很讨厌run开头的。

引用:

原帖由 Full-Moon 于 2007-2-2 17:47 发表
C:\WINDOWS\system32\ime\svchost.exe
这个有点可疑。
升级你的卡巴，查下看看。

恩,也就这个进程比较可疑了.
不过也学到不少东西啊,怪不得VISTA需要那么高的要求，就看这些自启动程序和美化程序吧！另外，海南的V怎么会是番茄版的呢？太强了吧？呵呵

引用:

原帖由 Full-Moon 于 2007-2-2 17:25 发表
IT车间的活跃分子好像也就我们几个了。

嘿嘿，我也不经常来啊，没事就进来看看，力所能及的事情就帮忙解决了，解决不了的，也没有办法，毕竟不是干这行的，

引用:

原帖由 chemical1981 于 2007-2-2 12:53 发表
不是吧，你电脑怎么运行这么多的程序啊。太可怕了。
电脑操作不是要等很久啊。。
如果是我没有用的，就禁止了。。

也没有运行很多啊，后面用HIJACK扫上来的是很多。
电脑操作是要很久，开了机器要等一段时间，不知道和CPU那些有没有关系，这台机器是03年左右的机器了。。。CPU才1。8G。。。。
再加上这台机不是我自己在用，不是经常在家，所以也不想插什么嘴，装个杀软都要让别人说啊，唉~~~

引用:

原帖由 风过铸痕 于 2007-2-2 13:16 发表
C:\WINDOWS\system\SVCH0ST.EXE
这应该是个病毒程序，正常的应该在C:\WINDOWS\system32目录下，非此目录下的SVCH0ST.EXE程序就应该小心了。
C:\Program Files\CNNIC\Cdn\cdnup.exe
流氓软件：中文上网，建议删除。可以用360安全卫士。
C:\Program Files\Common Files\RGGZS\WNSO.exe
恶意软件“软告工作室”，包括驱动和系统服务的流氓软件，中毒会关闭主流杀软，会从网上下载木马病毒。这个恶意软件到现在我还没找到什么合适的删除办法，只能给你推荐一下试试了。http://zhidao.baidu.com/question/17148093.html?si=8
或者http://zhidao.baidu.com/question/16387011.html
都是手工删除的，好象还没有工具删除吧。
就这么大能耐了， 别的找不出来了，呵呵

好的，谢谢你的建议，不过我家装360好像有问题，之前试过，但就忘了具体什么问题，所以现在都没在用。。。

那个WNSO，前几天用卡巴查出来了，也找了手动清除方法，不过想要找个计算机专业的朋友在场再动它，同样谢谢你的推荐提醒：）

PS：有卡巴都不想用啊，我上网才开，反正我哥说装来干嘛，唉，他不要就算咯~~~

引用:

原帖由 侠云 于 2007-2-2 14:23 发表
修改建议（只是建议）：

勾选修复如下项目：

O2 - BHO: CNNIC 网络工具Drag - {352E3B3A-CAB5-4DBC-B940-C7F84D0447D8} - C:\PROGRA~1\CNNIC\Cdn\cdndrag.dll（中文上网的流氓软件）
O2 - BHO: Cdn Class - {471A662A-4030-42BC-B632-758700A64DB9} - C:\PROGRA~1\cdnpack\cdncn.dll（中文上网的流氓软件）
O2 - BHO: CdnForIE Class - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll（中文上网的流氓软件）
O2 - BHO: (no name) - {A9930D97-9CF0-42A0-A10D-4F28836579D5} - E:\KuGoo3\KuGoo3DownXControl.ocx（Kugoo嵌入IE的流氓插件）
O2 - BHO: WMHlprObj Class - {F5824EFB-728A-4726-A5A5-85A68B20EDC3} - C:\PROGRA~1\CNNIC\Cdn\wmhlpr.dll（中文上网的流氓软件）
O4 - HKLM\..\Run: [wallpaper] c:\windows\system32\壁纸自动换.exe（若你不用的话这样做会加快启动速度）
O4 - HKLM\..\Run: [CdnCtr] C:\Program Files\CNNIC\Cdn\cdnup.exe（中文上网的流氓软件启动项）
O4 - HKCU\..\Run: [SGMIGEX] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system\WINS0C~1.DLL,Run（有些可疑，未能确定）
O4 - Global Startup: WNSO.lnk = C:\Program Files\Common Files\RGGZS\WNSO.exe（流氓软件启动项）
O4 - Global Startup: ydfkci.lnk = C:\WINDOWS\system32\ydfkcid.exe（不知道是什么）
O4 - Global Startup: WanSo.lnk = ?（流氓软件启动项）
O9 - Extra button: 中文上网 - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll
O9 - Extra 'Tools' menuitem: 中文上网 - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\cdnns.dll
O11 - Options group: [CDNCLIENT]  中文上网

另外还可以通过瑞星卡卡上网安全助手的未知病毒查杀与流氓软件查杀功能进行扫描查杀。
下载地址：http://tool.ikaka.com/

补充：svchost.exe有多个属于正常现象，我也有8个。

谢谢你的详细解答：）

引用:

原帖由 sunny97518 于 2007-2-2 14:44 发表
全部都非常正常啊。

谢谢：）

引用:

原帖由 Full-Moon 于 2007-2-2 15:48 发表
O23 - Service: MICR0SOFT SVCH0ST (MS_SVCH0ST) - Unknown owner - C:\WINDOWS\system\SVCH0ST.EXE

注意那个是0不是O，应该是个木马程序，用Killbox删除。

满月就是个小高手啊~~~~

引用:

原帖由 风过铸痕 于 2007-2-2 16:32 发表
晕，这都能看出来，哈哈。
我只是觉得SVCHOST.EXE不管有几个，都应该在system32目录下，在其他目录的就不正常，没想到你比我还仔细，哈哈
另外，恶意软件“软告工作室”，卡卡助手能不能彻底删除还没有得到验证，LZ不妨试一试。

西西，好滴。
我最怕到时候机器出了什么问题，我哥又怪我而已

回复 #20 Full-Moon 的帖子  回复 #22 风过铸痕 的帖子

谢谢你们。我马上查一查

难得的繁荣景象。

看着这一大篇，真的很头痛，所以……

俺一来都没了，只剩我自己了？

哈哈。。。。

嗯，毕竟这里不是专业滴，去专业滴论坛人气估计是少不了滴~~

已经把你们说的方法都实践一遍了，重新扫描了一遍。

Logfile of HijackThis v1.99.1
Scan saved at 0:02:37, on 2007-2-3
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\CNNIC\Cdn\cdnup.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\VM_STI.EXE
C:\WINDOWS\system32\tkhdjfc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system\SVCH0ST.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
E:\Maxthon\v 1.2.1 豪华版\Maxthon\Maxthon.exe
C:\WINDOWS\system32\svchost.exe
E:\hijackthis_PConline\HijackThis.exe

O2 - BHO: CdnForIE Class - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll
O2 - BHO: IEHelp Class - {ED863792-FADB-4D21-8B20-409DA940B7A2} - C:\WINDOWS\system\PDFAid.dll
O3 - Toolbar: BitComet工具栏 - {3F1ABCDB-A875-46c1-8345-B72A4567E486} - E:\BitComet\BitCometBar\BitCometBar0.6.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Vimicro USB PC Camera (ZC0301PL)
O4 - HKLM\..\Run: [CdnCtr] C:\Program Files\CNNIC\Cdn\cdnup.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] ; "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [tkhdjfc] C:\WINDOWS\system32\tkhdjfc.exe
O4 - HKLM\..\RunOnce: [KKDelay] C:\Program Files\Rising\AntiSpyware\RunOnce.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SGMIGEX] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system\WINS0C~1.DLL,Run
O4 - Global Startup: ydfkci.lnk = C:\WINDOWS\system32\ydfkcid.exe
O4 - Global Startup: WanSo.lnk = ?
O8 - Extra context menu item: &使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - C:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - E:\IPQ\2006贺岁\AddToNetDisk.htm
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: 添加到QQ自定义面板 - E:\IPQ\2006贺岁\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - E:\IPQ\2006贺岁\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - E:\IPQ\2006贺岁\SendMMS.htm
O9 - Extra button: 启动迅雷 - {0062C9BD-B349-40DE-91A0-755F37ACD559} - C:\Program Files\Thunder Network\Thunder\Thunder.exe
O9 - Extra 'Tools' menuitem: 启动迅雷 - {0062C9BD-B349-40DE-91A0-755F37ACD559} - C:\Program Files\Thunder Network\Thunder\Thunder.exe
O9 - Extra button: 网页 - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: 中文上网 - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll
O9 - Extra 'Tools' menuitem: 中文上网 - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - E:\IPQ\2006贺岁\QQ.EXE
O9 - Extra 'Tools' menuitem: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - E:\IPQ\2006贺岁\QQ.EXE
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\cdnns.dll' missing
O11 - Options group: [CDNCLIENT]  中文上网
O17 - HKLM\System\CCS\Services\Tcpip\..\{8985E579-E1BE-4C89-82B8-F8315C59B764}: NameServer = 202.106.196.115 210.53.31.2
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O21 - SSODL: MediaCheck - {D1F73845-4BAB-4061-A46B-FCF7ECC19217} - C:\PROGRA~1\Kuree\MService.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: MICR0SOFT SVCH0ST (MS_SVCH0ST) - Unknown owner - C:\WINDOWS\system\SVCH0ST.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ClipManage (WIDETS) - Unknown owner - C:\WINDOWS\SYSTEM32\RUNDLL.EXE (file missing)

那个中文上网还没搞定，用瑞星卡卡删了它重新启动后还是在。。不管那个了，反正没太大害处。
那个WNSO。EXE貌似被清掉了，原来那个RGG什么的文件夹不见了，不过好像还残余一点垃圾在。。。
如果上面扫描那个东东没有太大危险的东西存在的话就行了，其他也不管了

O23 - Service: MICR0SOFT SVCH0ST (MS_SVCH0ST) - Unknown owner - C:\WINDOWS\system\SVCH0ST.EXE

这个是危害最大的，用Killbox删除。

不过fwr2可以在删除那个文件前上传到论坛上来，
供大家的杀软玩玩。

引用:

原帖由 Full-Moon 于 2007-2-3 10:03 发表
O23 - Service: MICR0SOFT SVCH0ST (MS_SVCH0ST) - Unknown owner - C:\WINDOWS\system\SVCH0ST.EXE

这个是危害最大的，用Killbox删除。

我晕~！！！！它怎么又来了啊！我已经照你前面说的用KILLBOX删除一次了。。。。。。。

引用:

原帖由 Full-Moon 于 2007-2-3 10:04 发表
不过fwr2可以在删除那个文件前上传到论坛上来，
供大家的杀软玩玩。

svch0st.exe这个啊？
要的话迟些送给你~~~~现在要7饭去。。。

结束svch0st.exe进程

进入注册表
依次搜索svch0st.exe
svch0st.wmv
svch0st.asf
找到后全部删除

删除svch0st.exe
svch0st.wmv
svch0st.asf

svch0st.exe和系统进程svchost.exe只差一个字符，注意svch0st.exe中的０这个是数字零，而系统进程svchost.exe中的o是字母Ｏ。
有关该病毒的技术报告如下：
病毒名称："网银大盗Ⅱ"（Troj_Dingxa.A）
病毒类型：木马
感染系统：Win9x/WinMe/WinNT/Win2000
　　　　　　/WinXP/Win2003
病毒长度：16,284字节
传播方式：网络
1、生成病毒文件
病毒运行后在系统文件夹%System%下创建自身的副本，文件名称为svch0st.exe。
（其中，%System%在Windows 95/98/Me 下为C:\Windows\System，在Windows NT/2000下为C:\Winnt\System32，在Windows XP下为 C:\Windows\System32）
2、修改注册表
病毒修改注册表，以达到随系统启动而自动运行的目的，在
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run下创建：
"svch0st.exe" = "%System%\svch0st.exe"
"taskmgr.exe" = "%System%\svch0st.exe"

3、窃取个人网上银行信息
病毒运行后检查IE窗口标题栏，判定当前窗口是否为网上银行的登陆页面，涉及到国内多家银行的网上交易系统。一旦发现当前IE窗口为上述银行的登陆页面，病毒立即开始记录键盘输入的所有键值，记录的键值几乎包括了所有可能的键盘录入。窃取的用户信息包括网上银行的帐号、密码、验证码等。
4、发送窃取信息到指定地址
病毒截获被感染计算机所输入的键盘值后，将其窃取到的信息发送到指定的地址。
清除方法：

关闭系统还原，开始－运行：msconfig　（运行系统配置程序）
在启动项中取消"svch0st.exe" = "%System%\svch0st.exe"和 "taskmgr.exe" = "%System%\svch0st.exe" 两项前面的勾。
打开任务管理器终止svch0st.exe,要看清楚不要弄错了。运行系统搜索功能，并打开高级选项，查找隐藏的文件，查找svch0st.exe并删除。