9,506
社区成员
发帖
与我相关
我的任务
分享紧急跪求高手进...关于进程SVCHOST的问题?
我的卡巴6.0注册版本老是提示SVCHOST.EXE这个文件要插入其他进程,原来是一直跳出IE进程,现在老是被卡巴阻止,用木马客星,木马杀客都用过了,都查不到,但是老是跳出来烦人。请各位大大帮忙看看,下面是报告:
2007-1-1 21:45:33 C:\WINDOWS\system32\svchost.exe 进程 C:\WINDOWS\system32\svchost.exe (PID: 752) 试图注入到进程 C:\Program Files\Internet Explorer\iexplore.exe (PID: 2836). 拒绝操作.
2007-1-1 20:32:33 C:\WINDOWS\system32\svchost.exe 进程 C:\WINDOWS\system32\svchost.exe (PID: 752) 试图注入到进程 C:\Program Files\Internet Explorer\iexplore.exe (PID: 1624).
2007-1-1 20:32:33 C:\WINDOWS\system32\svchost.exe 进程 C:\WINDOWS\system32\svchost.exe (PID: 752) 试图注入到进程 C:\Program Files\Internet Explorer\iexplore.exe (PID: 1624). 拒绝操作.
2007-1-1 20:32:37 C:\WINDOWS\system32\svchost.exe 进程 C:\WINDOWS\system32\svchost.exe (PID: 752) 试图注入到进程 C:\Program Files\Internet Explorer\iexplore.exe (PID: 1624).
2007-1-1 20:32:37 C:\WINDOWS\system32\svchost.exe 进程 C:\WINDOWS\system32\svchost.exe (PID: 752) 试图注入到进程 C:\Program Files\Internet Explorer\iexplore.exe (PID: 1624). 拒绝操作.
SVCHOST.EXE有5个进程在,我的系统是XP的360安全卫士也检测不出来
下面是5个SCVHOST.EXE进程的详细情况
c:\windows\system32\svchost.exe -k LocalService
c:\windows\system32\svchost.exe -k NetworkService
c:\windows\system32\svchost.exe -k netsvcs
c:\windows\system32\svchost.exe -k rpcss
c:\windows\system32\svchost.exe -k DcomLaunch
我是怀疑上面第4个是木马..但是不敢轻易删除...请各位大大帮帮小弟..先谢谢了!
2007-1-1 21:45:33 C:\WINDOWS\system32\svchost.exe 进程 C:\WINDOWS\system32\svchost.exe (PID: 752) 试图注入到进程 C:\Program Files\Internet Explorer\iexplore.exe (PID: 2836). 拒绝操作.
2007-1-1 20:32:33 C:\WINDOWS\system32\svchost.exe 进程 C:\WINDOWS\system32\svchost.exe (PID: 752) 试图注入到进程 C:\Program Files\Internet Explorer\iexplore.exe (PID: 1624).
2007-1-1 20:32:33 C:\WINDOWS\system32\svchost.exe 进程 C:\WINDOWS\system32\svchost.exe (PID: 752) 试图注入到进程 C:\Program Files\Internet Explorer\iexplore.exe (PID: 1624). 拒绝操作.
2007-1-1 20:32:37 C:\WINDOWS\system32\svchost.exe 进程 C:\WINDOWS\system32\svchost.exe (PID: 752) 试图注入到进程 C:\Program Files\Internet Explorer\iexplore.exe (PID: 1624).
2007-1-1 20:32:37 C:\WINDOWS\system32\svchost.exe 进程 C:\WINDOWS\system32\svchost.exe (PID: 752) 试图注入到进程 C:\Program Files\Internet Explorer\iexplore.exe (PID: 1624). 拒绝操作.
SVCHOST.EXE有5个进程在,我的系统是XP的360安全卫士也检测不出来
下面是5个SCVHOST.EXE进程的详细情况
c:\windows\system32\svchost.exe -k LocalService
c:\windows\system32\svchost.exe -k NetworkService
c:\windows\system32\svchost.exe -k netsvcs
c:\windows\system32\svchost.exe -k rpcss
c:\windows\system32\svchost.exe -k DcomLaunch
我是怀疑上面第4个是木马..但是不敢轻易删除...请各位大大帮帮小弟..先谢谢了!
...全文
请发表友善的回复…
发表回复
lbeast 2007-01-09
- 打赏
- 举报
baidu去下个icesword
在服务里可以找到所有的svchost 可以查看详细信息 然后看看哪个不正常 记下pid号 到进程中找到对应的pid号 结束 并删除服务里对应svchost调用的文件。
在服务里可以找到所有的svchost 可以查看详细信息 然后看看哪个不正常 记下pid号 到进程中找到对应的pid号 结束 并删除服务里对应svchost调用的文件。
EvilAtman 2007-01-09
- 打赏
- 举报
进程文件:svchost or svchost.exe
进程名称:Service Host Process
描述:Service Host Process是一个标准的动态连接库主机处理服务。
进程详解:Svchost.exe是一个系统的核心进程,并不是病毒进程。但由于Svchost.exe进程的特殊性,所以病毒也会千方百计的入侵Svchost.exe。通过察看Svchost.exe进程的执行路径可以确认是否中毒
Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。
其实Svchost.exe是Windows XP系统的一个核心进程。Svchost.exe不单单只出现在Windows XP中,在使用NT内核的Windows系统中都会有Svchost.exe的存在。一般在Windows 2000中Svchost.exe进程的数目为2个,而在Windows XP中Svchost.exe进程的数目就上升到了4个及4个以上。所以看到系统的进程列表中有几个Svchost.exe不用那么担心。
如果你怀疑计算机有可能被病毒感染,Svchost.exe的服务出现异常的话通过搜索Svchost.exe文件就可以发现异常情况。一般只会找到一个在:“C:WindowsSystem32”目录下的Svchost.exe程序。如果你在其他目录下发现Svchost.exe程序的话,那很可能就是中毒了。
进程名称:Service Host Process
描述:Service Host Process是一个标准的动态连接库主机处理服务。
进程详解:Svchost.exe是一个系统的核心进程,并不是病毒进程。但由于Svchost.exe进程的特殊性,所以病毒也会千方百计的入侵Svchost.exe。通过察看Svchost.exe进程的执行路径可以确认是否中毒
Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。
其实Svchost.exe是Windows XP系统的一个核心进程。Svchost.exe不单单只出现在Windows XP中,在使用NT内核的Windows系统中都会有Svchost.exe的存在。一般在Windows 2000中Svchost.exe进程的数目为2个,而在Windows XP中Svchost.exe进程的数目就上升到了4个及4个以上。所以看到系统的进程列表中有几个Svchost.exe不用那么担心。
如果你怀疑计算机有可能被病毒感染,Svchost.exe的服务出现异常的话通过搜索Svchost.exe文件就可以发现异常情况。一般只会找到一个在:“C:WindowsSystem32”目录下的Svchost.exe程序。如果你在其他目录下发现Svchost.exe程序的话,那很可能就是中毒了。
deny5 2007-01-08
- 打赏
- 举报
这个最好是用进程管理软件 看看 模块, 看看svchost.exe 究竟调用了哪些dll.
pzchris 2007-01-08
- 打赏
- 举报
顺便问问,svchost.exe文件不是病毒,那究竟是用来干啥的
inhere_ok 2007-01-08
- 打赏
- 举报
提示:
如果你遇到了下列现象,说明可以恭喜你已经中招了……
1.无法打开Windows优化大师,症状是打开后它会自动最小化,无法打开;
2.无法打开包含诸如“服_务”,“病_毒”等敏感字眼的任何东西(网页,目录,文档,etc);
3.长期有个svchost.exe进程资源占用率超过99%;
文件分析:
文件大小:233472 字节
(这个数字很巧合,与锐捷的上网认证是同样的大小。
所以在最初做杀_毒工具的时候导致认证软件的进程直接被干掉了,寒死。)
程序语言:Visual Basic 5.0-6.0
文件备注:WINDOWS NETWORK DEBUG
文件图标:Windows 系统的服务管理控制台的图标
文件机理分析:
通过对文件的全面分析即反汇编结果,推断出文件将会是下列的执行过程:
1,病_毒文件被执行,然后将自身拷贝到 %systemroot%\svchost.exe , %systemroot%\system\svchost.exe,%systemroot%\system32\NetDebug.exe
2,病_毒每隔一定时间将在 %systemroot%\system\autorun.inf 中写入自动执行的数据,
但是从写入的内容来看并不存在这个文件,所以个人猜测这个病_毒并没有最终完成功能。
3,病_毒每隔一定时间将自动执行 at 来定时启动自身,反复执行。
4,病_毒创建下列服务:
服务名:SerND
显示名:Server Network Debug
服务描述:管理和监视计算机的网络通信协议,如果服务停止,这些功能不可用。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。
5,病_毒可能创建以下文件:
%systemroot%\system\autorun.inf
%systemroot%\system\desktop.ini
%systemroot%\desktop.ini
%systemroot%\1.dat
%systemroot%\small.dat
其他的感染过程:
1,病_毒资源中存在这样的字样: \\,\d$\autorun.inf。从此推断出此病_毒亦具有通过共享以及移动存储传播的功能;
网络执行过程:
1,病_毒执行后,将立刻从下列网址下载文档:
http://www.dianke.net/xiaojian/net/net.asp?id=0 或 http://202.119.52.185/ch/config/pubnet/net.asp?id=0
这个文件的内容为“ok”,那么很简单,如果能正常获得文件说明网络正常,将会继续执行操作。
2,依次请求下列地址:
http://www.dianke.net/xiaojian/net/net.txt [内容为 “219.219.47.60,3000,”,未知含义]
http://www.dianke.net/xiaojian/net/net.asp?id=4
内容为:【登录QQ游戏,QQ登录,-->WEB登录,网易 -,网易163免费邮,网易126免费,新浪首页,搜狐首页,21CN.COM,江苏电信,TOM.COM,余额,网上银行,登录】
可能为敏感的关键字,从这里可以看出这个程序已经初步具有盗号和盗取密码的嫌疑。
http://www.dianke.net/xiaojian/net/net.asp?id=5
http://www.dianke.net/xiaojian/net/net.asp?id=6
http://www.dianke.net/xiaojian/net/net.asp?id=10
http://www.dianke.net/xiaojian/net/net.asp?id=11
以上内容不明。
3,读取注册表中关于QQ的位置记录(SOFTWARE\Tencent\QQ),可以推断出其意图是想让腾讯的密码保护系统失效(因为其密码保护的驱动位于其安装目录中),从而方便盗号。
4,下载下列URL的文件
http://202.119.52.185/ch/config/pubnet/down.exe
http://www.dianke.net/xiaojian/net/down.exe
http://202.119.52.185/ch/config/pubnet/MSWINSCK.OCX [微软的控件库,下同]
http://www.dianke.net/ch/config/pubnet/MSWINSCK.OCX
http://202.119.52.185/ch/config/pubnet/MSINET.OCX
http://www.dianke.net/ch/config/pubnet/MSINET.OCX
到下列目录:
%systemroot%\
%systemroot%\system32\
下载完成后自动执行。
专杀工具说明:
1,本身用到了 FSO 以及 WSH 对象,为较多的杀_毒软件所拦截,请尽量关闭杀_毒软件和防火墙后运行。如果确实不可关闭,请注意每个提示。
2,建议运行两次来确认已经被杀除。
3,如果无法运行提示错误,请重新安装 Windows Script Host 5.6,可以参考这个网址http://www.crsky.com/soft/1935.html
4,建议重启后再运行一次本工具。
如果你遇到了下列现象,说明可以恭喜你已经中招了……
1.无法打开Windows优化大师,症状是打开后它会自动最小化,无法打开;
2.无法打开包含诸如“服_务”,“病_毒”等敏感字眼的任何东西(网页,目录,文档,etc);
3.长期有个svchost.exe进程资源占用率超过99%;
文件分析:
文件大小:233472 字节
(这个数字很巧合,与锐捷的上网认证是同样的大小。
所以在最初做杀_毒工具的时候导致认证软件的进程直接被干掉了,寒死。)
程序语言:Visual Basic 5.0-6.0
文件备注:WINDOWS NETWORK DEBUG
文件图标:Windows 系统的服务管理控制台的图标
文件机理分析:
通过对文件的全面分析即反汇编结果,推断出文件将会是下列的执行过程:
1,病_毒文件被执行,然后将自身拷贝到 %systemroot%\svchost.exe , %systemroot%\system\svchost.exe,%systemroot%\system32\NetDebug.exe
2,病_毒每隔一定时间将在 %systemroot%\system\autorun.inf 中写入自动执行的数据,
但是从写入的内容来看并不存在这个文件,所以个人猜测这个病_毒并没有最终完成功能。
3,病_毒每隔一定时间将自动执行 at 来定时启动自身,反复执行。
4,病_毒创建下列服务:
服务名:SerND
显示名:Server Network Debug
服务描述:管理和监视计算机的网络通信协议,如果服务停止,这些功能不可用。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。
5,病_毒可能创建以下文件:
%systemroot%\system\autorun.inf
%systemroot%\system\desktop.ini
%systemroot%\desktop.ini
%systemroot%\1.dat
%systemroot%\small.dat
其他的感染过程:
1,病_毒资源中存在这样的字样: \\,\d$\autorun.inf。从此推断出此病_毒亦具有通过共享以及移动存储传播的功能;
网络执行过程:
1,病_毒执行后,将立刻从下列网址下载文档:
http://www.dianke.net/xiaojian/net/net.asp?id=0 或 http://202.119.52.185/ch/config/pubnet/net.asp?id=0
这个文件的内容为“ok”,那么很简单,如果能正常获得文件说明网络正常,将会继续执行操作。
2,依次请求下列地址:
http://www.dianke.net/xiaojian/net/net.txt [内容为 “219.219.47.60,3000,”,未知含义]
http://www.dianke.net/xiaojian/net/net.asp?id=4
内容为:【登录QQ游戏,QQ登录,-->WEB登录,网易 -,网易163免费邮,网易126免费,新浪首页,搜狐首页,21CN.COM,江苏电信,TOM.COM,余额,网上银行,登录】
可能为敏感的关键字,从这里可以看出这个程序已经初步具有盗号和盗取密码的嫌疑。
http://www.dianke.net/xiaojian/net/net.asp?id=5
http://www.dianke.net/xiaojian/net/net.asp?id=6
http://www.dianke.net/xiaojian/net/net.asp?id=10
http://www.dianke.net/xiaojian/net/net.asp?id=11
以上内容不明。
3,读取注册表中关于QQ的位置记录(SOFTWARE\Tencent\QQ),可以推断出其意图是想让腾讯的密码保护系统失效(因为其密码保护的驱动位于其安装目录中),从而方便盗号。
4,下载下列URL的文件
http://202.119.52.185/ch/config/pubnet/down.exe
http://www.dianke.net/xiaojian/net/down.exe
http://202.119.52.185/ch/config/pubnet/MSWINSCK.OCX [微软的控件库,下同]
http://www.dianke.net/ch/config/pubnet/MSWINSCK.OCX
http://202.119.52.185/ch/config/pubnet/MSINET.OCX
http://www.dianke.net/ch/config/pubnet/MSINET.OCX
到下列目录:
%systemroot%\
%systemroot%\system32\
下载完成后自动执行。
专杀工具说明:
1,本身用到了 FSO 以及 WSH 对象,为较多的杀_毒软件所拦截,请尽量关闭杀_毒软件和防火墙后运行。如果确实不可关闭,请注意每个提示。
2,建议运行两次来确认已经被杀除。
3,如果无法运行提示错误,请重新安装 Windows Script Host 5.6,可以参考这个网址http://www.crsky.com/soft/1935.html
4,建议重启后再运行一次本工具。
Bennyatt 2007-01-04
- 打赏
- 举报
svchost.exe....这个本身不是 病毒
是系统默认 的一些东西 一般有个 4~5个是正常的
你一杀 进程就重新启动了
但是到也有可能中毒。。。
是系统默认 的一些东西 一般有个 4~5个是正常的
你一杀 进程就重新启动了
但是到也有可能中毒。。。
yezhou1860 2007-01-03
- 打赏
- 举报
最好也清理一下垃圾文件和临时文件
lich2005 2007-01-02
- 打赏
- 举报
试试在安全模式查杀,有时效果会好一些
maqich 2007-01-02
- 打赏
- 举报
安全模式杀了没用....系统重装了只能坚持一会....过些时间又会出现....郁闷死我了!
