中毒了，是什么病毒啊？

olive_fy

我老板的笔记本中毒了。
- E# }3 c" n; z6 p5 L+ R进程中有一个Svchost.exeCPU占用率100％，但是他调用的Svchost.exe在system32目录下面，而且隐藏的文件无法显示，即选中了“显示隐藏文件”选项也显示不出隐藏文件。不连上网的时候Svchost.exeCPU占用率100％，连上网后，进程中就出现很多以数字开头的可执行文件，如831.exe，2841.exe，25777.exe等等，但可以结束掉。这是什么病毒啊？
Svchost.exe 进程又不能结束掉，该怎么清理这个病毒呢？
谢谢大家！

kkkliu82

和sxs.exe病毒相似.到网上找杀的办法吧,很多的.

olive_fy

找 过 了，找不到……

wq

831.exe，2841.exe，25777.exe这些都可以删除的，Svchost.exe可是系统进程。

sywpl

可以通过这样的方法来检查,
首先 断开网络
# w; `; ?1 a, ]* L" y4 c运行 计算机管理
找到服务
检查服务项目中是否存在异常的项目.
4 U, Z# n7 K" {( O% D/ \, O
3 O8 I9 X4 V6 a1 Y+ L; j7 w如果不能确定那么把服务项目中已经启动的项目列表上来我帮你看看.
3 S3 N5 d5 q- p6 e  D# D5 V
, g2 O1 I5 ]7 ^" Z9 ]! Y3 M6 p5 Q0 I7 M还有一个方法,去www.360safe.com下载一个安全卫士,查杀一下看看是否有恶意软件,清除就可以了.

olive_fy

用AVG杀毒软件，刚刚找到一个木马，就蓝屏了，这么厉害的木马？

新洁电子

<<摘抄自网络,解答楼主疑问,版权归原作者所有>>
3 P9 W6 |7 Y0 `8 v5 _+ m6 ?   我们先看看微软是怎样描述Svchost.exe的。在微软知识库314056中对Svchost.exe有如
下描述：Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。
                   其实Svchost.exe是Windows XP系统的一个核心进程。Svchost.exe不单单只出现在
( O2 w% a, H7 `5 D! V$ H7 @) ]! UWindows XP中，在使用NT内核的Windows系统中都会有Svchost.exe的存在。一般在Windows
2000中Svchost.exe进程的数目为2个，而在Windows XP中Svchost.exe进程的数目就上升到了
- I) O/ z7 O. e0 {" M7 V9 B4个及4个以上。所以看到系统的进程列表中有几个Svchost.exe不用那么担心。  

0 x+ Q2 A0 a* N7 ~, ?( h; eSvchost.exe到底是做什么用的呢？
" S% f: p+ w+ R8 S                   首先我们要了解一点那就是Windows系统的中的进程分为：独立进程和共享进程这两种。
由于Windows系统中的服务越来越多，为了节约有限的系统资源微软把很多的系统服务做成了
共享模式。那Svchost.exe在这中间是担任怎样一个角色呢？
( A" F% `/ n( H7 T) y                   Svchost.exe的工作就是作为这些服务的宿主，即由Svchost.exe来启动这些服务。
8 z8 c2 }/ f, @9 GSvchost.exe只是负责为这些服务提供启动的条件，其自身并不能实现任何服务的功能，也不
4 x# A) k; I' K# @$ ^能为用户提供任何服务。Svchost.exe通过为这些系统服务调用动态链接库（DLL）的方式来
启动系统服务。
那Svchost.exe是病毒这种说法是任何产生的呢？
# @: q9 g4 t5 X% l/ l! J                   因为Svchost.exe可以作为服务的宿主来启动服务，所以病毒、木马的编写者也挖空心思
的要利用Svchost.exe的这个特性来迷惑用户达到入侵、破坏计算机的目的。
6 Q( e8 |  m/ s* E: |如何才能辨别哪些是正常的Svchost.exe进程，而哪些是病毒进程呢？
3 N3 k2 d' e8 K& j; F+ i$ J. uSvchost.exe的键值是在“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Svchost”，如图1所示。图1中每个键值表示一个独立的Svchost.exe组
5 n" h) y, q7 y6 j6 U。
/ d9 i+ [4 h5 i0 |: l0 a                   微软还为我们提供了一种察看系统正在运行在Svchost.exe列表中的服务的方法。以
* F8 m6 v) J* ~# R. c6 QWindows XP为例：在“运行”中输入：cmd，然后在命令行模式中输入：tasklist /svc。
例：
http://hiphotos.baidu.com/sskgyiqpl/pic/item/9be22a2da8cffe30359bf7c2.jpg
2 z8 n5 B  C# C5 j/ V如果使用的是Windows 2000系统则把前面的“tasklist /svc”命令替换为：“tlist -s”即
4 M* B7 \: j8 ?+ T& q9 w4 W可。如果你怀疑计算机有可能被病毒感染，Svchost.exe的服务出现异常的话通过搜索
Svchost.exe文件就可以发现异常情况。一般只会找到一个在：“C:\Windows\System32”目
录下的Svchost.exe程序。如果你在其他目录下发现Svchost.exe程序的话，那很可能就是中
$ P' ?7 o% l) S) A  g" d) }4 D" F5 U6 h毒了。
' T9 Z, W. S+ G: H# G3 U- z                   还有一种确认Svchost.exe是否中毒的方法是在任务管理器中察看进程的执行路径。但是
) X: i7 ]* N, }; C由于在Windows系统自带的任务管理器不能察看进程路径，所以要使用第三方的进程察看工具
& }  c- B# o9 N& R/ k$ j9 U& w。
/ J5 P* T4 Y2 ~/ G2 s, R                   上面简单的介绍了Svchost.exe进程的相关情况。总而言之，Svchost.exe是一个系统的
/ N) m# e8 {- ]8 B9 P. F3 s$ R. V: q( J核心进程，并不是病毒进程。但由于Svchost.exe进程的特殊性，所以病毒也会千方百计的入
. Q4 H" f& y- O1 A侵Svchost.exe。通过察看Svchost.exe进程的执行路径可以确认是否中毒。
9 p: Z/ o9 T9 t2 q注：希望广大朋友不要进行非法用途，在这里解密木马捆绑是希望大家了解其原理。

# q' p0 o) w2 w/ a& h                   如今网络上病毒肆虐，让电脑用户在应付病毒上花费了不少精力。当你使用杀毒软件查
杀病毒时，是否遇到查出了病毒，但是杀不掉的情况，原因何在?该如何处理呢?以下笔者对
此略作介绍。
' m  v- |5 C" I# {3 b◆系统还原文件
                   _restore文件夹是Windows Me/XP系统特有的系统还原文件夹，隐藏在该文件夹中的病毒
是不能直接清除的。当然这些病毒也不能直接发挥作用。要清除这些病毒，可以关闭Windows
$ n3 J$ @! T$ q系统的“系统还原”功能，清理系统还原点，或者直接删除_restore文件夹的内容。
7 z& E+ y! q1 u+ ^5 K5 @! P◆疑似电脑病毒
                   有时杀毒软件会出现提示：unknown.com.tsr.virus。该提示中，unknown是“不明的”
% O  _9 m8 e: b; T; H意思，tsr是内存驻留的意思，本信息一般提示的是纯DOS环境下的可执行文件，表明杀毒软
9 q0 T3 c5 o* c- N件在该文件中发现了可疑代码，类似病毒，但是没有确定是什么病毒。
                   如果疑似病毒提示涉及Type-Win32代码，则表示可疑的32位代码的意思，是指Windows环
境下可疑的可执行代码。对于疑似病毒，可以直接删除该文件，或者将这些“疑似”的病毒
9 m0 }0 t* D+ p* p; ]) p文件发送给反病毒软件公司，请求帮助。
' a; F: Q3 s- b# `0 n◆exe 文件感染病毒
' l. Z( z0 V  W5 w                   以.exe为扩展名称的文件是软件安装程序的部分文件，其中的病毒不能直接清除。只有
在软件完全安装成功后，方可清除。这有点类似于在COPY文件时发现了病毒的处理方法。
◆在DOS下清除病毒
, L% H" F1 ?* v/ |; }, G                   对于在引导区发现的病毒，如POLYBOOT/WYX.b病毒，请使用干净的系统盘启动系统到DOS
，然后在DOS下杀毒即可清除。如果可感染引导区的病毒存在于文件中，可以直接删除该文件
。
5 F8 o& B) L: e( E, E6 [◆系统初始文件中引用病毒
% Q/ M* a& w1 U% v8 z' h杀毒时出现如下提示：
-----------------------------------------------------------------------------------------------
QUOTE:
　　C：\Windows\brasil.pif worm.win32.opasoft.a病毒　已删除
　　C：\Windows\instit.bat worm.win32.opasoft.a病毒　已删除
　　C：\Windows\alevir.exe worm.win32.opasoft.a病毒　已删除
. U) J& H  l+ |+ m. P9 q8 a# E　　C：\Windows\marco.scr worm.win32.opasoft.a病毒　已删除
" M, f: ^  [4 z　　C：\Windows\SCRSVR.exe worm.win32.opasoft.a病毒　已删除
7 q$ d% Y5 [  }8 F: Z8 w------------------------------------------------------------------------------------------------
2 J+ s5 i5 O1 l- I                   杀毒后，重启动电脑时出现很多找不到文件的信息，而且再次杀毒时提示依旧，病毒还
' b1 B8 j4 ?. W% d: p% j* @是存在。这些顽固病毒的引用应该是在win.ini文件中，请单击“开始→运行”，键入
“sysedit”，按下回车键，编辑win.ini，删除对病毒的引用行。
◆病毒最新变种
) D; c/ n& `, e: j( p& z4 ~0 {杀毒软件查出的是其病毒库中不存在的新型病毒，请将杀毒软件的病毒库升级到最新，然后
再查杀。
# F6 K7 d6 c7 N) h--------------------
1 K  W/ F2 l: F6 b3 y* d   一款好的防火墙并不能发现所有病毒；一个好的杀毒软件并不能歼灭所有的带毒程序！
" M4 D9 N. m/ q, T+ |" `遇到这些情况我们该做何处理呢？很简单——手工杀毒。而要论到手工杀毒，就不能不提到
系统进程的妙用了。
进程、病毒？
                   书上说：“进程为应用程序的运行实例，是应用程序的一次动态执行。”看似高深，我
/ s8 y6 {4 r# K0 d5 h们可以简单地理解为：它是操作系统当前运行的执行程序。在系统当前运行的执行程序里包
# c1 X$ f/ Q5 |" |) Y" s括：系统管理计算机个体和完成各种操作所必需的程序；用户开启、执行的额外程序，当然
; T1 C/ n) K* F. E也包括用户不知道，而自动运行的非法程序（它们就有可能是病毒程序）。
                   危害较大的可执行病毒同样以“进程”形式出现在系统内部（一些病毒可能并不被进程
列表显示，如“宏病毒”），那么及时查看并准确杀掉非法进程对于“手工杀毒有起着关键
% u) i5 P9 ^& P性的作用。
操作系统如何打开进程列表？
, I) A6 P1 P# R2 p3 b                   要通过进程列表查看系统是否染毒，必须打开当前的执行程序进程列表，Microsoft的每
种系统都有相应的打开方法，但能够显示的能力却因（系统）不同，有所差异：
1.Windows 98 /Me系统
                   打开系统进程的方式很简单，快捷键“Ctrl+Alt+Delete”（如图1），这个窗口大家应
- r, C" u6 b# [1 h9 C; l* P该比较熟悉，使用Windows系统的用户都知道用这个方法来关闭程序，不过它同样用于显示系
统进程，只是Windows 98系统较初级，对进程的显示局限于名称，且里面所显示的还有打开
" n. f- f4 _9 R# `& U- I' V' f的文件及目录名，查看时易混淆。Windows Me的进程打开方式和Windows 98相同。
                   Windows 9x系统打开的进程列表混乱且不完全，显然不便于查看系统的具体进程状况，
所以建议使用一些工具程序来为Windows 9x系统显示进程，如“Windows优化大师”，在“优
) Y* O$ }2 |) C8 z化大师”的“系统安全优化”项内打开“进程管理”，在图2所示的“Windows 进程管理”窗
, q* z1 r% R- c! J口内，可以详细查看当前计算机所运行的所有进程，及具体程序所在的位置，这样更方便完
成后面要介绍的如何利用进程进行查毒、杀毒。

新洁电子

2.Windows 2000/ XP/2003系统
* |- ~2 u1 u3 x- s+ ~
                   Windows 2000、Windows XP、Windows 2003打开进程窗口的方式与Windows 9x系统相同
: z) J8 h4 e- {/ S( g
5 M  _. i% V! m! r，只是三键后打开的是“Windows 任务管理器”窗口，需要选择里面的“进程”项。Windows

2000系统只显示具体进程的全名，占用的内存量；Windows XP、Windows 2003系统相比

( y3 ^* S( s+ [/ e, R9 u. QWindows 2000会显示该进程归属于那个用户下，如操作系统所必须的基础程序，会在后面的

“用户名”内显示为“SYSTEM”，由用户另外开启的程序则用户名为当前的系统登录用户名
) n; x3 R1 p& v7 N
。

通过进程发现、处理病毒
                   在介绍具体的查毒和杀毒前，笔者先回答开篇提出的两个问题。为什么杀毒软件并不能
: i4 L( X" ]' E* o8 |
( z+ {: j1 s, g全面的查找和杀掉病毒？首先，病毒防火墙是通过对程序进行反汇编，然后与自己的病毒库

进行对比来查找病毒，如果病毒较新，而杀毒软件又未能及时升级便不能识别病毒。其次，

杀毒软件在发现病毒后，如果是独立的可执行病毒程序，会选择直接删除的处理方式，而病
7 @$ F( B/ c6 I+ M  u) W
毒如果被当作进程执行了，杀毒软件就无能为力了，因为它没有功能和权限先停止掉系统的

  \! g' G/ I7 l5 c3 @1 B7 R' U. h这些进程，被当作进程执行的程序是不能被删除的（这也是大家在删除一个程序时，提示该
& v: y7 ]& D" J6 b
1 R$ t* J- \- u2 T程序正在被使用不能删除的原因）。所以在使用杀毒软件杀毒时，才会有杀毒完成后，又出

' ]: J' `  I; x% `& {现病毒提示的原因。

                   回到原来话题上！通过进程如何发现和杀掉病毒呢？由前面的知识介绍可知，Windows
# y! `* N- C; t4 n7 `& ~* O
( l" H  U4 k5 a$ s# q9 z. I2 c9X和Windows 2000系统只能显示进程的名称，这对判断该进程是否是病毒还不够，如果要准
: Y8 f* ~' x9 u1 h* u, u
确的断定病毒，最好使用前面介绍的“Windows优化大师”来查看进程程序的源路径，如果是

“C:\windows\system”下的一些未知的“EXE”那便极有病毒的可能性了。Windows XP和
& @, N5 x& E+ m- E! u$ b5 F  {
5 l6 r7 T5 m3 M# U, {3 e; RWindows 2003系统，进程后会有“用户名”的显示，病毒是不可能获得“SYSTEM”权限的，

4 w- K# i5 F  ]3 ~所以应注意“用户名”是当前登录用户的进程，一旦发现是病毒，可以立即“杀掉”。这里

& f: [0 X3 J8 U, w5 R介绍两个技巧：
$ @6 Q; n7 s- q* n+ v$ u
2 m8 m( {* p3 O2 g/ P3 z1．发现可疑进程后，利用Windows的查找功能，查找该进程所在的具体路径，通过路径可以

: F" m1 P+ f5 Z& W知道该进程是否合法，譬如由路径“C:\Program Files\3721\assistse.exe”知道该程序是

3721的进程，是合法的。

2．在对进程是否病毒拿不定主意时，可以复制该进程的全名，如：“xxx.exe”到googl.com

或baidu.com这样的全球搜查引擎上进行搜查，如果是病毒会有相关的介绍网页。

* r  j% G* m7 V7 D7 [5 l/ w5 _$ J                   确定了该进程是病毒，首先应该杀掉该进程，对于Windows 9x系统，选中该进程后，点
1 D/ s1 _' p, m
击下面的“结束任务”按钮，Windows 2000、Windows XP、Windows 2003系统则在进程上单

7 v: R$ E1 L7 @' @3 w. O击右键在弹出菜单上选择“结束任务”。“杀掉”进程后找到该进程的路径删除掉即可，完
2 j( ~4 H# q* S; i- v1 h: \
8 f# h* J1 b9 k0 p7 U成后最好在进行一次杀毒，这样就万无一失了。
% Q( T& l# O4 y/ z7 j7 R% _8 C5 i  W& l' u
* P0 h  p& Q6 }! ~2 i& d* d                   一次利用进程杀毒的具体过程是这样的：“通过进程名及路径判断是否病毒→杀掉进程→删除病毒程序”，为了让读者更好的判断进程，在这里补充一些Windows的进程资料给大家：
6 N# S7 @+ u3 w$ o7 f

5 M' q7 ^/ w3 LQUOTE:
. [8 G1 Z0 P- f! q- o+ i进程名　　　　　　描述

smss.exe　　　　　Session　Manager
1 d' t0 s+ P7 G* W* @* O* V
csrss.exe 　　　　子系统服务器进程
+ m7 c* Y; {. i/ j0 p8 u, w
winlogon.exe　　　管理用户登录

services.exe　　　包含很多系统服务

- A. S2 x) N3 d2 ~lsass.exe 　　　　管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。
2 Q+ L1 `& }4 u4 M' C$ ]" X3 R4 N
svchost.exe　　　 Windows 2000/XP 的文件保护系统
# F+ ~3 i) e" C1 @
1 o1 n& d, [7 i0 aSPOOLSV.EXE 　　　将文件加载到内存中以便迟后打印。

* [/ N; Q& _0 S( t4 l4 Dexplorer.exe　　　资源管理器

; l& f0 @9 e5 S% R4 q% p7 l% _% kinternat.exe　　　托盘区的拼音图标

# f: r/ m% n6 X) z. }% |- lmstask.exe　　　　允许程序在指定时间运行。
9 q% B2 h, b  q
( T- W( ^  }; P/ |regsvc.exe　　　　允许远程注册表操作。(系统服务)→remoteregister
$ S* g) g- G( `# T, h
# }+ @3 B( A% s2 a, }tftpd.exe 　　　　实现 TFTP Internet 标准。该标准不要求用户名和密码。

llssrv.exe　　　　证书记录服务

7 v( j# B2 o! Nntfrs.exe 　　　　在多个服务器间维护文件目录内容的文件同步。
- b4 ^* j4 [% D- G9 h
RsSub.exe 　　　　控制用来远程储存数据的媒体。

0 u9 U  P: |& H6 {- H: q/ _: @, ~locator.exe 　　　管理 RPC 名称服务数据库。

7 y+ O# {4 S; v- w9 r" Xclipsrv.exe 　　　支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页面。
. _6 O4 {/ t& e# }9 O2 ^
, j1 E. w1 G2 Q  W
2 S3 Z: j0 V4 u8 }( ?+ o5 C! v问：我的系统进程里有四个svchost.exe，听说有些木马就是伪装成系统的进程，不知道这个

$ d, Q- j5 v( E! _$ n6 ^. H  A是不是？
/ a) B2 E+ {8 r  }0 x
+ {' O* O8 Q  E, l0 T: r, x答：svchost.exe 存在 %windir%\system32\wins 下。
. z* a( @6 y9 L, e+ M
) n3 D# `8 N* `+ g; B# r                   如果怀疑svchost.exe是病毒可以通过以下方法来证实是不是病毒：
0 N- T4 J! y( ?# r; J7 c' G- y
1 |3 @/ c& V8 `  E1 W: X+ f8 j1.可以去 wins 目录找找有无多余，
5 W) f8 b! R* C9 f( ^: C1 @& S
9 R) _. _: {6 l& Q2.可以搜搜windows文件夹中 svchost.exe 看看有几个（应为1个），

* V- i; |1 ^% [4 b3.tlist -s察看，
7 K5 G$ U6 r5 w9 ]# |3 b; j' I
' b. }. B0 w& T' f4.也可以下载一个可以看带路径名的进程的浏览工具。

' m! C# U4 u7 v问：svchost.exe是起什么作用的进程?

& v+ B4 A1 R4 h% ^答：Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。
; [. I" k* i5 M9 A
/ ^3 f; S& p% {5 ]6 @Svhost.exe文件定位在系统的%systemroot%\system32文件夹下。在启动的时候，
* b( |$ A! C% e+ H
, k% t4 \" [4 @; ?5 f3 p; aSvchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务，以至于单独的服务必须依*Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。

* T3 V9 q2 h8 L4 z7 V0 }2 Q    Svchost.exe 组是用下面的注册表值来识别。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost每个在这个键下的值代表一个独立的Svchost组，并且当你正在看活动的进程时，它显示作为一个单独的例子。每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。每个Svchost组都包含一个或多个从注册表值中选取的服务名，这个服务的参数值包含了一个ServiceDLL值。HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service msdtc.exe ---并列事务，是分布于两个以上的数据库，消息队列，文件系统或其他事务保护资源管理器。

grovel.exe ---扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存储点，以节省磁盘空间（只对 NTFS 文件系统有用）。

snmp.exe ---包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。
* g; Y2 E- i2 P2 m$ P以上这些进程都是对计算机运行起至关重要的，千万不要随意“杀掉”，否则可能直接影响系统的正常运行。

FD80

学习了。大侠为什么我在Windows 2000系统则把前面的“tasklist /svc”命令替换为：“tlist -s”不行呢，系统提示 ：不是外部和内部命令，不是批处理程序。

新洁电子

如果要查看哪些服务正在使用Svchost.exe，对于Windows 2000可从其安装光盘的SupportToolsSupport.cab压缩包中，将Tlist.exe解压缩至任意目录，接着在"命令提示符"中进入Tlist.exe所在目录，输入"tlist -s"并回车("tlist pid"命令可看到详细信息)。而在Windows XP则直接输入"Tasklist /SVC"查看进程信息("Tasklist /fi "PID eq processID""则可看到详细信息)。
哈哈 :lol: 有问题请继续问
4 z4 T+ W# Z! e. e. b- r俺不知道的话,还有 feiyong511版版,还有江南老大,哈哈 titter

( ]: t( d7 @- _4 P( x[ 本帖最后由 新洁电子 于 2007-5-30 14:13 编辑 ]

olive_fy

谢谢新洁电子  (辛光尘)。
不过这些内容我都在网上找到了。我也确定了Svchost.exe进程的执行路径是正常的，就在C:\Windows\System32目录下面。而搜索Svchost.exe的结果是：它存在3个地方，不过都被我连文件夹删了。还是不行啊。

新洁电子

现在的病毒都很恶劣,病毒载体遍布硬盘.
建议用NOD32(曾经是微软的御用杀毒软件,俺一直用,每天生机,几乎不中毒)杀毒,效果很好.
实在不行,只有重新安装系统了.

新洁电子

另外,Svchost.exe是系统必须的,都让你杀了,系统也该瘫痪了.哈哈 :lol: