C:\WINDOWS\system32\drivers\svchost.exe 应该是木马（有扫描日志）

froggy

“C:\WINDOWS\system32\drivers\svchost.exe”

就是它，一直在捣乱

SAFE360 【清理恶评及系统插件】检测是——灰鸽子0157

下载专杀（我发现都一样：金山做的3.6版），查遍系统竟然没发现。

只好直接清除，似乎很顺利，再查没发现。

重启，完了。又查出来了，同样的文件，路径。我用copylock删除，结果重启后还有。自我复制？？？

我找到该文件所在，文件被设为【隐藏】，文件夹选项——》显示所有文件，OK

图标很奇怪，不像系统文件，如图（图片右侧中间，图标为三个方框叠加）



而且使用HIJACKTHIS扫描，发现它建了一个远程连接服务，也是删掉了会恢复。

扫描报告如下：

诊断时间: 2007-11-11  01:27:56
诊断平台: Microsoft Windows XP  Service Pack 2
IE版本: Internet Explorer V6.0.2900.2180 Build:62900.2180
计算机物理内存:511.30MB - 当前可用内存:304.57MB

100 - 未知 - Process: CleanTask.exe [] - C:\Program Files\超级兔子网络卫士\CleanTask.exe
O4 - 未知 - HKLM\..\Run: [Super Rabbit Task] [] C:\Program Files\超级兔子网络卫士\CleanTask.exe /autorun
O22 - 未知 - Filename Extention: .hlp - winhlp32.exe %1
O23 - 未知 - Service: netra [Network Remote Assistant] - C:\WINDOWS\system32\drivers\svchost.exe - (not running)

=======================================

100 - 安全 - Process: smss.exe [进程为会话管理子系统用以初始化系统变量，ms-dos驱动名称类似lpt1以及com，调用win32壳子系统和运行在windows登陆过程。] - C:\WINDOWS\System32\smss.exe
100 - 安全 - Process: csrss.exe [客户端服务子系统，用以控制windows图形相关子系统。] - C:\WINDOWS\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=base
100 - 安全 - Process: winlogon.exe [windows nt用户登陆程序。] - C:\WINDOWS\system32\winlogon.exe
100 - 安全 - Process: services.exe [用于管理windows服务系统进程。] - C:\WINDOWS\system32\services.exe
100 - 安全 - Process: lsass.exe [本地安全权限服务控制windows安全机制。] - C:\WINDOWS\system32\lsass.exe
100 - 安全 - Process: ati2evxx.exe [ati显卡相关后台程序。] - C:\WINDOWS\system32\Ati2evxx.exe
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost -k DcomLaunch
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost -k rpcss
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\System32\svchost.exe -k netsvcs
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost.exe -k NetworkService
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost.exe -k LocalService
100 - 安全 - Process: ati2evxx.exe [ati显卡相关后台程序。] - C:\WINDOWS\system32\Ati2evxx.exe
100 - 安全 - Process: explorer.exe [windows program manager或者windows explorer用于控制windows图形shell，包括开始菜单、任务栏，桌面和文件管理。] - C:\WINDOWS\Explorer.EXE
100 - 安全 - Process: spoolsv.exe [windows打印任务控制程序，用以打印机就绪。] - C:\WINDOWS\system32\spoolsv.exe
100 - 安全 - Process: SynTPEnh.exe [美国新思公司出版的触摸板驱动程序的一部分。] - C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
100 - 安全 - Process: HControl.exe [asus华硕笔记本电脑相关驱动程序。] - C:\WINDOWS\ATK0100\HControl.exe
100 - 安全 - Process: ctfmon.exe [office xp输入法图标。] - C:\WINDOWS\system32\ctfmon.exe
100 - 安全 - Process: ATKOSD.exe [华硕出品的笔记本电脑atk0100驱动程序。] - C:\WINDOWS\ATK0100\ATKOSD.exe
100 - 安全 - Process: wdfmgr.exe [windows media player播放器相关程序。] - C:\WINDOWS\system32\wdfmgr.exe
100 - 安全 - Process: wscntfy.exe [是microsoft windows安全系统和输出当前安全身份的一部分，用于其电脑的稳定性以及安全运行的。] - C:\WINDOWS\system32\wscntfy.exe
100 - 安全 - Process: alg.exe [这是一个应用层网关服务用于网络共享。] - C:\WINDOWS\System32\alg.exe
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost.exe -k imgsvc
100 - 安全 - Process: wuauclt.exe [windows操作系统后台程序，用于系统升级。] - C:\WINDOWS\system32\wuauclt.exe
100 - 安全 - Process: 360安全卫士诊断工具.exe [诊断报告工具] - C:\Documents and Settings\xiao\桌面\CheckTool\360安全卫士诊断工具.exe
R1 - 安全 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINDOWS\system32\blank.htm
R1 - 安全 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINDOWS\system32\blank.htm
O4 - 安全 - HKLM\..\Run: [IMJPMIG8.1] [微软Microsoft输入法编辑器程序。] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 安全 - HKLM\..\Run: [High Definition Audio 属性页快捷方式] [一款音效控制相关程序。] HDAShCut.exe
O4 - 安全 - HKLM\..\Run: [SynTPEnh] [新思手写板，多用于各种笔记本触摸板驱动程序设置] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - 安全 - HKLM\..\Run: [HControl] [华硕笔记本电脑的多媒体热键相关驱动程序。] C:\WINDOWS\ATK0100\HControl.exe
O4 - 安全 - HKCU\..\Run: [ctfmon.exe] [office xp输入法图标。] C:\WINDOWS\system32\ctfmon.exe
O9 - 安全 - Extra button: Windows Messenger(HKLM) - C:\Program Files\Messenger\msmsgs.exe
O23 - 安全 - Service: 6to4 [在IP4网络上提供IPv6连接的服务。] - C:\WINDOWS\System32\6to4svc.dll - (running)
O23 - 安全 - Service: Ati HotKey Poller [ati显卡相关后台程序。] - C:\WINDOWS\system32\Ati2evxx.exe - (running)
O23 - 安全 - Service: ATI Smart [是一个ati图形显示卡驱程的相关进程。] - C:\WINDOWS\system32\ati2sgag.exe - (not running)

=======================================

O31 - 未知 - SEApproved: {42071714-76d4-11d1-8b24-00a0c9068ff3} - deskpan.dll -  -  -  - 0 -
O31 - 未知 - SEApproved: 无效的CLSID：Shell extensions for file compression -  -  -  -  - 0 -
O31 - 未知 - SEApproved: 无效的CLSID：加密上下文菜单 -  -  -  -  - 0 -
O31 - 未知 - SEApproved: {0DF44EAA-FF21-4412-828E-260A8728E7F1} -  -  -  -  - 0 -
O31 - 未知 - SEApproved: {00E7B358-F65B-4dcf-83DF-CD026B94BFD4} -  -  -  -  - 0 -
O31 - 未知 - SEApproved: {7A9D77BD-5403-11d2-8785-2E0420524153} -  -  -  -  - 0 -
O31 - 未知 - SEApproved: {B41DB860-8EE4-11D2-9906-E49FADC173CA} - C:\Program Files\WinRAR\rarext.dll -  -  -  - 129024 - 60fe004235a8108446dcfc1e526fde0e
O31 - 未知 - Directory Menu: {B41DB860-8EE4-11D2-9906-E49FADC173CA} - C:\Program Files\WinRAR\rarext.dll -  -  -  - 129024 - 60fe004235a8108446dcfc1e526fde0e
O31 - 未知 - LSA: Security Packages - sv1_0.dll -  -  -  - 0 -
O31 - 未知 - LSA: Security Packages - channel.dll -  -  -  - 0 -

=======================================


=======================================

O41 - 360AntiArp - 360AntiARP - C:\WINDOWS\system32\drivers\360AntiArp.sys - (running) - 360AntiARP - 奇虎网 - 8cc4ba5aa1679188a6c73581e9113caf
O41 - KSysCall - KSysCall - C:\DOCUME~1\xiao\LOCALS~1\Temp\ksyscall.sys - (not running) -  -  -
O41 - NPF - npf - C:\WINDOWS\system32\drivers\npf.sys - (not running) - npf - CACE Technologies - d21fee8db254ba762656878168ac1db6

=======================================


请教怎么解决？？谢谢

alauco

看到很多兄弟都在说SVCHOST的事情...杀了再修复嘛.

willy123

svchost.exe正常的不应该在drives下，注意路径~

成吉思汗

明显是木马，楼主仔细看看其根源在那里，这玩意一般都有死灰复燃的功能

嘁。不稀罕~

用金山2008，杀鸽子强，而且08被删除病毒不允许同路径再新建了。。。

xi2xi

最简单的方法，不知道文件是否有问题，可以把文件上传到http://www.virustotal.com/zh-cn/ 去检测。

当然。。很明显这文件肯定有问题。。