SVCHOST总出问题,请高手帮忙

cdyuan 2003-08-14 08:42:11
近几天总是出现svchost.exe错误,主要是出现在上网的时候,不上网没事。但一旦出现该错误,就不能打开新的OFFICE文档,不能打开新的网页,调制解调器必须断电才能关闭;已打开的当前网页可刷新,已打开的WORD文档可进行编辑,但没有复制、粘贴等功能。
这种问题出现后已经用GHOST重装和自光盘完全重装多次,所用光盘和原来备份的GHOST映像都是以前一直使用的,没有出现过这种问题。
现在系统为win 2k pro sp3,office xp等。
请高手、专家帮助分析这个问题。
...全文
65 点赞 收藏 16
写回复
16 条回复
切换为时间正序
当前发帖距今超过3年,不再开放新的回复
发表回复
subsniper 2003-08-14
www.ttxz.net
我提供补丁和工具的本地下载
回复
cdyuan 2003-08-14
请教大虾:
现已经下载了补钉,系统似乎也正常了,但仍有四个任务管理器中svchost.exe,这是不是病毒啊?其它的程序好象都只有一个进程。
回复
woailvzi 2003-08-14
开始-〉附件-〉系统工具—〉系统还原
回复
matianyi 2003-08-14
如果你原来没启动,现在启动也没用了,如果原来启动了,在安全模式下,好象是在附件的系统工具里了,我也记不太清了,反正在开始菜单里能找到!
回复
sysadm520 2003-08-14
我的机子里面的进程也有七八个svchost.exe这个进程!!是不是病毒啊!!
回复
danhill 2003-08-14
MSBLAST蠕虫紧急公告!

绿盟科技安全小组的HoneyPot监测到一种针对MS06-026 Microsoft
Windows DCOM RPC接口远程缓冲区溢出漏洞的蠕虫正在活跃,危害极大。此病毒
通过网络传播,目前已在我州发作。请计算机用户加强防范,采取措施防止感染
病毒和传播。
一、 受影响的软件系统及危害:
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows 2003
北京时间2003年08月12日,绿盟科技安全小组的HoneyPot监测到了一种新的
攻击,绿盟科技安全小组火速对捕获的数据样本分析和研究,已经明确,这是一
个针对MS06-026 Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞
(http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=5147)的
蠕虫。因为该漏洞影响所有没有安装MS06-026补丁的Windows 2000、Windows
XP、Windows 2003系统,不仅是服务器,也包括个人计算机在内,所以危害极
大。
该蠕虫大小为6176字节。用LCC-Win32 v1.03编译,upx 1.22压缩,创建时间是
2003年8月11日7点21分。
蠕虫感染系统后首先检测是否有名为"BILLY"的互斥体存在,如果检测到该
互斥体,蠕虫就会退出,如果没有,就创建一个。
然后蠕虫会在注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加
以下键值:
"windows auto update"="msblast.exe"
以保证每次用户登录的时候蠕虫都会自动运行。
蠕虫还会在本地的UDP/69端口上建立一个tftp服务器,用来向其他受侵害的
系统上传送蠕虫的二进制程序msblast.exe。
蠕虫选择目标IP地址的时候会首先选择受感染系统所在子网的IP,然后再按
照一定算法随机在互连网上选择目标攻击。
一旦连接建立,蠕虫会向目标的TCP/135端口发送攻击数据。如果攻击成
功,会监听目标系统的TCP/4444端口作为后门,并绑定cmd.exe。然后蠕虫会连
接到这个端口,发送tftp命令,回连到发起进攻的主机,将msblast.exe传到目
标系统上,然后运行它。
蠕虫所带的攻击代码来自一个公开发布的攻击代码,当攻击失败时,可能造
成没有打补丁的Windows系统RPC服务崩溃,Windows XP系统可能会自动重启。该
蠕虫不能成功侵入Windows 2003,但是可以造成Windows 2003系统的RPC服务崩
溃,默认情况下,这将使系统重启。
蠕虫检测到当前系统月份是8月之后或者日期是15日之后,就会向微软的更
新站 点"windowsupdate.com"发动拒绝服务攻击。也就是说,从2003年8月16
日开始就会一直进行拒绝服务攻击。
蠕虫代码中还包含以下文本数据:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix
your software!!
二、 解决方法:
* 检测是否被蠕虫感染:
1、检查系统的%systemroot%\system32目录下是否存在msblast.exe文件。请在
命令提示符中按照下面键入:
C:\>dir %systemroot%\system32\msblast.exe
如果被感染,那么您可以看到类似的显示结果:
C:\>dir %systemroot%\system32\msblast.exe
驱动器 C 中的卷是 sys
卷的序列号是 A401-04A9
C:\WINNT\system32 的目录
2003-08-12 03:03 6,176 msblast.exe
1 个文件 6,176 字节
0 个目录 2,701,848,576 可用字节
2、检查注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。请在
命令提示符中按照下面键入:
C:\>regedit /e tmp.txt
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
C:\>type tmp.txt
如果被感染,那么您可以看到类似的显示结果:
C:\>type tmp.txt
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"windows auto update"="msblast.exe"
3、在任务管理器中查看是否有msblast.exe的进程。如果有,说明蠕虫正在您的
系统上运行。
* 预防蠕虫感染:

安装MS03-026(http://www.microsoft.com/technet/security/bulletin/MS03-
026.asp)的安全更新。下载地址:

Windows NT 4.0 Server:
http://microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-
4FA7-BDBF-DF77A0B9303F&displaylang=en
Windows NT 4.0 Terminal Server Edition :
http://microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-
424C-A3C1-C9FAD2DC65CA&displaylang=en
Windows 2000:
http://microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-
4C15-8C9F-220354449117&displaylang=en
Windows XP 32 bit Edition:
http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-
44AC-9532-3DE40F69C074&displaylang=en
Windows XP 64 bit Edition:
http://microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-
488F-80E3-C347ADCC4DF1&displaylang=en
Windows Server 2003 32 bit Edition:
http://microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-
4061-9009-3A212458E92E&displaylang=en
Windows Server 2003 64 bit Edition:
http://microsoft.com/downloads/details.aspx?FamilyId=2B566973-C3F0-
4EC1-995F-017E35692BC7&displaylang=en
安装补丁后您需要重新启动系统才能使补丁生效,如有可能,请在下载完补丁后
断开网络连接再安装补丁。
* 清除蠕虫

如果发现系统已经被蠕虫感染,我们建议您按照以下步骤手工清除蠕虫:
1、按照上述"预防蠕虫感染"的方法安装补丁。
2、点击左下角的"开始"菜单,选择"运行",在其中键入"taskmgr",点击"确
定"。这样就启动了任务管理器。在其中查找msblast.exe进程,找到后在进程上
单击右键,选择"结束进程",点击"是"。
3、删除系统目录下的msblast.exe。
4、点击左下角的"开始"菜单,选择"运行",在其中键入"regedit",点击"确
定"。这样就启动注册表编辑器。在注册表中找到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,删除
其下的"windows auto update"="msblast.exe"。
5、重新启动系统。

截至目前为止,一些杀毒软件厂商的病毒特征库已包含该蠕虫的特征,可以清除
该蠕虫,请更新您杀毒软件的病毒特征库进行查杀。

绿盟科技产品的冰之眼IDS
(http://www.nsfocus.com/homepage/products/nids.htm)早在该漏洞发布时
(2003年7月)就已经可以检测此种攻击;RSAS
(http://www.nsfocus.com/homepage/products/rsas.htm)也早就可以检测到
网络内受该漏洞影响的主机;对于大量的TCP数据流导致的拒绝服务,黑洞
(http://www.nsfocus.com/homepage/products/collapsar.htm)是目前最佳解
决方案之一。
回复
Richard2001 2003-08-14
怎么启动系统还原功能?
回复
woailvzi 2003-08-14
不知道你没有启动系统还原功能
这可以解决你错误删除注册表的问题
回复
Richard2001 2003-08-14
问题是我要先恢复注册表.能正常进入系统先啊. 然后才能kill这个病毒啊.
回复
jy2004 2003-08-14
好象是是“冲击波”病毒
回复
Richard2001 2003-08-14
我是菜鸟我痛苦啊:
为什么现在才看到这个贴啊!原来是病毒作怪!
昨晚我的windows XP老是重启,看任务管理器,发现svchost.exe特别兴奋,就从注册表中的一些地方狂删(主要是什么..\controls001\,..\controls002\目录下的imagepath中有关的值)
,结果是....
我的XP不能正常进入了!
现在进入的桌面显示不完整,但按ctrl+alt+del能弹出任务管理器窗口,也能运行cmd命令进入Dos窗口.
请问怎样恢复啊?解决了另开贴子给分!
回复
AresEros 2003-08-14
“冲击”病毒!

立即升级RPC的补丁

Win2000 中文版:

http://download.microsoft.com/download/2/8/1/281c0df6-772b-42b0-9125-6858b759e977/Windows2000-KB823980-x86-CHS.exe

Windows XP 中文版:

http://download.microsoft.com/download/a/a/5/aa56d061-3a38-44af-8d48-85e42de9d2c0/WindowsXP-KB823980-x86-CHS.exe


手动清除方法:

1. 开始=》运行=》taskmgr,启动任务管理器。在其中查找 msblast.exe 进程,找到后在进程上单击右键,选择“结束进程”,点击“是”。

2. 检查系统的 %systemroot%system32 目录下(Win2K一般是C:WINNTSystem32)是否存在 msblast.exe 文件,如果有,删除它。
注意-必须先结束msblast.exe在系统中的进程才可以顺利的删除它。

3. 开始=》运行=》regedit,启动注册表编辑器。在注册表中找到 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun ,
删除其下的“windows auto update"="msblast.exe”键值。

4. 在DOS窗口打入 netstat -an 来查看是否还有病毒在快速的向外部发送packets。

回复
TiCrystaler 2003-08-14
如果有上述症状建立立即安装如下补丁:

Win2000 中文版:

http://download.microsoft.com/download/2/8/1/281c0df6-772b-42b0-9125-6858b759e977/Windows2000-KB823980-x86-CHS.exe

请注意,以上措施只是挽救已将崩溃的系统,修正病毒利用的系统漏洞。但是病毒并没有清除。请各位用户在安装好补丁之后,立即安装防毒软件或升级已安装病毒软件的最新病毒库,并全面检测你的系统以确保能够清楚残留在系统中的病毒。

手动清除方法:

1. 开始=》运行=》taskmgr,启动任务管理器。在其中查找 msblast.exe 进程,找到后在进程上单击右键,选择“结束进程”,点击“是”。

2. 检查系统的 %systemroot%system32 目录下(Win2K一般是C:WINNTSystem32)是否存在 msblast.exe 文件,如果有,删除它。
注意-必须先结束msblast.exe在系统中的进程才可以顺利的删除它。

3. 开始=》运行=》regedit,启动注册表编辑器。在注册表中找到 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun ,
删除其下的“windows auto update"="msblast.exe”键值。

4. 在DOS窗口打入 netstat -an 来查看是否还有病毒在快速的向外部发送packets。

这样可以清除蠕虫病毒在系统中的驻留,不过仍然建议大家使用正版的杀毒软件对系统进行全面的检测,以求万无一失。
回复
Richard2001 2003-08-14
系统还原的EXE名称及路径是什么啊? 我只能进入DOS,所以只能找这个东东啦.
回复
raysand 2003-08-14
愚昧我的win 2003系统里面前几天多了 N 个进程,我的内存占用也达到了历史记录

请看 可疑进程多多,而且还不能结束,一结束进程,它马上又回来了。郁闷 还希望大虾们指点啊那些进程是什么东西啊?
CDAC11BA.EXE
CDANTSRV.EXE
csrss.exe
ctfmon.exe
dfssvc.exe
explorer.exe
IEEXPLORE.EXE
Isass.exe
mmc.exe
msdtc.exe
nvsvc32.exe
rnathchk.exe
rundll32.exe
rundll32.exe
services.exe
smss.exe
spoolsv.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
system
system Idle p.....
taskmgr.exe
winlogon.exe
wmiprrvse.exe
回复
cdyuan 2003-08-14
感谢各位的发言,我已经下载了补钉程序。但我的系统里倒没有发现msblast.exe,该病毒是不是会造成系统内其它文件感染?
回复
相关推荐
发帖
Windows Server
创建于2007-08-02

6634

社区成员

Windows 2016/2012/2008/2003/2000/NT
申请成为版主
帖子事件
创建了帖子
2003-08-14 08:42
社区公告
暂无公告