偶然间在任务管理器中发现有个svchost.exe的进程,路径居然是c:\windows\system32\oobe\0931\svchost.exe.不用想也知道肯定不正常.结束进程,用360查了下,不是病毒,用rising查,不是病毒,卡吧?也说不是病毒...手工删除掉.一切正常了.第二天,再度出现,路径变成了c:\windows\system32\oobe\5571\svchost.exe.全盘查毒.无果....遂设置策略，禁止oobe及其子文件中的可执行文件运行。经过长时间观察，发现此文件出现在oobe文件夹下的随机四位数字为名的文件夹中。经过跟踪，发现这个文件是由c:\windows\system32\svchost.exe创建并运行的。但C:\windows\system32\svchost.exe这个文件也是正常的，并没有被替换。

很是苦恼，有没有同样碰到过这个问题的大牛，说一下解决之道~

不知道这个方法是不是对的  http://stormcn.zhan.cn.yahoo.com ... d&articleid=192

感谢二楼提供的方法。
貌似我的问题和你提供的那个有些不一样。用你提供的方法解决不了。~
继续征求好的方法~

看一下system32目錄下，有沒有“隱藏屬性”的.inf/.ini/.exe之類的文件
有的話，刪除之

接著，再看一下註冊表的啟動項，看是否開機加載了？等等。
建議還是用殺毒軟件全盤查殺一下

在安全模式下殺毒，然後用原版系統的svchost.exe文件替換你現在的svchost.exe

已经查了启动项这些。都没有多余的开机加载项，经查，在system32目录下也没有可疑的inf ini exe文件。svchost.exe已经用光盘上的替换过了。注册表中svchost启动的服务也没有被劫持，杀毒无果，症状依然~

最新发现，那个svchost.exe是由一个svchostrep.exe的自解压文件释放的，这个自解压文件设有密码~google.baidu这个文件，貌似其症状与我这个都不一样

我刚查了一下，我有两个svchost.exe，分别在：
c:\windows\system32\
C:\WINDOWS\ServicePackFiles\i386

第二个不知有没问题，用不用删除？

引用:

原帖由 tmulmt 于 2008-7-20 15:20 发表
我刚查了一下，我有两个svchost.exe，分别在：
c:\windows\system32\
C:\WINDOWS\ServicePackFiles\i386

第二个不知有没问题，用不用删除？

正常。不用删除。

继续寻求解决方法

用360查杀,不是病毒?那360中有个高级工具---粉碎掉这个文件,在设置下,以后就不会再出现了,看看行不.........

[ 本帖最后由 alizeeo 于 2008-7-20 18:48 编辑 ]

引用:

原帖由 yydyao 于 2008-7-20 12:04 发表
svchost.exe已经用光盘上的替换过了。

我是这样理解的：对了，你跟踪出问题是发生在这个文件上的软件是什么软件？我知道有个软件可以查看进程目前在做什么操作，不知道是不是这个？
可以这样试试：查看svchost.exe进程里面的线程（好像是叫线程吧？也就是该进程调用了些什么东西，以前手工杀灰鸽子的时候就是这样搞的，进程里面根本没东西，只有查看某个进程里面调用的文件，才能找到病毒文件。），用它和正常机器的进程对比，找出可疑的东东（自己判断！），然后继续搜查。要是找不出来有问题的东西，那估计问题不在这。

当然，我这样建议是因为你说的这个进程有问题，嘿嘿！

PS：这个问题会影响你吗？如果不会，你是怎么知道有这么一个问题的？如果会，那影响是什么？（嘿嘿，了解了解，以后万一我遇到这样的问题就轻松了）

TO:楼上
我用的是filemon

发现这个问题是因为近几天机器特别的慢，所以习惯性的查看任务管理器，在里面发现一个svchost.exe的路径不对。

因为已经设置了策略禁止那个OOBE下的程序运行，所以目前来说已经没什么大影响了~

谢谢,但你能不能发一个干净的给我?

我华军,太平洋,SINA,霏凡,下载的全是有病毒的,而且我跳过病毒装的时候,最后一点就出现文件复制出错,用也用不了!

忘了,我的邮箱:swiftxfrost@163.com