进程：Yes
后台程序：Yes
网络相关：No
常见错误：N/A
内存使用：N/A
安全等级 (0-5): 0
间谍软件：No
广告软件：No
病毒：No
木马：No

这个后门还不错，也有点BT吧，共产生14个文件＋3个快捷图标＋2个文件夹。注册表部分，除了1个Run和System.ini，比较有特点是，非普通地利用了EXE文件关联，先修改了.exe的默认值，改.exe从默认的 exefile更改为winfiles，然后再创建winfiles键值，使EXE文件关联与木马挂钩。即为中毒后，任意一个EXE文件的属性，“应用程序”变成“EXE文件”

当然，清除的方法也很简单，不过需要注意步骤：

一、注册表：先使用注册表修复工具，或者直接使用regedit修正以下部分

1.SYSTEM.INI （NT系统在注册表： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon）
shell = Explorer.exe 1 修改为shell = Explorer.exe

2.将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的
Torjan Program----------C:\WINNT\services.exe删除

3. HKEY_Classes_root\.exe

默认值 winfiles 改为exefile

4.删除以下两个键值：

HKEY_Classes_root\winfiles
HKEY_Local_machine\software\classes\winfiles

5. 打开注册表编辑器，依此分别查找“rundll32.com”、“finder.com”、“command.pif”，把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”

6. 查找“iexplore.com”的信息，把找到的内容里面的“iexplore.com”改为“iexplore.exe”

7. 查找“explorer.com”的信息，把找到的内容里面的“explorer.com”改为“explorer.exe”

8. 查找“iexplore.pif”，应该能找到类似“%ProgramFiles%\Common Files\iexplore.pif”的信息，把这内容改为“C:\Program Files\Internet Explorer\iexplore.exe”

9. 删除病毒添加的文件关联信息和启动项：

[HKEY_CLASSES_ROOT\winfiles]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\services.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Torjan Program"="%Windows%\services.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"
改为
"Shell"="Explorer.exe"

10. 这些是病毒释放的一个VB库文件（MSWINSCK.OCX）的相关信息，不一定要删除：

HKEY_CLASSES_ROOT\MSWinsock.Winsock
HKEY_CLASSES_ROOT\MSWinsock.Winsock.1
HKEY_CLASSES_ROOT\CLSID\
HKEY_CLASSES_ROOT\CLSID\
HKEY_CLASSES_ROOT\Interface\
HKEY_CLASSES_ROOT\Interface\
HKEY_CLASSES_ROOT\TypeLib\

注：因为病毒修改了很多关联信息，所以在那些病毒文件没有被删除之前，请不要做任何多余的操作，以免激活病毒

二、然后重启系统，删除以下文件部分，注意打开各分区时，先打开“我的电脑”后请使用右键单击分区，选“打开”进入。或者直接执行附件的Kv.bat来删除以下文件

c:\antorun.inf （如果你有多个分区，请检查其他分区是否有这个文件，有也一并删除）

%programfiles%\common files\iexplore.pif
%programfiles%\Internat explorer\iexplore.com
%windir%.com
%windir%\exeroute.exe
%windir%\explorer.com
%windir%\finder.com
%windir%\mswinsck.ocx
%windir%\services.exe
%windir%\system32\command.pif
%windir%\system32\dxdiag.com
%windir%\system32\finder.com
%windir%\system32\msconfig.com
%windir%\system32\regedit.com
%windir%\system32\rundll32.com
删除以下文件夹：
%windir%\debug
%windir%\system32\NtmsData

一、病毒评估

1． 病毒中文名： SCO炸弹变种N
2． 病毒英文名： Worm.Novarg.N
3． 病毒别名： Worm.Mydoom.m
4． 病毒大小： 28832字节
5． 病毒类型： 蠕虫病毒
6． 病毒危险等级： ★★★★
7． 病毒传播途径： 邮件
8． 病毒依赖系统： Windows 9X/NT/2000/XP

二、病毒的破坏

1． 通过电子邮件传播的蠕虫病毒，感染之后，它会先在用户本地机器上搜索电子邮件地址，向其发送病毒邮件；

2． 利用在本机上搜索到的邮件地址的后缀当关键词，在Google、Yahoo等四个搜索引擎上搜索相关的email地址，发送病毒邮件传播自身。

3． 大量发送的搜索请求使这四个搜索引擎的运行速度明显变慢。

4． 感染了此病毒的机器，IE浏览器、OE软件和Outlook软件都不能正常使用。

5． 病毒大量向外发送病毒邮件，严重消耗网络资源，可能造成局域网堵塞。

三、技术分析

1． 蠕虫病毒，采用Upx压缩。运行后，将自己复制到%WINDOWS%目录下，文件名为：java.exe。释放一个后门病毒在同一目录中，文件名为：services.exe。
2． 在注册表启动项“\CurrentVersion\Run”下加入这两个文件的启动键值：JavaVM和Service，实现病毒的开机自启动。

3． 强行关闭IE浏览器、OE软件和Outlook软件，使其不能正常使用。

4． 在本地机器上搜索电子邮件地址：从注册表中读取当前系统当前使用的wab文件名，并在其中搜索email地址；搜索internet临时目录 （Local Settings\Temporary Internet Files）中的文件，从中提取电子邮件地址；遍历盘符从C:盘到Z:的所有硬盘，并尝试从以下扩展名文件中提取email地址：.adb ，.asp ，.dbx ，.htm ，.php ，.pl ，.sht ，.tbb ，.txt ，.wab。

5． 当病毒搜索到email地址以后，病毒以“mailto+%本地系统搜出的邮件地址%”、“reply+%本地系统搜出的邮件地址%”、 “{|contact+| |e| |-| |mail}+%本地系统搜出的邮件地址％”为关键字，利用以下四种搜索引擎进行email地址邮件搜索：search.lycos.com、 search.yahoo.com、www.altavista.com、www.google.com，利用这种手段，病毒能够搜索到非常多的可用邮件 地址。

6． 病毒邮件的附件名称为：readme ，instruction ，transcript ，mail ，letter ，file ，text ，attachment等，病毒附件扩展名为：cmd ，bat ，com ，exe ，pif ，scr ，zip。

四、病毒解决方案：

1. 进行升级

瑞星公司将于当天进行紧急升级，升级后的软件版本号为16.37.10，该版本的瑞星杀毒软件可以彻底查杀“SCO炸弹变种N”病毒，瑞星杀毒软件标准版和网络版的用户可以直接登陆瑞星网站（ http://www.rising.com.cn/）下载升级包进行升级，或者使用瑞星杀毒软件的智能升级功能。

2. 使用专杀工具

鉴于该病毒的特性，瑞星公司还为手中暂时没有杀毒软件的用户提供了免费的病毒专杀工具，用户可以到： http://it.rising.com.cn/service/technology/tool.htm 网址免费下载使用。

3. 使用在线杀毒和下载版

用户还可以使用瑞星公司的在线杀毒与下载版产品清除该病毒，这两款产品是通过手机付费使用的，用户可以登陆 http://online.rising.com.cn/ 使用在线杀毒产品，或者登陆 http://go.rising.com.cn/ 使用下载版产品。

4. 打电话求救

如果遇到关于该病毒的其它问题，用户可以随时拨打瑞星反病毒急救电话：010-82678800来寻求反病毒专家的帮助！

5. 手动清除

（1）结束系统中进程名为：Services.exe和java.exe（在%windows%目录中）
（2）删除系统临时目录中的两个病毒数据文件：MLITGB.LOG和ZINCITE.LOG
（3）删除病毒键立的注册表键：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
“JavaVM”=%WINDOWS%\java.exe
和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
“Services”=%WINDOWS%\Services.exe
注： %WINDOWS% 是指系统的windows目录，在Windows 9X/ME/XP下默认为:
C:\WINDOWS，Win2K下默认为:C:\WINNT

注： %WINDIR%指的是Windows系统的安装目录，在Windows 95/98/ME/XP操作系统下默认为：C:\WINDOWS目录，在WINDOWS2000操作系统下默认为：C:\WINNT目录。
五、安全建议：

1. 建立良好的安全习惯。 例如：对一些来历不明的邮件及附件不要打开，不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等，这些必要的习惯会使您的计算机更安全。

2. 关闭或删除系统中不需要的服务。 默认情况下，许多操作系统会安装一些辅助服务，如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便，而又对用户没有太大用处，如果删除它们，就能大大减少被攻击的可能性。

3. 经常升级安全补丁。 据统计，有80%的网络病毒是通过系统安全漏洞进行传播的，象蠕虫王、冲击波、震荡波等，所以我们应该定期到微软网站去下载最新的安全补丁，以防范未然。

4. 使用复杂的密码。 有许多网络病毒就是通过猜测简单密码的方式攻击系统的，因此使用复杂的密码，将会大大提高计算机的安全系数。

5. 迅速隔离受感染的计算机。 当您的计算机发现病毒或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源，再次感染其它计算机。

6. 了解一些病毒知识。 这样就可以及时发现新病毒并采取相应措施，在关键时刻使自己的计算机免受病毒破坏。如果能了解一些注册表知识，就可以定期看一看注册表的自启动项是否有可疑键值；如果了解一些内存知识，就可以经常看看内存中是否有可疑程序。

7. 最好安装专业的杀毒软件进行全面监控。 在病毒日益增多的今天，使用杀毒软件进行防毒，是越来越经济的选择，不过用户在安装了反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控）、内存监控等、遇到问题要上报， 这样才能真正保障计算机的安全。

8. 用户还应该安装个人防火墙软件进行防黑。 由于网络的发展，用户电脑面临的黑客攻击问题也越来越严重，许多网络病毒都采用了黑客的方法来攻击用户电脑，因此，用户还应该安装个人防火墙软件，将安全级别设为中、高，这样才能有效地防止网络上的黑客攻击。

该进程是系统服务进程，不能手工结束。

不是病毒，是系统服务--关于网络.

建议你还是做一边系统算了!!!

---

江津区15973101256： services.exe在进程里是什么意思,关了它对电脑会有影响嘛 - ？
柴秀苏之： services.exe 进程描述:用于管理启动和停止服务. 出品者: Microsoft Corp. 属于: Microsoft Windows Operating System 系统进程:是 后台程序:是 使用网络:否 硬件相关:否 常见错误:未知N/A 内存使用:未知N/A 安全等级 (...

江津区15973101256： services.exe是什么 - ？
柴秀苏之： services.exe是微软Windows操作系统的一部分.用于管理启动和停止服务.该进程也会处理在计算机启动和关机时运行的服务.这个程序对你系统的正常运行是非常重要的.终止进程后会重启. 正常的services.exe应位于%systemroot%\System...

江津区15973101256： 进程里的services.exe占用CPU%50!!关又关不掉,也查不出病毒,请高手给个可行的办法.. - ？
柴秀苏之： 您好1,services.exe是系统进程,翻译成中文是服务的意思,很容易被病毒利用和伪装.2,您可以到电脑管家官网下载一个电脑管家.3,然后重启电脑按F8进入安全模式,打开电脑管家——右下角工具箱——找到顽固木马克星,然后勾选上【深度扫描查杀】,然后进行扫描和杀毒即可.4,占内存非常高的话,与您电脑本身配置也有关,如果内存只有1G那么占50%属于正常.如果还有其他疑问和问题,欢迎再次来电脑管家企业平台进行提问,我们将尽全力为您解答疑难

江津区15973101256： 为什么电脑老出现service - ？
柴秀苏之： “用于管理启动和停止服务,该进程也会处理在计算机启动和关机时运行的服务.”这是引用微软的介绍,可以看出,这个进程对其他系统进程之间起到至关重要的作用,是系统必要的进程之一,电脑中的services.exe一般存在C盘%System%文件夹中,你可以去看一下该文件夹中有没有这个程序,没有的话下载一个,不排除病毒的可能性,或者还有一种可能就是你电脑资源占用超过了本身承受极限,去启动项看看,有哪些无用的程序关掉或禁用,没有解决问题,更新一下你的病毒库,然后彻底查杀,如果还是没能解决问题,重做系统.不知道能否解决你的问题,纯手打,望您采纳,如果还有疑问,可以对我提问.

江津区15973101256： 电脑进程里的services.exej代表什么？
柴秀苏之： SERVICES.EXE 进程文件 services.exe 进程名称 windows service controller 进程描述 services.exe是微软windows操作系统的一部分.用于管理启动和停止服务.该进程也会处理在计算机启动和关机时运行的服务.这个程序对你系统的正常运行...

江津区15973101256： 最近电脑一启动cpu就占用100%,是一个叫services的进程,电脑卡的狠,电脑启动得过几分钟cpu才会下来. - ？
柴秀苏之： 我来告诉你,操作不当,突然断电,长按电源键关机,中病毒,异常卸载,导致系统自启动文件丢失,如果硬盘老化也是会经常出现这种情况,硬盘马达轴有间隙稍微震动就会影响硬盘的文件丢失,你只要重装系统就好了,或者换快硬盘重新装系统更佳.谢谢采纳!

江津区15973101256： 电脑桌面出现Services.exe 错误报告 - ？
柴秀苏之： “开始”-“运行”-输入services.msc --找到services -再右键“属性”-启动类型中设为“自动”或者“手动”,然后启动该服务.注销一下或者重启一下就可以了services.exe是微软windows操作系统的一部分.用于管理启动和停止服务.该进程也会处理在计算机启动和关机时运行的服务.这个程序对你系统的正常运行是非常重要的.注意:services也可能是w32.randex.r(储存在%systemroot%\system32\目录)和sober.p (储存在%systemroot%\connection wizard\status\目录)木马.该木马允许攻击者访问你的计算机,窃取密码和个人数据.

江津区15973101256： 一开机就出现要加载services.exe是怎么回事这个4进程,？
柴秀苏之： 一般来说service.EXE程序是系统默认的服务类启动项 不需要关闭的 如果关闭可能很多系统服务无法加载

江津区15973101256： 谁知道c:\windows\system32\services.exe是个什么文件 他总是启动windows自动关机 - ？
柴秀苏之： 进程文件: services 或者 services.exe 进程名称: Windows Service Controller 描述:services.exe是微软Windows操作系统的一部分.用于管理启动和停止服务.该进程也会处理在计算机启动和关机时运行的服务.这个程序对你系统的正常运行...

江津区15973101256： 笔记本电脑进程中一个service.exe总是占用很高的CPU怎么办,这个进程也不是病毒伪装的. - ？
柴秀苏之： 您好, 这个进程是系统的关键进程,所有的服务都由它来启动 你可以使用电脑管家的电脑加速功能来优化一下 然后重启系统,这样它的CPU占用自然就降低了 如果以后有其它问题,欢迎再来电脑管家企业平台咨询