一、起因
想必经常玩黑的朋友都经常中招吧?那天我逆向工程分析某一病毒文件时,一不小心就运行了病毒,太囧了。没办法,只好重装系统,平时我都使用深度的XP SP3来装机,可是盘借给朋友了,于是就使用以前没用过的另一张“JUJUMAO”XP SP2来装机,也没什么,因为我有各种软件的安装程序,平时文件都保存在E盘,所以半小时便轻松恢复了系统。正当我用360打着补丁时,突然“咚”的一声,然后就弹出了对话框,按了确定后系统就奇慢无比,且没有声音。
太郁闷了,难道病毒我还没有清除干净吗?郁闷的重启,卡巴大叔扫描了一遍,没有病毒啊!但不到一个小时,“咚”又弹出来了,随后我与电脑一起崩溃了。
二、分析
崩溃是没有用的,还是来分析一下吧,在基于NT内核的系统(比如Windows2000/XP)中,svchost.exe是极为重要的一个进程。在2000中一般有2个,XP中有4个以上,而2003到更多。作为一个内核级的进程,它的用户名有两个,一个是NETWORK SERVICES,一个是LOCAL SERVICES,以前不看不觉得,现在越看越觉得它与服务有关。
我打开了360安全卫士,在里面的进程管理中,我发现了svchost.exe原来是可以带参数的,其中有一个是scvhost.exe -k Localservices,看到这儿,我已经明白八分了,我紧盯着屏幕,等着……咚!又弹出框框了,这时我立刻看着一边的360安全卫士,啊,那个scvhost.exe -k Localservices居然消失了,看来出错的就是它。于是我断定,一定跟一个本地的而不是网络的服务有关。
三、修复
既然是服务,我就马上在“运行”栏里输人“services.msc”,打开了服务,然后却犯难了——这么多的服务,怎么办才好呢,这时,我想起了Windows自带的一个好东西——事件查看器!我发现有一个和当时的时间相对应的错误——3wareSrv。
3waresrv,哈哈,终于找到病因了,为了确认,我打开了服务,里面设置的是自动,我一定是触发了什么才发生了错误的。于是我小心翼翼的改成了“启动”,这时,熟悉的窗口又弹出来了,于是我立即重启,然后立刻禁用了这个服务,接着删除了system32文件夹中所有与3waresrv中有联系的文件(经核实那些文件的确是无用的)。
四、总结
这一次的问题就这样解决了,其实想想,当时有一个更简单的方法,找到错误提示中的内存地址在冰刃中对应的DLL,然后顺藤摸瓜就好了。希望大家以后遇到问题不要慌,把握细节,解决起来其实很容易!