Question

c:\windows\system32\services.exe

"c:\\windows\\system32\\services.exe"使我机子一装防毒软件就1分钟关掉我的机子，请教大家怎么杀掉病毒，谢谢！

Answer 1

services.exe本身就是系统进程，程序一般都通过他来运行，它好比一个管理员。
但是现在有个冲击波病毒（就是你所发现的），他会佯装services.exe系统进程进入你电脑（一般2000系统比较多），并且也通过了services.exe来执行，他一般是占用你的电脑进程，直到你死机为止。你有没有发现CPU使用率很高？
而杀要杀掉他，必须要通过services.exe，但是它是系统文件删不掉，网上有很多查杀的方法，但是我觉得不是很好，重做一下系统打好补丁，防好毒比杀毒有效多了。
进程: services.exe Pid: 604

类型 名称
Desktop \Default
Directory \Windows
Directory \BaseNamedObjects
Directory \KnownDlls
Event \BaseNamedObjects\DINPUTWINMM
Event \BaseNamedObjects\SC_AutoStartComplete
Event \BaseNamedObjects\SvcctrlStartEvent_A3752DX
Event \BaseNamedObjects\ScNetDrvMsg
Event \BaseNamedObjects\WBEM_ESS_OPEN_FOR_BUSINESS
Event \BaseNamedObjects\PnP_No_Pending_Install_Events
Event \BaseNamedObjects\userenv: User Profile setup event
File \Device\KsecDD
File \Device\HarddiskVolume1\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9
File \Device\NamedPipe\ntsvcs
File \Device\NamedPipe\ntsvcs
File \Device\NamedPipe\scerpc
File \Device\NamedPipe\scerpc
File \Device\NamedPipe\net\NtControlPipe1
File \Device\NamedPipe\net\NtControlPipe2
File \Device\NamedPipe\net\NtControlPipe2
File \Device\HarddiskVolume1\WINDOWS\system32\config\AppEvent.Evt
File \Device\HarddiskVolume1\WINDOWS\system32\config\SecEvent.Evt
File \Device\HarddiskVolume1\WINDOWS\system32\config\SysEvent.Evt
File \Device\NamedPipe\net\NtControlPipe3
File \Device\NamedPipe\net\NtControlPipe0
File \Device\NamedPipe\net\NtControlPipe4
File \Device\NamedPipe\net\NtControlPipe5
File \Device\NamedPipe\PIPE_EVENTROOT\CIMV2SCM EVENT PROVIDER
File \Device\NamedPipe\net\NtControlPipe6
File \Device\NamedPipe\net\NtControlPipe7
File \Device\NamedPipe\net\NtControlPipe8
File \Device\HarddiskVolume1\WINDOWS\system32
Key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
Key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
Key HKLM\SYSTEM\ControlSet002\Control\NetworkProvider\Order
Key HKLM
Key HKLM\SYSTEM\ControlSet002\Control\ServiceGroupOrder
Key HKLM\SYSTEM\ControlSet002\Control\ServiceCurrent
Key HKLM\SYSTEM\ControlSet002\Services\Eventlog
Key HKLM\SYSTEM\ControlSet002\Control\ComputerName\ActiveComputerName
Key HKU
Key HKU\S-1-5-20
Key HKU\.DEFAULT
Key HKU\S-1-5-20
Key HKLM\SYSTEM\ControlSet002\Control\Nls\Locale
Key HKLM\SYSTEM\ControlSet002\Control\Nls\Locale\Alternate Sorts
Key HKLM\SYSTEM\ControlSet002\Control\Nls\Language Groups
Key HKLM\SYSTEM\ControlSet002\Services
Key HKLM\SYSTEM\ControlSet002\Enum
Key HKLM\SYSTEM\ControlSet002\Control\Class
Key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\PerHwIdStorage
KeyedEvent \KernelObjects\CritSecOutOfMemoryEvent
Mutant \BaseNamedObjects\SHIMLIB_LOG_MUTEX
Mutant \BaseNamedObjects\ShimCacheMutex
Mutant \BaseNamedObjects\PnP_Init_Mutex
Port \RPC Control\ntsvcs
Port \ErrorLogPort
Section \BaseNamedObjects\ShimSharedMemory
Semaphore \BaseNamedObjects\shell.{A48F1A32-A340-11D1-BC6B-00A0C90312E1}
Thread (604): 636
Thread (604): 640
Thread (604): 644
Thread (604): 3760
Thread (604): 756
Thread (604): 2572
Thread (604): 764
Thread (604): 748
Thread (604): 772
Thread (604): 820
Thread (604): 3960
Thread (604): 856
Thread (604): 3224
Thread (604): 980
Thread (604): 2576
Thread (604): 984
Token NT AUTHORITY\NETWORK SERVICE
Token NT AUTHORITY\NETWORK SERVICE
Token gaga\Administrator
WindowStation \Windows\WindowStations\Service-0x0-3e7$
WindowStation \Windows\WindowStations\Service-0x0-3e7$

Answer 2

services.exe
程文件:services 或者 services.exe
进程名称: windows service controller
描述: services.exe是微软windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。注意：services也可能是w32.randex.r(储存在％systemroot％\system32\目录)和sober.p (储存在％systemroot％\connection wizard\status\目录)木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议立即删除。
出品者:microsoft corp.
属于:windows
系统进程: 是
后台进程: 是
使用网络: 否
硬件相关: 否
常见错误: 未知
内存使用: 未知
安全等级:0
间谍软件:否
广告软件:否
病毒:否
木马:否
好好看一下是不是中毒了!!!!
若真的是被病毒利用了就找到次路径删除掉次病毒程序或者用杀毒软件查杀!
没有的话尽量不要删除!!!

另：如果是病毒，对于Windows NT/2000/XP/2003系统：

1、先使用进程序管理器结束病毒进程“services.exe"。

2、查找并删除病毒，进入系统目录程序（Winnt\system32或Windows\system32)。找到文件"services.exe“将其删除。

3、清除病毒在注册表里添加的项，打开注册表编辑器，在左边的画板中找到HKEY_LOCAL_MACHNE>Software>Microsoft>Windows>Current>Run。

在右边画板中找到并删除“service" =%Windir%\services.exe -serv”。关闭注册表编辑器。

完成以上操作后，重启计算机后，病毒就被清除干净了

Answer 3

services.exe本身就是系统进程，程序一般都通过他来运行，它好比一个管理员。
但是现在有个冲击波病毒（就是你所发现的），他会佯装services.exe系统进程进入你电脑（一般2000系统比较多），并且也通过了services.exe来执行，他一般是占用你的电脑进程，直到你死机为止。你有没有发现CPU使用率很高？
而杀要杀掉他，必须要通过services.exe，但是它是系统文件删不掉，网上有很多查杀的方法，但是我觉得不是很好，重做一下系统打好补丁，防好毒比杀毒有效多了。

Answer 4

你好好的看一下 保证你的问题解决
services.exe病毒Win32.troj.QQDragon.bl解决方案

强调一下 要删的是如下的几项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"services"="%WINDOWS%\services.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runservices]
"services"="%WINDOWS%\services.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"Run"="%WINDOWS%\services.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"services"="%WINDOWS%\services.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"services"="%WINDOWS%\services.exe"

%WINDOWS% 表示 c:\windows 或者 d:\windows 具体看你的系统装在哪个系统盘。一般是C盘