hvchost是什么进程 cpu为什么被占90%以上

显示全部楼层 · 2007-5-9 15:55:47

病毒

千问 · 2007-5-9 15:55:47

病毒....仿svchost进程。

千问 · 2007-5-9 15:55:47

系统正常情况下是有这个进程的，但是不排除其他的木马进程插入了这个进程，或者干脆伪装了。

千问 · 2007-5-9 15:55:47

今天帮朋友杀了一个毒，过程挺艰辛的。在这里说一下希望给有相同问题的朋友些许帮助。
先说中毒后电脑的症状：一开始是什么防毒软件，例如卡巴斯基，金山独霸统统被强行关掉；还有防木马的软件比如木马杀客也被强行关掉。同时电脑上不网了，并且速度也慢了很多。过了段时间双击就打不开分区了。用右键点击分区盘符，看到呈黑体的是Auto(黑体表示双击指向的操作)，而不是一般的打开。注意这个病毒会通过u盘传播。在被感染的电脑上使用过的u盘很可能就会感染病毒。一个简单的判断标准就是右键打开u盘看呈黑体的是Auto，还是打开，如果是前者就是中毒了。如果将这个受感染的u盘插到一台正常的电脑上，一旦你双击这个u盘你的机子就会中毒。表现就是你的杀毒软件，防木马软件相继被关。
一开始我用F8进入安全模式，用金山独霸杀了一个小时，问题依旧。后来我又用u盘考来木马杀客。结果在正常模式下无法打开。无奈我重新进入安全模式，还是打开半截就被强行关了。我怀疑是考到硬盘上的杀客已经被破坏。于是又考了一个新的拷贝。这次我直接在u盘上打开查杀。查到一个名叫qqlove.b 3209的病毒，杀之。但发现黑体的Auto依然存在。我怀疑还有其他病毒没有查到。于是上google搜索，发现一个有用的网页：http://blog.netadmin.com.cn/user1/44/archives/2006/1627.html为了避免这个网页消失我把内容拷在了最下面。果真是还有别的病毒。这个病毒在瑞星那里叫做橙色八月。还有一个与之非常相似的病毒称为rose，rose出现的更早，所以估计前者是后者的是变种。在这里我想简要的总结下杀毒方法：手动杀除（相对瑞星的专杀工具要快很多）1.控制面板--文件夹选项--查看--去掉隐藏受保护的系统文件前面的钩，同时选择显示所有文件和文件夹。2.去所有不能双击打开的分区。用右键点击然后选择打开项进入根目录下找到autorun.inf 和以sxs命名的文件，彻底删除。u盘或移动硬盘也是一样的做法。3.程序--运行--输入regedit打开注册表编辑器--找到下列键HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run 下找到 SoundMam 键值，可能有两个，删除其中键值为C:\WINDOWS\system32\SVOHOST.exe 的那个。4.进入C:\WINDOWS\system32\ 目录下删除 SVOHOST.exe 或 sxs.exe注：SVOHOST.EXE与HVCHOST.EXE只有一字之差。======================================================前两天一同事打电话过来，说电脑出问题了：除了C盘其它盘双击都打不开，正版的瑞星杀毒软件也无法开启，并且‘隐藏文件和文件夹下的“显示所有文件和文件夹”不能被选中。叫我一定过去看看。第一反应就是中毒。首先是修好杀毒软件，从瑞星网站下载了最新病毒补丁包安装（如果无法下载补丁包可用添加删除程式来修复），然后杀毒（原来是中了SXS.EXE病毒）,杀完毒之后问题依旧。看来只有手工清除了，在Internet 上一翻搜索终于找到方法：1、重新启动电脑按F8进入安全模式2、打开注册表运行——regeditHKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run 下找到 SoundMam 键值，可能有两个，删除其中的键值为C:\WINDOWS\system32\SVOHOST.exe 3、显示出被隐藏的系统文件运行——regeditHKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL，将CheckedValue键值修改为1这里要注意，病毒会把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue，并且把键值改为0！我们将这个改为1是毫无作用的。方法：删除此CheckedValue键值，单击右键新建——Dword值——命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。4、C:\WINDOWS\system32\ 目录下删除 SVOHOST.exe 或 sxs.exe注：SVOHOST.EXE与HVCHOST.EXE只有一字之差 5、删除病毒在分区盘上单击鼠标右键——打开，看到每个盘跟目录下有 autorun.inf 和sxs.exe 两个文件，将其删除。注：你也可以在命令提示符下用Attrib去掉这个这个文件的系统和隐藏属性，再将其删除。瑞星已出了专杀工具（瑞星称为：Trojan.PSW.QQPass）http://it.rising.com.cn/Channels/Service/2006-08/1154786729d36873.shtml参考资料：http://blog.donews.com/writelife/archive/2006/09/20/1042007.aspx

已赞过已踩过<

千问 · 2007-5-9 15:55:47

伪装的病毒，看似是系统进程，这种手法病毒制造者已经惯用了好多年了一般正规软件的进程是不会仿用系统进程的名字的杀毒应该就可以了，也有心出的病毒沙不了的，就只能手动啦，试试看