60 replies to this topic

[meouyeu]

mình dùng kaspersky quét virus thì nó quét ra được 1 con virus như thế này :virus .Win32.Hidrag.a ở file C:\Windows\svchost.exe .Mình disinfect nó nhưng nó hiện ra 1 bảng thông báo là không thể disinfect file này được , chỉ có thể delete hay skip.Mình không biết file này là file nào, có quan trọng không , mình delete được không hay có cách nào diệt virus này ko?Các bạn có ai biết thì chỉ giúp mình với

[Darkyrie]

meouyeu, on Jul 1 2007, 05:33 AM, said:

mình dùng kaspersky quét virus thì nó quét ra được 1 con virus như thế này :virus .Win32.Hidrag.a ở file C:\Windows\svchost.exe .Mình disinfect nó nhưng nó hiện ra 1 bảng thông báo là không thể disinfect file này được , chỉ có thể delete hay skip.Mình không biết file này là file nào, có quan trọng không , mình delete được không hay có cách nào diệt virus này ko?Các bạn có ai biết thì chỉ giúp mình với

Bạn cứ yên tâm delete cái file đó. Trong thư mục C:\Windows hoàn toàn không có file nào tên như thế cả. svchost.exe chỉ nằm ở C:\WINDOWS\system32 thôi. Cái file đó chỉ là đồ ngụy trang của virus, đánh đòn tâm lý đó mà :ahhyes:

[khatvong84]

Bạn dùng bitdefender quét!

[acma]

vậy nếu xóa file C:\WINDOWS\system32 này đi có sao không ?xậy ?

[tieudao0704]

Các bạn bị lầm rồi.

scvhost: mới là Virus.

svchost.exe là tập tin hệ thống. Xóa là tiêu đấy!

[single]

meouyeu, on Jul 1 2007, 05:33 AM, said:

mình dùng kaspersky quét virus thì nó quét ra được 1 con virus như thế này :virus .Win32.Hidrag.a ở file C:\Windows\svchost.exe .Mình disinfect nó nhưng nó hiện ra 1 bảng thông báo là không thể disinfect file này được , chỉ có thể delete hay skip.Mình không biết file này là file nào, có quan trọng không , mình delete được không hay có cách nào diệt virus này ko?Các bạn có ai biết thì chỉ giúp mình với

Khi Hidrag được kích hoạt nó sẽ tạo ra các tập tin giống nhau có đuôi .EXE và có kích thước là 36KB. Kế tiếp nó đăng ký trong registry:

HKML\Software\Microsoft\Windows\CurrentVersion\ RunServices

Phía phải mành hình có giá trị: PowerManager = #WindowsDir#\ SVCHOST.EXE



Cách khắc phục:

1\ Bạn tải kav về quét toàn bộ ổ cứng

2\ Bạn xóa tập tin autorun.inf có trong ổ đĩa C:\ và D:\

3\Sau khi thực hiện các bước trên, bạn nên quét lại lần nữa là được



Hoặc bạn có thể up lên trang web này xem có phải là virus không

Link virusscan online



Chúc thành công

[vuminhphan]

có ai giúp mình với : mình gặp một trượng hợp này : máy mình đang chay windowXP mình dang kết nối với 4 máy . Nhưng lạ một cái la dàn mạng của mình chạy chừng 10 phút thì nó tự đông giăng ra và báo rằng " Win32 ko tim thấy mạng nội bộ va báo rằng lỗi svchost " nhưng lạ một cái là toàn bộ đêu kết nối ADSL được . Các bác cưu con

[single]

vuminhphan, on Aug 28 2007, 11:39 PM, said:

có ai giúp mình với : mình gặp một trượng hợp này : máy mình đang chay windowXP mình dang kết nối với 4 máy . Nhưng lạ một cái la dàn mạng của mình chạy chừng 10 phút thì nó tự đông giăng ra và báo rằng " Win32 ko tim thấy mạng nội bộ va báo rằng lỗi svchost " nhưng lạ một cái là toàn bộ đêu kết nối ADSL được . Các bác cưu con

svchost.exe hay là svhost.exe, nếu là svhost.exe thì dính zizut òi, còn không thì là bug window.



Bạn vào task manager và DISABLE rồi XÓA svhost.exe ngay đi. Theo tôi rất nhiều khả năng là bạn đã bị con W32.Mydoom.I@mm, đây là một WORM giúp hacker có thể xâm nhập và ăn cắp thông tin cá nhân PC. Nó có thể lây qua Email nhưng với một số bản WinXP của Ả rập thì có thể nó được ***g vào nên khả năng máy bạn lây nhiễm ngay lúc cài đặt.



http://www.benhvient...tyle_emoticons/default/eco029.gif http://www.benhvient...tyle_emoticons/default/eco029.gif

[Humoristvn]

Quote

mình dùng kaspersky quét virus thì nó quét ra được 1 con virus như thế này :virus .Win32.Hidrag.a ở file C:\Windows\svchost.exe .Mình disinfect nó nhưng nó hiện ra 1 bảng thông báo là không thể disinfect file này được , chỉ có thể delete hay skip.Mình không biết file này là file nào, có quan trọng không , mình delete được không hay có cách nào diệt virus này ko?Các bạn có ai biết thì chỉ giúp mình với

1. Chính xác như Hunky nói! Bạn có thể xóa vì nó không phải tập tin hệ thống của máy tính.

2. Trong trường hợp nó để trong System32 mới phải đổi tên thành svhost.exe vì không được đặt trùng. Cái này tieudao chú ý nhé!

3. File C:\Windows\system32\svchost.exe là file chứa các dịch vụ cực kì quan trọng của hệ thống! Xóa là đi luôn hệ điều hành đấy!

Trong cái Tools đang làm humor sẽ mổ sẻ nó để anh em thấy! có cỡ ~20 service trong 1 file đó!



4. Có 1 loại virus có thể inject mã nguồn của nó vào trong file này! Con này cực độc, mới nghe giang hồ đồn đại.



Chúc thành công!

[single]

Nếu cài KAV và update thường xuyên mà vẫn bị nhiễm, pác humo có cách nào ngăn chặn nó không.

[hunternd27]

không cần cầu kì như thế đâu

bạn down BKAV phiên bản 1194 về mà quét

link: http://www.bkav.com....nload/BHome.exe

đây là một dạng worm thôi

[Quân Cây Đa]

khổng minh, on Aug 29 2007, 12:22 PM, said:

không cần cầu kì như thế đâu

bạn down BKAV phiên bản 1194 về mà quét

link: http://www.bkav.com....nload/BHome.exe

đây là một dạng worm thôi

Phiên bản mới quét ko thấy huống chi phiên bản cũ 1194??? http://www.benhvient...tyle_emoticons/default/eco035.gif http://www.benhvient...tyle_emoticons/default/eco035.gif http://www.benhvient...tyle_emoticons/default/eco035.gif

[Humoristvn]

Humor không nói chắc được ngày hoàn thành nhưng chắc chắn Tool mới có thể giúp các bạn xử lý các con Worm dạng này!

Chúng có thể tạo các process khác nhau để bảo vệ lẫn nhau. Nếu dùng các chương trình kill process bình thường thì không thể làm gì được!

Trước mắt bạn khởi động máy tính trong safe mode để xóa file đó.

Nếu nó vẫn trở lại thì bạn khởi động trong DOS để xóa! (1 số con có thể kích hoạt ngay trong chế độ safe mode - Hic)





Như Quân nói! HUmor chỉ coi BKAV là giải pháp thứ yếu! Tác giả Worm (Virus) chỉ cần thay đổi 1 vài dòng lệnh là BKAV lại thấy mới ngay! (Cái này humor nghe chính tác giả Worm Daknong nói nhé)

Có pác KTV BKAV nào nghe thấy thì đừng trách humor tội nghiệp!

Chúc thành công!

[hailove]

sai lầm mình nhớ đã có lần mình nói về vấn đền này rồi mà,đây là một spyware với cái tên 007 với độ nguy hiểm có thể nói đứng thứ 3 thế giới spyware,dùng chương trình diệt spyware mạnh mạnh như spyware doctor thử đi bạn

[Humoristvn]

@haiken: Không hiểu bồ tèo định nói cái gì nữa?

[triangles]

meouyeu, on Jul 1 2007, 05:33 AM, said:

mình dùng kaspersky quét virus thì nó quét ra được 1 con virus như thế này :virus .Win32.Hidrag.a ở file C:\Windows\svchost.exe .Mình disinfect nó nhưng nó hiện ra 1 bảng thông báo là không thể disinfect file này được , chỉ có thể delete hay skip.Mình không biết file này là file nào, có quan trọng không , mình delete được không hay có cách nào diệt virus này ko?Các bạn có ai biết thì chỉ giúp mình với

Bạn có thể tham khảo them 1 số cách của các mem http://benhvientinhoc.com/index.php?showto...amp;#entry67757

[hailove]

@humoristvn:mình giải thích vài đều về cái file svchost.exe đó mà,để mình nói lại cho rõ,file svchost.exe là do con spyware mang tên 007 tạo ra,nó là một spyware cực kỳ nguy hiểm,mức nguy hiểm của nó chỉ đứng sau hai con spyware là perfect và một con nữa mình ko nhớ tên,nó có thể chụp được hình bàn phím ảo,mình đã thử cài con này rồi,máy có con này chạy rất chậm,rất hay đứng máy,ko thể nào dùng tay ko mà xóa cái file svchost này,thứ nhất xóa xong nó tự tái sinh lại,thứ 2 khi xóa nó bạn se bị báo hiệu trong vòng máy giây sẽ tắt máy giống như mình xài lệnh shutdown vậy,do đó mình góp ý là thử xài các loại anti spyware mạnh như doctor spyware chẳng hạn.ý mình chỉ vậy thôi nếu ai có hiểu biết hơn về loại file svchost này xin chỉ giáo vài điều

[Humoristvn]

@haiken: Giờ lại càng không hiểu hơn nữa!

Humor đã nói File C:\Windows\system32\svchost.exe là file chứa các dịch vụ cực kì quan trọng của hệ thống! Xóa là đi luôn hệ điều hành đấy!

Nếu cài Win ở C:\Windows thì C:\Windows\system32\svchost.exe là file hệ thống. Chẳng có con Spy 007 nào chiếm được vị trí ấy cả!

Những con virus mạnh nhất chỉ có thể inject mã độc vào file đó!

Chỉ 1 File C:\Windows\system32\svchost.exe có chứa ~ 50 dịch vụ tổng hợp của Windows.



Vậy đã đủ rõ chưa nhỉ?



Nói có sách luôn, đây là các service của C:\Windows\system32\svchost.exe đang chạy trên máy của humor.

Có 46 cái tất cả, chắc sẽ nhiều bạn giật mình:



Service 1

DisplayName: Alerter

Description: Notifies selected users and computers of administrative alerts. If the service is stopped, programs that use administrative alerts will not receive them. If this service is disabled, any services that explicitly depend on it will fail to start.

Service 2

DisplayName: Application Management

Description: Provides software installation services such as Assign, Publish, and Remove.

Service 3

DisplayName: Windows Audio

Description: Manages audio devices for Windows-based programs. If this service is stopped, audio devices and effects will not function properly. If this service is disabled, any services that explicitly depend on it will fail to start.

Service 4

DisplayName: Background Intelligent Transfer Service

Description: Transfers data between clients and servers in the background. If BITS is disabled, features such as Windows Update will not work correctly.

Service 5

DisplayName: Computer Browser

Description: Maintains an updated list of computers on the network and supplies this list to computers designated as browsers. If this service is stopped, this list will not be updated or maintained. If this service is disabled, any services that explicitly depend on it will fail to start.

Service 6

DisplayName: Cryptographic Services

Description: Provides three management services: Catalog Database Service, which confirms the signatures of Windows files; Protected Root Service, which adds and removes Trusted Root Certification Authority certificates from this computer; and Key Service, which helps enroll this computer for certificates. If this service is stopped, these management services will not function properly. If this service is disabled, any services that explicitly depend on it will fail to start.

Service 7

DisplayName: DHCP Client

Description: Manages network configuration by registering and updating IP addresses and DNS names.

Service 8

DisplayName: Logical Disk Manager

Description: Detects and monitors new hard disk drives and sends disk volume information to Logical Disk Manager Administrative Service for configuration. If this service is stopped, dynamic disk status and configuration information may become out of date. If this service is disabled, any services that explicitly depend on it will fail to start.

Service 9

DisplayName: DNS Client

Description: Resolves and caches Domain Name System (DNS) names for this computer. If this service is stopped, this computer will not be able to resolve DNS names and locate Active Directory domain controllers. If this service is disabled, any services that explicitly depend on it will fail to start.

Service 10

DisplayName: Error Reporting Service

Description: Allows error reporting for services and applictions running in non-standard environments.

Service 11

DisplayName: COM+ Event System

Description: Supports System Event Notification Service (SENS), which provides automatic distribution of events to subscribing Component Object Model (COM) components. If the service is stopped, SENS will close and will not be able to provide logon and logoff notifications. If this service is disabled, any services that explicitly depend on it will fail to start.

Service 12

DisplayName: Fast User Switching Compatibility

Description: Provides management for applications that require assistance in a multiple user environment.

Service 13

DisplayName: Help and Support

Description: Enables Help and Support Center to run on this computer. If this service is stopped, Help and Support Center will be unavailable. If this service is disabled, any services that explicitly depend on it will fail to start.

Service 14

DisplayName: Human Interface Device Access

Description: Enables generic input access to Human Interface Devices (HID), which activates and maintains the use of predefined hot buttons on keyboards, remote controls, and other multimedia devices. If this service is stopped, hot buttons controlled by this service will no longer function. If this service is disabled, any services that explicitly depend on it will fail to start.

Service 15

DisplayName: HTTP SSL

Description: This service implements the secure hypertext transfer protocol (HTTPS) for the HTTP service, using the Secure Socket Layer (SSL). If this service is disabled, any services that explicitly depend on it will fail to start.

Service 16

DisplayName: Server

Description: Supports file, print, and named-pipe sharing over the network for this computer. If this service is stopped, these functions will be unavailable. If this service is disabled, any services that explicitly depend on it will fail to start.

Service 17

DisplayName: Workstation

Description: Creates and maintains client network connections to remote servers. If this service is stopped, these connections will be unavailable. If this service is disabled, any services that explicitly depend on it will fail to start.

Service 18

DisplayName: TCP/IP NetBIOS Helper

Description: Enables support for NetBIOS over TCP/IP (NetBT) service and NetBIOS name resolution.

Service 19

DisplayName: Messenger

Description: Transmits net send and Alerter service messages between clients and servers. This service is not related to Windows Messenger. If this service is stopped, Alerter messages will not be transmitted. If this service is disabled, any services that explicitly depend on it will fail to start.

Service 20

DisplayName: Network Connections

Description: Manages objects in the Network and Dial-Up Connections folder, in which you can view both local area network and remote connections.

Service 21

DisplayName: Network Location Awareness (NLA)

Description: Collects and stores network configuration and location information, and notifies applications when this information changes.

Service 22

DisplayName: Removable Storage

Description:

Service 23

DisplayName: Remote Access Auto Connection Manager

Description: Creates a connection to a remote network whenever a program references a remote DNS or NetBIOS name or address.

Service 24

DisplayName: Remote Access Connection Manager

Description: Creates a network connection.

Service 25

DisplayName: Routing and Remote Access

Description: Offers routing services to businesses in local area and wide area network environments.

Service 26

DisplayName: Remote Registry

Description: Enables remote users to modify registry settings on this computer. If this service is stopped, the registry can be modified only by users on this computer. If this service is disabled, any services that explicitly depend on it will fail to start.

Service 27

DisplayName: Task Scheduler

Description: Enables a user to configure and schedule automated tasks on this computer. If this service is stopped, these tasks will not be run at their scheduled times. If this service is disabled, any services that explicitly depend on it will fail to start.

Service 28

DisplayName: Secondary Logon

Description: Enables starting processes under alternate credentials. If this service is stopped, this type of logon access will be unavailable. If this service is disabled, any services that explicitly depend on it will fail to start.

Service 29

DisplayName: System Event Notification

Description: Tracks system events such as Windows logon, network, and power events. Notifies COM+ Event System subscribers of these events.

Service 30

DisplayName: Windows Firewall/Internet Connection Sharing (ICS)

Description: Provides network address translation, addressing, name resolution and/or intrusion prevention services for a home or small office network.

Service 31

DisplayName: Shell Hardware Detection

Description: Provides notifications for AutoPlay hardware events.

Service 32

DisplayName: System Restore Service

Description: Performs system restore functions. To stop service, turn off System Restore from the System Restore tab in My Computer->Properties

Service 33

DisplayName: SSDP Discovery Service

Description: Enables discovery of UPnP devices on your home network.

Service 34

DisplayName: Windows Image Acquisition (WIA)

Description: Provides image acquisition services for scanners and cameras.

Service 35

DisplayName: Telephony

Description: Provides Telephony API (TAPI) support for programs that control telephony devices and IP based voice connections on the local computer and, through the LAN, on servers that are also running the service.

Service 36

DisplayName: Themes

Description: Provides user experience theme management.

Service 37

DisplayName: Distributed Link Tracking Client

Description: Maintains links between NTFS files within a computer or across computers in a network domain.

Service 38

DisplayName: Universal Plug and Play Device Host

Description: Provides support to host Universal Plug and Play devices.

Service 39

DisplayName: Windows Time

Description: Maintains date and time synchronization on all clients and servers in the network. If this service is stopped, date and time synchronization will be unavailable. If this service is disabled, any services that explicitly depend on it will fail to start.



Service 40

DisplayName: WebClient

Description: Enables Windows-based programs to create, access, and modify Internet-based files. If this service is stopped, these functions will not be available. If this service is disabled, any services that explicitly depend on it will fail to start.

Service 41

DisplayName: Windows Management Instrumentation

Description: Provides a common interface and object model to access management information about operating system, devices, applications and services. If this service is stopped, most Windows-based software will not function properly. If this service is disabled, any services that explicitly depend on it will fail to start.

Service 42

DisplayName: Portable Media Serial Number Service

Description: Retrieves the serial number of any portable media player connected to this computer. If this service is stopped, protected content might not be down loaded to the device.

Service 43

DisplayName: Windows Management Instrumentation Driver Extensions

Description: Provides systems management information to and from drivers.

Service 44

DisplayName: Security Center

Description: Monitors system security settings and configurations.

Service 45

DisplayName: Automatic Updates

Description: Enables the download and installation of Windows updates. If this service is disabled, this computer will not be able to use the Automatic Updates feature or the Windows Update Web site.

Service 46

DisplayName: Wireless Zero Configuration

Description: Provides automatic configuration for the 802.11 adapters

Service 47

DisplayName: Network Provisioning Service

Description: Manages XML configuration files on a domain basis for automatic network provisioning.





Để liệt kê các dịch vụ này các bạn tìm hiểu về WMI của Windows nhé!

Nếu có chương trình lạ inject mã độc thì nhìn thấy ngay!

Chúc zui!

[hailove]

@humo cái này hay đây đã mở mang kiến thức nhiều

[angel_fire]

file này thấy nó vậy chứ quan trọng lắm đó .... nếu mà bạn del nó đi là máy sẽ yêu cầu bạn cài đặt lại win đó ...