发现C:\WINDOWS\Temp文件夹下有svchost.exe（16k）和
winlogon.exe（2k）这两个文件

现象：在连接Internet40-60分钟内上传从0KBps迅速暴增至
560KBps以上（我是电信2M的adsl），整个带宽完全被占，无法干任
何事情。用瑞星全盘杀毒没有结果。

我已经关闭了端口： TCP135、 137、139、445、593  UDP
135、139、445 、1434 、TCP 1025、2745、3127、6129、3389

（一开始还会出现Generic Host Process for Win32 Services报错但在安装补丁：WindowsXP-KB921883-x86-CHS.exe
WindowsXP-KB894391-x86-CHS.exe后目前还没有重新出现）

不过当上传暴涨后无法断开网络连接，关闭modem电源后死机，重启后出现下图


恳请知道杀毒方法的朋友指点迷津，拜谢

temp文件夹下的svchost.exe和winlogon.exe文件已上传到可疑文件交流区

附件: SREngLOG.log (2008-11-1 17:27:54, 51.43 K)
该附件被下载次数 215

附件: 清理专家诊断报告.txt (2008-11-1 17:27:54, 34.69 K)
该附件被下载次数 197

附件: 事件属性.txt (2008-11-1 0:11:52, 795 B)
该附件被下载次数 246

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; MAXTHON 2.0)

哪位大侠请来帮帮忙吧，现在一连上网没多久就会出现“winlogon.exe应用程序错误”提示
接下来就是
“0x????????”指令引用的“0x????????”内存。该内存不能为“read”。
“0x????????”指令引用的“0x????????”内存，该内存不能为“written”。

晕了~用清理助手倒是可以发现木马也能清理
清理结果：
[2.8.1.8.0815 - 2.8.25.8.1031]
2008-11-01 18:03
[Trojan]
D:\SYSTEM VOLUME INFORMATION\_RESTORE{A4867E9C-DEAF-42DC-BCC1-0EAA423120C3}\RP217\A0062287.EXE

[2.8.1.8.0815 - 2.8.25.8.1031]
2008-11-01 18:03
[Trojan Files]
HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\BITS\PARAMETERS\SERVICEDLL\REG_EXPAND_SZ01%SYSTEMROOT%\SYSTEM32\QMGR.DLL

[2.8.1.8.0815 - 2.8.25.8.1031]
2008-11-01 18:03
[Trojan.Svchost]
C:\WINDOWS\TEMP\SVCHOST.EXE

但是只要重启后连上Internet，temp文件夹下这两个文件又重新生成了
日志和报告我已经上传了，哪位高手帮帮忙吧，联网50分钟我的电脑突然就不停的上传（没开任何下载软件），整个带宽都被占了。
拜谢~

还有个问题
7楼的朋友给出的方法中



为什么我在执行时系统总是提示有程序正在使用无法替换
我在安全模式下也不能替换
用瑞星扫描后可以删除带病毒的svchost.exe文件，但是将别的机器上复制的svchost.exe粘贴在原位上时系统提示无法识别，重启电脑后svchost进程全部不能启动
到底怎么才能正确替换呢，请大家教教我
另外，很感谢aaccbbdd和天云一剑给予的帮助