在任务管理器的“进程”中发现SVCHOST.EXE，试图结束时其拒绝访问！试图在安全模式下删除系统文件中的SVCHOST.EXE，提示其正在使用，无法删除！打开IE访问经常访问的网站时，在防火墙没有任何提示下，IE会自动打开很多网站，接着杀毒软件就发现很多文件被感染！紧接着系统瘫痪！如果访问的不是常上的网站，防火墙会提示有文件试图访问网站，拒绝后就没事了！不过过会IE会自动关闭！不上网则没有问题。用瑞星在线杀毒，显示没有病毒被发现！请各位大侠帮帮忙，看看是什么原因？有何解决的办法？555555555555，给大家作揖了！！！

我也出现同样的问题,刚想向大家求助.

我的情况是这样:

正常开机后,系统后台自动运行SVCHOST.EXE,大量占用系统内存,达到500000K以上.这样下来不用说,运行其他什么程序都用不了了.

用06版的瑞星下载杀毒软件查毒后,系统提示无病毒.

进入安全模式后,一切正常.

进入IE没有发现其他问题.

哪位大人们赶紧帮忙解决下.

谢谢啦!

查了一下,现在的CPU系统运行是100%...

SVCHOST.EXE 前段时间我也中了

听说叫做橙色八月 不知道是不是这个。

http://it.rising.com.cn/Channels/Service/2006-08/1154786729d36873.shtml

Logfile of HijackThis v1.99.1
Scan saved at 09:56:34, on 2006/09/29
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
c:\program files\rising\rfw\RfwMain.exe
C:\WINNT\system32\hkcmd.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\WINNT\system32\internat.exe
C:\WINNT\TEMP\HM3F3F.EXE
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\conime.exe
C:\WINNT\system32\taskmgr.exe
C:\WINNT\system32\conime.exe
C:\WINNT\realupdate.exe
C:\WINNT\BJH\server.exe
C:\Program Files\CNNIC\Cdn\cdnup.exe
c:\program files\rising\rfw\rfwsrv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\user\LOCALS~1\Temp\Rar$EX00.438\HijackThis.exe

O2 - BHO: MyIEHelper Class - {16B770A0-0E87-4278-B748-2460D64A8386} - C:\Documents and Settings\All Users\Application Data\Microsoft\IEHelper\IEHelper_5059.dll
O2 - BHO: CdnForIE Class - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll
O3 - Toolbar: @msdxmLC.dll,-1@2052,电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKLM\..\Run: [wdfmgr32] C:\WINNT\system32\wdfmgr32.exe
O4 - HKLM\..\Run: [CdnCtr] C:\Program Files\CNNIC\Cdn\cdnup.exe
O4 - HKCU\..\Run: [Internat.exe] internat.exe
O4 - HKCU\..\Run: [updatereal] C:\WINNT\realupdate.exe other
O4 - HKCU\..\Run: [msnnt] C:\WINNT\winampb.exe
O4 - HKCU\..\Run: [MyShares] c:\program Files\忆多多\MyShares.exe /tray
O4 - HKCU\..\Run: [Syss] C:\DOCUME~1\user\LOCALS~1\Temp\setup.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: 访问通用网址 - C:\Program Files\CNNIC\Cdn\cnnic.htm
O9 - Extra button: 中文上网 - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll
O9 - Extra 'Tools' menuitem: 中文上网 - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O10 - Unknown file in Winsock LSP: c:\winnt\system32\quartz32.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\quartz32.dll
O11 - Options group: [CDNCLIENT]  中文上网
O15 - Trusted IP range: http://145.28.16.48
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - http://145.28.16.90/officescan/console/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupINICtrl Class) - http://145.28.16.90/officescan/console/ClientInstall/setupini.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - http://145.28.16.90/officescan/console/ClientInstall/setup.cab
O16 - DPF: {35C3D91E-401A-4E45-88A5-F3B32CD72DF4} (Encrypt Class) - http://145.28.16.90/officescan/console/html/AtxEnc.cab
O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - http://145.28.16.90/officescan/console/ClientInstall/RemoveCtrl.cab
O16 - DPF: {74444F3F-D1AF-41FE-80A5-3CEE414CB9F9} (frmLoadLocalTable Control) - http://145.28.16.48:7890/archtax/LoadLocalTable.ocx
O16 - DPF: {84B248CC-7729-404F-830C-63413A8332A9} (SetupOcx2000Impl Control) - http://145.28.16.40/ocxbin/SetupOcx2000.ocx
O16 - DPF: {8E293669-B9DA-4C07-BBC4-F8D68B005368} (SetupOcxImpl Control) - http://145.28.16.48:7890/ocxbin/SetupOcx.ocx
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/register/pcver/autoupgradepad/pcver2006new/OL2006.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A0D28F67-F7AD-40B9-883B-3AC164CE2866}: NameServer = 192.168.0.1
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: OfficeScanNT 实时扫描 (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: OfficeScanNT 个人防火墙 (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: OracleOraHome92ClientCache - Unknown owner - c:\oracle\BIN\ONRSD.EXE
O23 - Service: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwproxy.exe
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwsrv.exe
O23 - Service: Distributed Link Tracking Clientbjh (ServiceBJH) - Unknown owner - C:\WINNT\BJH\server.exe
O23 - Service: OfficeScanNT 侦听程序 (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe

好像就是这样,下了橙色杀毒的工具在杀毒,一会儿上来反映结果.谢谢楼上滴.

^^
停止
O4 - HKCU\..\Run: [Syss] C:\DOCUME~1\user\LOCALS~1\Temp\setup.exe
删除临时文件（internet选项）

修复
O15 - Trusted IP range: http://145.28.16.48

再用WinsockXPFix.exe修复
O10 - Unknown file in Winsock LSP: c:\winnt\system32\quartz32.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\quartz32.dll

用超级兔子清除垃圾（流氓）软件

用sreng稍描个日志贴上来

请大家指教^^

要不要在安全模式之下？昨天想在安全模式之下扫一遍，不过很慢 。老是跳出应用程序出错，“0x00024ff4”指令引用的“0x00024ff4”内存。该内存不能为“READ”

SVCHOST.EXE
这个我认为一般是正常的系统进程文件
除非这个文件的存在位置不对，或者被替换掉了，以及其它
原因才有其它意义^^

请大家指教

正常文件应该可以结束进程的，如果不能结束，应该是有问题，还有我看了论坛中的很多文章，觉得会不会是某种某种木马程序自动寻找某些网站，当你关闭这些网站的时候，病毒侵入，造成文件感染！要不不会正常情况下找不到病毒，一上它的网站就发现病毒。对了，橙色杀毒的工具下载后无法运行，提示：应用程序出错，“0x00024ff4”指令引用的“0x00024ff4”内存。该内存不能为“READ”

呵呵，不好说，嘿嘿，信则有，不信则无 （我知识浅）
===========================================over