找回密码
 加入华同
搜索
黄金广告位联系EMAIL:[email protected] 黄金广告[email protected]
查看: 1237|回复: 5

谢谢大家,我已经解决了,斑竹请删吧`

[复制链接]
发表于 2006-9-3 21:23:49 | 显示全部楼层 |阅读模式
我电脑给别人用过后,里面就有个程序SVOHOST.exe不知道是个什么,有人说是病毒,我玩跑跑卡丁车的时候才发现,里面提示不能和游戏同时运行.7 {" |# X/ P5 |7 c& }) Q8 b
还有啊,我的瑞星监控都被关了,开启不了啦,我恢复了系统后还是有那个程序,在操作系统里也找不到,用瑞星查杀也没显示有病毒,这是怎么了啊?
; U6 m* n& G9 N8 {) j我哭哭哭.......帮帮我吧~~~~
, I, o& i8 l4 h- Z- A谢谢下面两位哥哥,不过,我说的是SVOHOST,而不是SVCHOST,第3个字母是O,不是C,这是不是冲击波或者震荡波的病毒啊?我一点都不懂,有人说这是,
- G/ I/ h/ e$ e3 s2 Z& T' p& G# _* D你们再帮我看看吧`
: V: I0 f/ z% Q* ^% ^' F* t' J4 Q
# q1 B% k; V3 S* o( }) I6 @$ p[ 本帖最后由 5346724 于 2006-9-5 09:13 PM 编辑 ]
发表于 2006-9-3 21:55:20 | 显示全部楼层
Service Host Process是一个标准的动态连接库主机处理服务。Svchost.exe对那些从动态连接库(DLL)中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的Windows\system32文件夹下。在启动的时候,Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。Windows 2000一般有2个Svchost进程,一个是RPCSS(Remote Procedure Call)服务进程,另外一个则是由很多服务共享的一个Svchost.exe;而在 windows XP中,则一般有4个以上的Svchost.exe服务进程;Windows 2003 server中则更多。Svchost.exe 是一个系统的核心进程,并不是病毒进程。但由于Svchost.exe进程的特殊性,所以病毒也会千方百计的入侵Svchost.exe。通过察看 Svchost.exe进程的执行路径可以确认是否中毒。如果你怀疑计算机有可能被病毒感染,Svchost.exe的服务出现异常的话通过搜索 Svchost.exe文件就可以发现异常情况。一般只会在C:\Windows\System32目录下找到一个Svchost.exe程序。如果你在其他目录下发现Svchost.exe程序的话,那很可能就是中毒了。
回复

使用道具 举报

发表于 2006-9-3 22:39:18 | 显示全部楼层
呵呵。那个文件名第三个字母是O 。。。。。说名是木马。哈哈。 如果是笔误,我估计是病毒是dll文件。装载到系统进程里了。要杀毒首先要知道是什么病毒才好入手。
回复

使用道具 举报

发表于 2006-9-4 20:08:39 | 显示全部楼层
你先打开任务管理器{方法:鼠标移到IE最下部的任务栏,右击,任务管理器(K)},看看那个进程的占用率大。把这个进程记下来。
4 a+ O+ ?7 }9 m然后,打开注册表,搜索一下这个进程,找到后,将他删除
回复

使用道具 举报

发表于 2006-9-4 23:00:39 | 显示全部楼层
svchost是一个很复杂的进程,一般不是单独启用的,这个是pconline的文章,对了解svchost很有帮助,这里提示就是svchost很多情况不一定是病毒,尽管行为很想。
5 A1 O* ]* y5 ~" o$ Y) T$ { 关于“系统蓝色档案”栏目
8 p9 [5 P1 G6 r" E7 M) S, Z! b  Svchost.exe、lsass.exe、wdfmgr.exe,打开进程列表后你会发现一大堆不知用途的进程,究竟是系统进程还是木马病毒?如果打开系统文件夹,一大堆奇奇怪怪名称的文件,更是会把你弄得晕头转向。很多朋友因此而始终抱有一种未知的恐惧,认为木马、黑客无处不在,即使是高手,也不能把这些陌生的系统文件说个明明白白。为消除大家的疑惑,从这期开始为大家带来一档新的连载栏目——系统蓝色档案为大家曝光这些隐秘文件的秘密。两位主人公,现在就来认识一下。
3 M, F2 T, ~9 J7 M  主人公介绍9 h9 ~3 [, K" d* d; {: j" i
  小菜:刚接触电脑不久的菜鸟,但对电脑知识有着非常浓厚的学习兴趣,常说的一句话是“菜鸟先飞”。1 w$ k, O$ e( ]/ R0 ^
  大嘴:乐于助人的老鸟,经常被别人冠以“大嘴高手”称号,不过这并不是指他嘴特别大,而是一谈到电脑知识就滔滔不绝。, W# r- b5 C, _! L7 M3 ^; M
  一、紧急状况:系统发现严重病毒
+ e/ |; B6 B8 y8 y: ]) p8 d( c' l7 P  小菜刚刚学习了进程的概念和知识,于是就打开“任务管理器”观察系统中的进程,这一看不要紧,还真发现了一个“病毒”——Svchost.exe,这家伙在系统进程列表中竟然有5个之多(见图1),于是小菜就逐个结束这些进程,没想到第二个进程结束后还会再生,而结束第四个进程时更离谱,系统提示“系统即将关机,离关机还有60秒”,进程再生、错误提示,这些典型的病毒“症状”更让小菜相信“Svchost.exe”是病毒无疑,但无法结束进程,又该怎么清除病毒呢?小菜只好请来了大嘴。
+ i. l3 D, F) X8 U5 d ! V; _3 v7 Q0 f$ f% I' J
图1 数量众多的SVCHOST进程# R2 z) z) g  r8 Y! w3 s. g/ _' d1 O
  大嘴过来后还没看电脑,就先告诉小菜,系统中的Svchost.exe进程是正常系统进程,不是病毒,不仅仅是你,其他朋友一看到系统中这么多的Svchost.exe进程,第一反应也感觉它是病毒,虽然系统中有多个Svchost.exe进程是正常的,但也不保证都是正常的。听起来似乎有些矛盾?这让小菜更有些迷糊,大嘴坐下后给小菜详细讲了起来。( e7 n0 r1 E" W* L" `* h+ G- j
  二、松了口气:Svchost.exe是台“CD机”
8 Y' U' ~  y1 S3 q6 t' B$ A5 D  1.服务装在“CD机”里
% q# a$ X9 P& c  Svchost.exe是NT内核操作系统(Windows 2000/XP/2003都属于NT内核操作系统)独有的进程,“Svchost”其实就是“Service Host”(服务宿主)的缩写。微软官方对它的定义是:Svchost.exe是从动态链接库(DLL)中运行的服务的通用主机进程名称,通俗讲,它就是一个服务装载器。大家可以把每个服务想象成一张音乐CD,而Svchost.exe就是用来播放这种CD的CD机。
# M- B; d: b; {. t8 m  2.为什么用“CD机”装服务* i( d% w' s2 B- f# m) f
  由于Windows 2000/XP系统服务越来越多,以EXE单独进程的形式启动所有服务会大大增加系统负担,为节省系统资源,微软将一些系统服务以动态链接库(DLL)形式实现,而Svchost.exe就是用来装载这些DLL文件以启动系统服务的程序。没有人会为了发行一张CD而制作一台专用播放此CD的CD机,微软也一样。) ~% E4 r7 G  P3 ^) C6 b0 a
  3.系统里有几台这样的“CD机”* c  i" N0 b  l, A" C6 u$ m- h9 A
  那为什么系统进程列表中的Svchost.exe会有多个呢?微软为了让系统能更好地进行服务控制,就允许多个Svchost.exe进程同时运行,每个Svchost.exe进程可以包含一组服务,想像一下可以同时容纳3张甚至更多CD的多碟CD机。打开注册表[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost]主键,在窗口右侧可以看到许多键值,这里的每个键值都代表一组服务,键值数据则包含了该组服务下面运行的服务名称列表,每组服务启动时都会通过单独的Svchost.exe进程来装载。Windows XP中默认共有六组服务(见图2),其中imgsvc、NetworkService、rpcss、termsvcs四个组,它们都只有一个服务运行,这些服务启动后的Svchost.exe进程用户名为“SYSTEM”。而LocalService和netsvcs组都启动了多个服务,它们的Svchost.exe进程用户名分别为“LOCAL SERVICE”和“NETWORD SERVICE”,从图1中可以看到这种区别。6 b6 Q! ]& t7 v

) h2 Z$ z3 K4 q$ I* R" m  _4 H) X图2 众多svchost进程的区别, A1 |- J; t9 v4 o+ q) @
  当然了,这六组服务通常并不都是启动状态的,根据系统启动的服务不同,反映在系统进程列表中的Svchost.exe进程数量也是不同的,Windows XP会有四个到六个Svchost.exe进程,而Windows 2000通常则会有两个Svchost.exe进程。: U9 ~4 |. o1 m1 z2 a& z0 r4 O
小提示:点击“开始→运行”,在运行框中输入“CMD”回车,然后在打开的命令行窗口中输入“Tasklist /svc”(不含引号)命令,可以更直观地看到每个Svchost.exe进程装载的服务名称列表(见图3)。
/ I$ y, G* m/ M% W4 e
0 H8 X# h" {/ u: H图3 查看svchost进程装载的服务名称
$ g+ N5 b& x$ ?  4.获取每张“CD”的详细信息
: q! `, C) |" @2 J8 o* |) T1 C( q  ~  如果想更进一步了解Svchost.exe装载的这些服务都是什么功能,可以记下键值数据中的服务名称,例如“RpcSs”,接着打开注册表的[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services],再打开下面的“RpcSs”子键,在右边的“Description”键值中就可以看到该服务的描述,而在“ImagePath”键值数据中则可以看到这个服务的运行命令正是“%SystemRoot%\system32\svchost -k rpcss”(见图4)。而在“RpcSs”子键下还有一个“Parameters”(参数)子键,其右边的“ServiceDll”键值数据“%SystemRoot%\system32\rpcss.dll”则表明了RpcSs服务启动时调用的是系统目录下的“Rpcss.dll”文件,这就好像你原来只知道CD中歌曲的歌名,现在又让你能够查到这首歌的演唱者。
, o1 {' }8 i% G& N0 Q
9 f4 w+ E2 O1 U2 _( k6 P图4 查看svchost的具体功能
' R3 A1 R/ e* X+ V  如果觉得通过注册表查询服务名称了解其属性不太方便,也可以使用“全能助手用Windows服务管理专家”(以下简称“服务管理专家”)来查询,运行软件后单击“All Win32 Services”分支,在右侧服务列表中根据服务名称索引即可快速找到要查询的服务,单击服务名称,即可看到该服务的启动命令以及调用的DLL文件等相关信息(见图5)。同时软件还专门设计了Svchost Group分支,可以快速查询LocalService和netsvcs组中的服务详细信息。
- t$ n/ z) Y3 R+ Y/ U1 q
7 K; I9 I# w0 ~2 @9 I图5 用工具查看svchost的情况
& `& u1 C) j1 z4 T  全能助手用Windows服务管理专家 小档案
3 p8 Z. m9 F) _  _ 软件名称:         全能助手用Windows服务管理专家, O& D) }; o/ j5 n0 ^
软件版本:         1.02
, S  M; U/ x4 c8 t# X1 V 软件大小:         164KB7 k  W+ [2 H3 J; M9 ]; c! \4 A! I
软件授权:         免费
1 {3 @' T/ W1 F& C 适用平台:         Windows 2000/XP2 o6 o1 H2 E" ~+ G6 T' p" Q
下载地址:         点击这里下载
7 X5 R7 h& H* Z% t* G! Z( t! f$ U1 a/ v8 t% K2 h4 Y( h7 p
三、危机仍在:小心病毒的骗局" _) }2 o3 W- Q# ^4 L
  由于Svchost.exe进程的特殊性,它隐藏了真正运行的程序的名称,在表面看到的只是Svchost.exe进程,这个特性同时也让许多病毒、木马有空可钻,企图以此迷惑用户。那么如何判断系统中的多个Svchost.exe进程是否正常呢?下面针对这类病毒常用的几种欺骗手法来进行分析。) |' l3 @  N" Z  u
  骗局1:利用假冒Svchost.exe名称的病毒程序
" V3 v( Z  h4 B$ G9 l8 d7 C  火眼金睛:这种方式运行的病毒并没有直接利用真正的Svchost.exe进程,而是启动了另外一个名称同样是Svchost.exe的病毒进程,由于这个假冒的病毒进程并没有加载系统服务,它和真正的Svchost.exe进程是不同的,只需在命令行窗口中运行一下“Tasklist /svc”,如果看到哪个Svchost.exe进程后面提示的服务信息是“暂缺”(见图6),而不是一个具体的服务名,那么它就是病毒进程了,记下这个病毒进程对应的PID数值(进程标识符),即可在任务管理器的进程列表中找到它,结束进程后,在C盘搜索Svchost.exe文件,也可以用第三方进程工具直接查看该进程的路径,正常的Svchost.exe文件是位于%systemroot%\System32目录中的,而假冒的Svchost.exe病毒或木马文件则会在其他目录,例如“w32.welchina.worm”病毒假冒的Svchost.exe就隐藏在Windows\System32\Wins目录中,将其删除,并彻底清除病毒的其他数据即可。
4 _( X  k; Q! p4 i
. X/ w- k" I/ U1 h) A) S: S图6 查看可疑svchost进程; A) f# M. K4 T& B
  骗局2:一些高级病毒则采用类似系统服务启动的方式,通过真正的Svchost.exe进程加载病毒程序,而Svchost.exe是通过注册表数据来决定要装载的服务列表的,所以病毒通常会在注册表中采用以下方法进行加载:( c& w' D! ^. C; N2 c: X
•        添加一个新的服务组,在组里添加病毒服务名 # u& f4 L& j9 O) L
•        在现有的服务组里直接添加病毒服务名
6 @9 B0 Q$ s  Y•        修改现有服务组里的现有服务属性,修改其“ServiceDll”键值指向病毒程序
3 o! C# a# c( z3 q% V) s) g  判断方法:病毒程序要通过真正的Svchost.exe进程加载,就必须要修改相关的注册表数据,可以打开[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost],观察有没有增加新的服务组,同时要留意服务组中的服务列表,观察有没有可疑的服务名称,通常来说,病毒不会在只有一个服务名称的组中添加,往往会选择LocalService和netsvcs这两个加载服务较多的组,以干扰分析,还有通过修改服务属性指向病毒程序的,通过注册表判断起来都比较困难,这时可以利用前面介绍的服务管理专家,分别打开LocalService和netsvcs分支,逐个检查右边服务列表中的服务属性,尤其要注意服务描述信息全部为英文的,很可能是第三方安装的服务,同时要结合它的文件描述、版本、公司等相关信息,进行综合判断。例如这个名为PortLess BackDoor的木马程序,在服务列表中可以看到它的服务描述为“Intranet Services”,而它的文件版本、公司、描述信息更全部为空(见图7),如果是微软的系统服务程序是绝对不可能出现这种现象的。从启动信息“C:\WINDOWS\System32\svchost.exe -k netsvcs”中可以看出这是一款典型的利用Svchost.exe进程加载运行的木马,知道了其原理,清除方法也很简单了:先用服务管理专家停止该服务的运行,然后运行regedit.exe打开“注册表编辑器”,删除[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPRIP]主键,重新启动计算机,再删除%systemroot%\System32目录中的木马源程序“svchostdll.dll”,通过按时间排序,又发现了时间完全相同的木马安装程序“PortlessInst.exe”,一并删除即可。; ]- Y( _" {8 B5 I) B' j
- s: B3 E- `# s- |
图7 利用多项信息进行综合判断
回复

使用道具 举报

 楼主| 发表于 2006-9-5 21:12:25 | 显示全部楼层
我已经解决了,我知道是什么病毒了,就是现在流行的橙色8月病毒,我终于把瑞星升级了才杀去,里面的病毒有盗QQ的毒,还有盗游戏的毒,难怪前几天我朋友的QQ被盗了,他又没密码保护,昏迷哦!申述又说证据不足,主要是以前用过的密码他都忘记了,昏迷!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 加入华同

本版积分规则

Archiver|手机版|小黑屋|华人同志

GMT+8, 2024-12-26 00:16 , Processed in 0.058006 second(s), 4 queries , Redis On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表