查看完整版本: 紧急通知，关于svchost病毒！！

紧急通知，关于svchost病毒！！

<P><FONT size=4>今天早上有人反映论坛挂有木马病毒</FONT></P>
<P><FONT size=4>并发贴说明是下载了一个svchost.exe文件</FONT></P>
<P><FONT size=4>我在网上查了一下发现</FONT></P>
<P><FONT size=4>这个是一个刚出现的盗取QQ以及其他的帐号的一个木马程序</FONT></P>
<P><FONT size=4>木马会自动下载svchost.exe文件</FONT></P>
<P><FONT size=4>但是不会自动运行</FONT></P>
<P><FONT size=4>如果手工运行后，木马发作。</FONT></P>
<P><FONT size=4>另外，值得提醒大家的是</FONT></P>
<P><FONT size=4>如果你系统是经过打最新的补丁的</FONT></P>
<P><FONT size=4>也就是说，即使有这个病毒，但是系统也会拒绝下载svchost.exe程序</FONT></P>
<P><FONT size=4>所以，只要是你打过补丁的，没有下载svchost.exe，那么大可放心</FONT></P>
<P><FONT size=4><STRONG><EM><U>提醒一下，要下载到桌面的svchost.exe才说明你遭了病毒，在系统进程里面有几个svchost.exe，那是正常的系统进程～～～</U></EM></STRONG></FONT></P>
<P><FONT size=4>我已经联系了几个说下载了这个木马的几位同学</FONT></P>
<P><FONT size=4>因为你们说是在本站中的</FONT></P>
<P><FONT size=4>我彻底清查了程序，暂时没有发现该木马</FONT></P>
<P><FONT size=4>你们也说现在没有发现木马了（有人说是早上有，现在没有，有人说是公司没有，家里有）</FONT></P>
<P><FONT size=4>那么麻烦几位同学了，一旦再次发现有这个木马出现</FONT></P>
<P><FONT size=4>请立即联系我，并告诉我当前你发现木马的页面是什么</FONT></P>
<P><FONT size=4>我会立即检查，是不是本站的程序有问题，或者说是不是有其他漏洞我没有发现的。</FONT></P>
<P><FONT size=4>辛苦大家了。</FONT></P>
<P><FONT size=4>希望大家一如既往的支持成都在线～～</FONT></P>
<P>ps：</P>
<P><FONT size=5>svchost.exe进程介绍</FONT></P>
<P>svchost.exe是XP,2000等微软系统核心系统的非常重要的进程，对于2000、xp来说，不可或缺。很多病毒、木马也会调用它。所以，深入了解这个程序，是玩电脑的必修课之一。 <br>
<P>　　大家对windows操作系统一定不陌生，但你是否注意到系统中“svchost.exe”这个文件呢？细心的朋友会发现windows中存在多个 “svchost”进程（通过“ctrl+alt+del”键打开任务管理器，这里的“进程”标签中就可看到了），为什么会这样呢？下面就来揭开它神秘的面纱。</P>
<P><STRONG>发现</STRONG></P>
<P>　　在基于nt内核的windows操作系统家族中，不同版本的windows系统，存在不同数量的“svchost”进程，用户使用“任务管理器”可查看其进程数目。一般来说，win2000有两个svchost进程，winxp中则有四个或四个以上的svchost进程（以后看到系统中有多个这种进程，千万别立即判定系统有病毒了哟），而win2003 server中则更多。这些svchost进程提供很多系统服务，如：rpcss服务（remote procedure call）、dmserver服务（logical disk manager）、dhcp服务（dhcp client）等。</P>
<P>　　如果要了解每个svchost进程到底提供了多少系统服务，可以在win2000的命令提示符窗口中输入“tlist -s”命令来查看，该命令是win2000 support tools提供的。在winxp则使用“tasklist /svc”命令。</P>
<P>svchost中可以包含多个服务</P>
<P><STRONG>深入</STRONG></P>
<P>　　windows系统进程分为独立进程和共享进程两种，“svchost.exe”文件存在于“%systemroot% system32”目录下，它属于共享进程。随着windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由 svchost.exe进程来启动。但svchost进程只作为服务宿主，并不能实现任何服务功能，即它只能提供条件让其他服务在这里被启动，而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢？</P>
<P>　　原来这些系统服务是以动态链接库（dll）形式实现的，它们把可执行程序指向 svchost，由svchost调用相应服务的动态链接库来启动服务。那svchost又怎么知道某个系统服务该调用哪个动态链接库呢？这是通过系统服务在注册表中设置的参数来实现。下面就以rpcss（remote procedure call）服务为例，进行讲解。</P>
<P>　　从启动参数中可见服务是靠svchost来启动的。</P>
<P><STRONG>实例</STRONG></P>
<P>　　以windows xp为例，点击“开始”/“运行”，输入“services.msc”命令，弹出服务对话框，然后打开“remote procedure call”属性对话框，可以看到rpcss服务的可执行文件的路径为“c:\windows\system32\svchost -k rpcss”，这说明rpcss服务是依靠svchost调用“rpcss”参数来实现的，而参数的内容则是存放在系统注册表中的。</P>
<P>　　在运行对话框中输入“regedit.exe”后回车，打开注册表编辑器，找到[hkey_local_machine systemcurrentcontrolsetservicesrpcss]项，找到类型为“reg_expand_sz”的键“magepath”，其键值为“%systemroot%system32svchost -k rpcss”（这就是在服务窗口中看到的服务启动命令），另外在“parameters”子项中有个名为“servicedll”的键，其值为“% systemroot%system32rpcss.dll”，其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样 svchost进程通过读取“rpcss”服务注册表信息，就能启动该服务了。</P>
<P><STRONG>解惑</STRONG></P>
<P>　　因为svchost进程启动各种服务，所以病毒、木马也想尽办法来利用它，企图利用它的特性来迷惑用户，达到感染、入侵、破坏的目的（如冲击波变种病毒“w32.welchia.worm”）。但windows系统存在多个svchost进程是很正常的，在受感染的机器中到底哪个是病毒进程呢？这里仅举一例来说明。</P>
<P>　　假设windows xp系统被“w32.welchia.worm”感染了。正常的svchost文件存在于“c:\windows\system32”目录下，如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:\windows\system32wins”目录中，因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。windows系统自带的任务管理器不能够查看进程的路径，可以使用第三方进程管理软件，如“windows优化大师”进程管理器，通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径，一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。</P>
<P>　　由于篇幅的关系，不能对svchost全部功能进行详细介绍，这是一个windows中的一个特殊进程，有兴趣的可参考有关技术资料进一步去了解它。</P>
<P><FONT size=5><STRONG>Mcafee的安全设置</STRONG></FONT></P>
<P><a href="http://www.blueidea.com/computer/server/2006/4102.asp" target="_blank" ><FONT color=#000000>http://www.blueidea.com/computer/server/2006/4102.asp</FONT></A></P>
[align=right][color=#000066][此贴子已经被作者于2006-11-8 9:24:48编辑过][/color][/align]

好类 ``支持起`````

字比较大~~

对的 前几天我这台电脑桌面上一直都有这个东西 现在摸的了

<P>嗯,支持支持。</P>
<P>还好我有天网,ハ虚!!</P>

因为我的机器打了所有补丁，所以一直都没有报警，也没有发现这个文件，老渔夫等几人也没有发现，所以只有麻烦大家了

我考，我中了~~~~

<DIV class=quote><B>以下是引用<I>蹩脚吉他</I>在2006-11-7 17:08:59的发言：</B><BR>我考，我中了~~~~</DIV>
<P>
<P>现在？？</P>
<P>在什么页面？</P>

赶紧查一下....

在网吧上网的时候,只要一进在线,马上桌面就有个这个东西,起先我还以为是照片,结果一点才晓得中招了,机子重启之后,登陆Qq,Qq弹个框框出来,上面写的意思大概就是密码遭泄露了,尽快把Qq密码修改了。

<P>中了这个东西 摸的啥子页面 就是桌面上有个这个东西的图标</P>
<P>我的电脑是这样的</P>
<P>但是我在家的电脑 98类系统 从来没糟过在线的病毒</P>
<P>现在这台电脑是XP系统的</P>

<P>抄收,我把公司的10余台计算机全部开起更新</P>

中了咋个弄？？

<DIV class=quote><B>以下是引用<I>蹩脚吉他</I>在2006-11-7 17:26:46的发言：</B><BR>中了咋个弄？？</DIV>
<P>
<P>我已经和你联系了哈</P>
<P>你是进程里面有svchost.exe，那是正常的系统进程。。。</P>

<DIV class=quote><B>以下是引用<I>與貓共舞</I>在2006-11-7 17:13:41的发言：</B><BR>在网吧上网的时候,只要一进在线,马上桌面就有个这个东西,起先我还以为是照片,结果一点才晓得中招了,机子重启之后,登陆Qq,Qq弹个框框出来,上面写的意思大概就是密码遭泄露了,尽快把Qq密码修改了。</DIV>
<p>是现在吗？还是以前什么时候？

<DIV class=quote><B>以下是引用<I>狐狸</I>在2006-11-7 17:37:25的发言：</B><BR><BR>
<P>是现在吗？还是以前什么时候？</P></DIV>
<p>以前啊，OK，希望下次又出现了这样的情况，立即和我联系或者给我留言，非常感谢。。。

<DIV class=quote><B>以下是引用<I>多米诺</I>在2006-11-7 17:13:50的发言：</B><BR>
<P>中了这个东西 摸的啥子页面 就是桌面上有个这个东西的图标</P>
<P>我的电脑是这样的</P>
<P>但是我在家的电脑 98类系统 从来没糟过在线的病毒</P>
<P>现在这台电脑是XP系统的</P></DIV>
<p>对的，因为98的内核和2000，xp不一样，这个病毒是针对2000和XP的

桌面上倒是没有，但在温躲四系统里面找到四个<FONT size=4>svchost.exe，一个18kb，一个1千多kb，一个几百kb。其中一个较小的删除不了，其它的都删除了。楼主，这玩意儿在系统进程中，有啥子影响不？</FONT>

<P>老大很热心啊！我昨天晚上才打的补丁，用的卖咖啡。应该不得爪子。</P>
<P>支持一个！</P>

<DIV class=quote><B>以下是引用<I>日瓦戈医生</I>在2006-11-7 17:50:32的发言：</B><BR>桌面上倒是没有，但在温躲四系统里面找到四个<FONT size=4>svchost.exe，一个18kb，一个1千多kb，一个几百kb。其中一个较小的删除不了，其它的都删除了。楼主，这玩意儿在系统进程中，有啥子影响不？</FONT></DIV>
<P>svchost.exe是XP,2000等微软系统核心系统的非常重要的进程，对于2000、xp来说，不可或缺。很多病毒、木马也会调用它。所以，深入了解这个程序，是玩电脑的必修课之一。
<P>　　大家对windows操作系统一定不陌生，但你是否注意到系统中“svchost.exe”这个文件呢？细心的朋友会发现windows中存在多个 “svchost”进程（通过“ctrl+alt+del”键打开任务管理器，这里的“进程”标签中就可看到了），为什么会这样呢？下面就来揭开它神秘的面纱。</P>
<P><STRONG>发现</STRONG></P>
<P>　　在基于nt内核的windows操作系统家族中，不同版本的windows系统，存在不同数量的“svchost”进程，用户使用“任务管理器”可查看其进程数目。一般来说，win2000有两个svchost进程，winxp中则有四个或四个以上的svchost进程（以后看到系统中有多个这种进程，千万别立即判定系统有病毒了哟），而win2003 server中则更多。这些svchost进程提供很多系统服务，如：rpcss服务（remote procedure call）、dmserver服务（logical disk manager）、dhcp服务（dhcp client）等。</P>
<P>　　如果要了解每个svchost进程到底提供了多少系统服务，可以在win2000的命令提示符窗口中输入“tlist -s”命令来查看，该命令是win2000 support tools提供的。在winxp则使用“tasklist /svc”命令。</P>
<P>svchost中可以包含多个服务</P>
<P><STRONG>深入</STRONG></P>
<P>　　windows系统进程分为独立进程和共享进程两种，“svchost.exe”文件存在于“%systemroot% system32”目录下，它属于共享进程。随着windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由 svchost.exe进程来启动。但svchost进程只作为服务宿主，并不能实现任何服务功能，即它只能提供条件让其他服务在这里被启动，而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢？</P>
<P>　　原来这些系统服务是以动态链接库（dll）形式实现的，它们把可执行程序指向 svchost，由svchost调用相应服务的动态链接库来启动服务。那svchost又怎么知道某个系统服务该调用哪个动态链接库呢？这是通过系统服务在注册表中设置的参数来实现。下面就以rpcss（remote procedure call）服务为例，进行讲解。</P>
<P>　　从启动参数中可见服务是靠svchost来启动的。</P>
<P><STRONG>实例</STRONG></P>
<P>　　以windows xp为例，点击“开始”/“运行”，输入“services.msc”命令，弹出服务对话框，然后打开“remote procedure call”属性对话框，可以看到rpcss服务的可执行文件的路径为“c:\windows\system32\svchost -k rpcss”，这说明rpcss服务是依靠svchost调用“rpcss”参数来实现的，而参数的内容则是存放在系统注册表中的。</P>
<P>　　在运行对话框中输入“regedit.exe”后回车，打开注册表编辑器，找到[hkey_local_machine systemcurrentcontrolsetservicesrpcss]项，找到类型为“reg_expand_sz”的键“magepath”，其键值为“%systemroot%system32svchost -k rpcss”（这就是在服务窗口中看到的服务启动命令），另外在“parameters”子项中有个名为“servicedll”的键，其值为“% systemroot%system32rpcss.dll”，其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样 svchost进程通过读取“rpcss”服务注册表信息，就能启动该服务了。</P>
<P><STRONG>解惑</STRONG></P>
<P>　　因为svchost进程启动各种服务，所以病毒、木马也想尽办法来利用它，企图利用它的特性来迷惑用户，达到感染、入侵、破坏的目的（如冲击波变种病毒“w32.welchia.worm”）。但windows系统存在多个svchost进程是很正常的，在受感染的机器中到底哪个是病毒进程呢？这里仅举一例来说明。</P>
<P>　　假设windows xp系统被“w32.welchia.worm”感染了。正常的svchost文件存在于“c:\windows\system32”目录下，如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:\windows\system32wins”目录中，因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。windows系统自带的任务管理器不能够查看进程的路径，可以使用第三方进程管理软件，如“windows优化大师”进程管理器，通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径，一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。</P>
<P>　　由于篇幅的关系，不能对svchost全部功能进行详细介绍，这是一个windows中的一个特殊进程，有兴趣的可参考有关技术资料进一步去了解它。</P>

<P>刚检查 桌面干净异常 反正备份了的 遭就就回复 谢谢热心提醒</P>

<DIV class=quote><B>以下是引用<I>宝马是条狗</I>在2006-11-7 17:51:43的发言：</B><BR>
<P>老大很热心啊！我昨天晚上才打的补丁，用的卖咖啡。应该不得爪子。</P>
<P>支持一个！</P></DIV>
<P>用了Mcafee也不见得肯定安全，还需要设置一下，建议看看以下几篇文章，介绍的Mcafee的设置：
<P><a href="http://www.blueidea.com/computer/server/2006/4102.asp" target="_blank" >http://www.blueidea.com/computer/server/2006/4102.asp</A></P>

早应该说这个问题了

*** 作者被禁止或删除 内容自动屏蔽 ***

<P>还好，</P>

<P>偶电脑免疫～～～～</P>

[em05]高難度動作看上去好像~~

<P>这个是不是在桌面以图片标志那种显示.我单位就种了.我删了几次,但过不了多久自己又出来了.明天再到单位上看一哈...</P>

<P>楼主，那我就出问题了嘛。</P>
<P>我找到后以为就是传说中的病毒，就激动地把其中三个删除了，剩一个无法删除。</P>
<P>但现在系统还能正常使用。删除了有啥子影响不？</P>
<P>感谢楼主哈</P>

学习下

<P>我没有出现那种情况,但楼主说得好</P>

哈哈真棒

文件备份了,不一定保险哦

文件备份了,不一定保险哦,还是要小心呀!!!!!

<P><FONT face=黑体 color=#ff0000 size=4><STRONG>家里电脑打完了补丁——没发现；</STRONG></FONT></P>
<P><FONT face=黑体 color=#ff0000 size=4><STRONG>公司电脑这两天发现了（桌面上有）……</STRONG></FONT></P>

支持哈！狐狸服务很周到！

<P>前几天确实有这个问题</P>

<P>我桌面上现在就有这个,是不是这个东西,我删除了几次,可过不了多久就又出现.</P>
<P>现在我的QQ每天要开几次,每次打开后马上就关掉了.而且我现在的QQ宠物也打不开了...昨天还出现了自动关机情况......</P>

<DIV class=quote><B>以下是引用<I>日瓦戈医生</I>在2006-11-7 23:05:59的发言：</B><BR>
<P>楼主，那我就出问题了嘛。</P>
<P>我找到后以为就是传说中的病毒，就激动地把其中三个删除了，剩一个无法删除。</P>
<P>但现在系统还能正常使用。删除了有啥子影响不？</P>
<P>感谢楼主哈</P></DIV>
<P>
<P>一般电脑里面会有两个到三个这样的文件，是由于当时装系统的时候拷贝文件拷贝上去的</P>
<P>不过，系统用到的只有一个</P>
<P>你当时删除的时候，系统还在用那个系统需要的，所以你删除不掉，正常的</P>
<P>应该没什么影响</P>

<P>我的系统随时都是最新,对在线的毒长期无视</P>

<DIV class=quote><B>以下是引用<I>小莉</I>在2006-11-8 9:17:15的发言：</B><BR>
<P>我桌面上现在就有这个,是不是这个东西,我删除了几次,可过不了多久就又出现.</P>
<P>现在我的QQ每天要开几次,每次打开后马上就关掉了.而且我现在的QQ宠物也打不开了...昨天还出现了自动关机情况......</P></DIV>
<P>
<P>恩，对的，你说的就是这个病毒</P>
<P>现在我已经作了一些特殊的处理，避免这些问题再次出现</P>
<P>不过，道高一尺，魔高一丈</P>
<P>请密切关注这两天的情况</P>
<P>看还有没有。。。如果还有，请留意是打开在线哪个页面的时候出现的</P>
<P>这样我们才好找到漏洞所在</P>
<P>感谢</P>