求助 - 求救！svchost.exe 瘋狂的下載東西

john860504 · 2011-02-21, 10:58 PM

最近發現網路跑得好慢！

所以打開BitDefender查了一下

發現svchost.exe 瘋狂的下載東西(如圖)

http://img524.imageshack.us/img524/9871/20110220db05948fddc6327.png

上網查了一下

非常不正常

而且我看我媽的電腦也沒有一直在下載..

救救我吧..

謝謝

附上LOG檔案

引用:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 下午 10:56:05, on 2011/2/21
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16722)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\BitDefender\BitDefender 2011\bdagent.exe
C:\Windows\Explorer.EXE
C:\Program Files\BitDefender\BitDefender 2011\pchooklaunch32.exe
C:\Program Files\CyberLink\PowerDVD10\PDVD10Serv.exe
C:\Program Files\CyberLink\Shared files\brs.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Administrator\Desktop\HiJackThis.exe

R3 - URLSearchHook: (no name) - {90d46c30-9f25-4104-aea9-35c3f84477ff} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: XunleiBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - C:\Program Files\Thunder Network\Thunder\BHO\XunleiBHO7.1.5.2152.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~4\Office14\URLREDIR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: VMN Toolbar - {078fed71-52f2-4a49-a0ab-6453e2ca72ba} - C:\Program Files\vmndtx\vmndx.dll
O3 - Toolbar: Browsing Protection Toolbar - {265EEE8E-3228-44D3-AEA5-F7FDF5860049} - (no file)
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4F90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2011\IEToolbar.dll
O3 - Toolbar: (no name) - {43869BB3-22FD-4F15-9B46-238106BA2F4E} - (no file)
O3 - Toolbar: (no name) - {90d46c30-9f25-4104-aea9-35c3f84477ff} - (no file)
O4 - HKLM\..\Run: [RemoteControl10] "C:\Program Files\CyberLink\PowerDVD10\PDVD10Serv.exe"
O4 - HKLM\..\Run: [BDRegion] C:\Program Files\Cyberlink\Shared files\brs.exe
O4 - HKLM\..\Run: [IME14 CHT Setup] C:\PROGRA~1\COMMON~1\MICROS~1\IME14\SHARED\IMEKLMG.EXE /SetPreload /CHT /Log
O4 - HKLM\..\Run: [BCSSync] ; "C:\Program Files\Microsoft Office\Office14\BCSSync.exe" /DelayServices
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Standby] ; "c:\Program Files\Common Files\Corel\Standby\Standby.exe" -START
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2011\ieshow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2011\bdagent.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 10.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O8 - Extra context menu item: 使用迅雷下載 - C:\Program Files\Thunder Network\Thunder\BHO\geturl.htm
O8 - Extra context menu item: 使用迅雷下載全部鏈接 - C:\Program Files\Thunder Network\Thunder\BHO\GetAllUrl.htm
O8 - Extra context menu item: 透過Mipony下載 - file://C:\Program Files\MiPony\Browser\IEContext.htm
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\thunder network\thunder\bho\dllxlspi0.0.0.56.dll
O10 - Unknown file in Winsock LSP: c:\program files\thunder network\thunder\bho\dllxlspi0.0.0.56.dll
O13 - Gopher Prefix:
O15 - Trusted Zone: http://*.pps.tv
O15 - Trusted Zone: http://*.ppstream.com
O15 - Trusted Zone: http://*.webscache.com
O15 - ESC Trusted Zone: http://*.update.microsoft.com
O15 - ESC Trusted Zone: http://*.pps.tv
O15 - ESC Trusted Zone: http://*.ppstream.com
O15 - ESC Trusted Zone: http://*.webscache.com
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - https://a248.e.akamai.net/f/248/1477...ex-2.2.5.7.cab
O16 - DPF: {4D21BDFC-A621-4DE6-87DA-7C952D0ADF7E} (P00RecImageCtrl Class) - http://ccd.xcam.com.tw/push03.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://metronavi.trtc.com.tw/help/mgaxctrl.cab
O16 - DPF: {D4003189-95B1-4A2F-9A87-F2B03665960D} (VodClient Control Class) - http://www.vjage.com/download/vjocx.cab
O16 - DPF: {EF0D1A14-1033-41A2-A589-240C01EDC078} (PPLive Lite Class) - http://dl.pplive.com/PluginSetup.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7599B824-3E45-45C1-B557-E5C605495FE2}: NameServer = 8.8.8.8,8.8.4.4
O17 - HKLM\System\CS1\Services\Tcpip\..\{7599B824-3E45-45C1-B557-E5C605495FE2}: NameServer = 8.8.8.8,8.8.4.4
O17 - HKLM\System\CS2\Services\Tcpip\..\{7599B824-3E45-45C1-B557-E5C605495FE2}: NameServer = 8.8.8.8,8.8.4.4
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Google 更新服務 (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: KMService - Unknown owner - C:\Windows\system32\srvany.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe
O23 - Service: BitDefender Update Server v2 (Update Server) - BitDefender - C:\Program Files\Common Files\BitDefender\BitDefender Arrakis Server\bin\arrakis3.exe
O23 - Service: BitDefender Desktop Update Service (Updatesrv) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2011\updatesrv.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2011\vsserv.exe
O23 - Service: XLDoctor Services - ShenZhen Xunlei Networking Technologies,LTD - C:\Program Files\Thunder Network\Thunder\Program\DctSer.exe

--
End of file - 7709 bytes

---補充

電腦有用防毒軟體掃過，確定無毒...

wlk3773208 · 2011-02-22, 05:47 PM

首先，請自行google瞭解svchost.exe在windows中的作用，不要總是毫無知識的胡亂猜疑

我只說正題，看這個程序的參數 svchost -k localxxxx
意思就是此程序正在啟動某個服務，但是後邊的內容因為我看不到，所以暫時無法幫助你

所以，請把所有 svchost -k xxxxx後邊的內容全部寫下來，讓我看一下是什麽服務在下載

john860504 · 2011-02-22, 10:53 PM

引用:

作者: wlk3773208

首先，請自行google瞭解svchost.exe在windows中的作用，不要總是毫無知識的胡亂猜疑

我只說正題，看這個程序的參數 svchost -k localxxxx
意思就是此程序正在啟動某個服務，但是後邊的內容因為我看不到，所以暫時無法幫助你

所以，請把所有 svchost -k xxxxx後邊的內容全部寫下來，讓我看一下是什麼服務在下載

我有去查過

如果是剛開機這樣算正常的

可是我的是從來沒有停過...

附上圖片

http://img810.imageshack.us/img810/867/97925933.png

謝謝囉^^

wlk3773208 · 2011-02-24, 01:09 PM

愁死人了我讓你把 svchost 後邊的參數完整的寫下來

john860504 · 2011-02-24, 10:14 PM

引用:

作者: wlk3773208

愁死人了我讓你把 svchost 後邊的參數完整的寫下來

抱歉..

圖片失連...

在下載東西的是

svchost.exe -k localserviceandnoimpersonation

的

0000:0000:0000:0000:0000:0000:0000:0001:1900

0000:0000:0000:0000:0000:0000:0000:0001:60044

FE80:0000:0000:0000:3DF4:C587:C209:0E48:60043

FE80:0000:0000:0000:4C82:94C1:FE7E:4C99:60042

變多了!?

wlk3773208 · 2011-02-25, 06:47 PM

有2個可能
1.windows媒體中心
2.網絡發現功能

把這個2個全部廢止或者關閉掉看看

還有
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Administrator\Desktop\HiJackThis.exe
這2個是什麽

john860504 · 2011-02-25, 10:21 PM

引用:

作者: wlk3773208

1.windows媒體中心
2.網絡發現功能

怎關?...

引用:

作者: wlk3773208

C:\Windows\system32\SearchFilterHost.exe
C:\Users\Administrator\Desktop\HiJackThis.exe

HiJackThis.exe已經不見了

SearchFilterHost.exe好像是桌面搜尋工具

getter · 2011-02-26, 12:15 AM

HiJackThis.exe

這是那個 logo 檔的生成工具 ...

svchost.exe 病毒，從 Windows 2000 開始就一種病毒會使用 svchost.exe 這個名字，
但好像不會取原檔，而是好像藏在某處

svchost.exe 原本就是 Windows 的一種背景服務程式，他的執行，不是代表 svchost.exe

而是以 svchost.exe 去執行一些其的的程式或是服務的軟體功能。

不然就要關閉一些軟體服務看看了，如某些開機即刻常駐執行的軟體 ...

那網路上有一種說法是，因為 Windows 本身有安全性的後洞，造成中毒或 CPU 使用過高
可以透過 Windows 更新來解決問題看看。

wlk3773208 · 2011-02-27, 08:16 AM

控制面板\所有控制面板项\网络和共享中心\高级共享设置
把共享什麽的全部選為關閉

控制面板\所有控制面板项\程序和功能
打開或者關閉windows功能\媒体功能全部取消选择

既然你使用pplive和迅雷，相信你能看懂的。。。。。。。

john860504 · 2011-02-27, 12:15 PM

引用:

作者: getter

HiJackThis.exe

這是那個 logo 檔的生成工具 ...

svchost.exe 病毒，從 Windows 2000 開始就一種病毒會使用 svchost.exe 這個名字，
但好像不會取原檔，而是好像藏在某處

svchost.exe 原本就是 Windows 的一種背景服務程式，他的執行，不是代表 svchost.exe

而是以 svchost.exe 去執行一些其的的程式或是服務的軟體功能。

不然就要關閉一些軟體服務看看了，如某些開機即刻常駐執行的軟體 ...

那網路上有一種說法是，因為 Windows 本身有安全性的後洞，造成中毒或 CPU 使用過高
可以透過 Windows 更新來解決問題看看。

更新過了，還是一樣...

引用:

作者: wlk3773208

控制面板\所有控制面板項\網絡和共享中心\高級共享設置
把共享什麼的全部選為關閉

控制面板\所有控制面板項\程序和功能
打開或者關閉windows功能\媒體功能全部取消選擇

既然你使用pplive和迅雷，相信你能看懂的。。。。。。。

都取消了，還是一樣...

wlk3773208 · 2011-02-28, 05:15 PM

那就直接把這幾個程序強制關閉掉，看看有何反應

john860504 · 2011-02-28, 06:03 PM

解決了

好像是防毒軟體的問題

剛剛在測試的時候換成了Avast後

就沒有偵測到在下載東西了...

謝謝wlk3773208大跟getter大的幫忙

getter · 2011-02-28, 07:38 PM

引用:

作者: john860504

解決了

好像是防毒軟體的問題

剛剛在測試的時候換成了Avast後

就沒有偵測到在下載東西了...

謝謝wlk3773208大跟getter大的幫忙

有可此能，有的防毒軟體確實會利用 svchost.exe 來執行某些排程工作，或是多工
服務，如病毒碼的更新下載，背景執行掃描之類。

2011-02-22, 05:47 PM	#2 (permalink)
wlk3773208 註冊會員榮譽勳章勳章總數1 UID - 345083 在線等級: 註冊日期: 2011-02-01 文章: 165 精華: 0 現金: 377 金幣資產: 557 金幣	首先，請自行google瞭解svchost.exe在windows中的作用，不要總是毫無知識的胡亂猜疑我只說正題，看這個程序的參數 svchost -k localxxxx 意思就是此程序正在啟動某個服務，但是後邊的內容因為我看不到，所以暫時無法幫助你所以，請把所有 svchost -k xxxxx後邊的內容全部寫下來，讓我看一下是什麽服務在下載

	送花文章: 0, 收花文章: 131 篇, 收花: 285 次

2011-02-24, 01:09 PM	#4 (permalink)
wlk3773208 註冊會員榮譽勳章勳章總數1 UID - 345083 在線等級: 註冊日期: 2011-02-01 文章: 165 精華: 0 現金: 377 金幣資產: 557 金幣	愁死人了我讓你把 svchost 後邊的參數完整的寫下來

	送花文章: 0, 收花文章: 131 篇, 收花: 285 次

2011-02-25, 06:47 PM	#6 (permalink)
wlk3773208 註冊會員榮譽勳章勳章總數1 UID - 345083 在線等級: 註冊日期: 2011-02-01 文章: 165 精華: 0 現金: 377 金幣資產: 557 金幣	有2個可能 1.windows媒體中心 2.網絡發現功能把這個2個全部廢止或者關閉掉看看還有 C:\Windows\system32\SearchFilterHost.exe C:\Users\Administrator\Desktop\HiJackThis.exe 這2個是什麽

	送花文章: 0, 收花文章: 131 篇, 收花: 285 次

2011-02-26, 12:15 AM	#8 (permalink)
getter 管理員榮譽勳章勳章總數19 UID - 6433 在線等級: 註冊日期: 2002-12-08 住址: 天線星球文章: 8157 精華: 0 現金: 19955 金幣資產: 765391 金幣	HiJackThis.exe 這是那個 logo 檔的生成工具 ... svchost.exe 病毒，從 Windows 2000 開始就一種病毒會使用 svchost.exe 這個名字，但好像不會取原檔，而是好像藏在某處 svchost.exe 原本就是 Windows 的一種背景服務程式，他的執行，不是代表 svchost.exe 而是以 svchost.exe 去執行一些其的的程式或是服務的軟體功能。不然就要關閉一些軟體服務看看了，如某些開機即刻常駐執行的軟體 ... 那網路上有一種說法是，因為 Windows 本身有安全性的後洞，造成中毒或 CPU 使用過高可以透過 Windows 更新來解決問題看看。
	__________________ 在「專業主討論區」中的問題解決後，要記得按一下按鈕喔，這是一種禮貌動作。一樣是在「專業主討論區」中發問，不管問題解決與否，都要回應別人的回答文喔。不然搞 [斷頭文]，只看不回應，下次被別人列入黑名單就不要怪人喔。天線寶寶說再見啦~ ... 天線寶寶說再見啦~ 迪西：「再見~ 再見~」『 Otaku Culture Party 』關心您 ...
	送花文章: 37855, 收花文章: 6441 篇, 收花: 26052 次

2011-02-27, 08:16 AM	#9 (permalink)
wlk3773208 註冊會員榮譽勳章勳章總數1 UID - 345083 在線等級: 註冊日期: 2011-02-01 文章: 165 精華: 0 現金: 377 金幣資產: 557 金幣	控制面板\所有控制面板项\网络和共享中心\高级共享设置把共享什麽的全部選為關閉控制面板\所有控制面板项\程序和功能打開或者關閉windows功能\媒体功能全部取消选择既然你使用pplive和迅雷，相信你能看懂的。。。。。。。

	送花文章: 0, 收花文章: 131 篇, 收花: 285 次

2011-02-28, 05:15 PM	#11 (permalink)
wlk3773208 註冊會員榮譽勳章勳章總數1 UID - 345083 在線等級: 註冊日期: 2011-02-01 文章: 165 精華: 0 現金: 377 金幣資產: 557 金幣	那就直接把這幾個程序強制關閉掉，看看有何反應

	送花文章: 0, 收花文章: 131 篇, 收花: 285 次

2011-02-28, 06:03 PM	#12 (permalink)
john860504 註冊會員榮譽勳章勳章總數10 UID - 254469 在線等級: 註冊日期: 2006-09-28 文章: 1963 精華: 0 現金: 229 金幣資產: 25619251 金幣	解決了好像是防毒軟體的問題剛剛在測試的時候換成了Avast後就沒有偵測到在下載東西了... 謝謝wlk3773208大跟getter大的幫忙

	送花文章: 821, 收花文章: 1183 篇, 收花: 3054 次

相似的主題
主題	主題作者	討論區	回覆	最後發表
求助 - 是否中毒請高手幫看	lonly888	一般電腦疑難討論區	4	2007-08-07 05:34 PM
求助 - 在Windows登入畫面前出現一個怪視窗	cchishou	一般電腦疑難討論區	10	2007-06-25 04:14 PM
IE下載東西的時候都....	POWER97	一般電腦疑難討論區	1	2003-01-28 02:12 PM
用 windows xp時網路下載東西是否會變慢	woodenman123	軟體應用問題討論區	2	2003-01-02 06:54 PM

Google 提供的廣告