[求助]：谁遇到这个问题,出现"svch0st_.exe",帮帮忙.

伪君子狼

每次开机时出现:windows找不到文件'G:\WINDOWS\svch0st_.exe'.请确定文件名 ....
   我用的是XP系统,G盘为系统盘.

amplly

杀毒吧！

Trojan/PSW.LMir.wc
病毒长度：57344 字节
病毒类型：木马
危害等级：*
影响平台：Win9X/2000/XP/NT/Me/2003
Trojan/PSW.LMir.wc是用Delphi编写并经UPX压缩的木马，用来窃取游戏"传奇"信息。
传播过程及特征：
1.创建文件：
  %WinDir%\svch0st_.exe, 57344字节
  %WinDir%\lsas.bmp, 19968字节
2.修改注册表：
  在注册表中添加下列启动项：
  [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "svch0st_.exe" = svch0st_.exe
  这样，在Windows启动时，病毒就可以自动执行。

伪君子狼

谢谢,但是我8月24日的瑞星杀不了啊,有什么建议?
手工修改注册表有用吗?

amplly

解决办法：
1、重新启动到安全模式
2、开始，运行，输入sysedit，确定
3、删除System.ini窗口中的C:\WINNT\svch0st_.exe这条内容，记得保留Shell=Explore.exe这句，保存后退出
4、开始，运行，输入cmd，确定
5、按下面说明键入，每键入一行回车一次
   a、attrib C:\winnt\svch0st_.exe -s -h -r
   b、Del C:\winnt\svch0st_.exe

6、重新启动计算机

伪君子狼

太谢谢了,但我是G盘系统盘啊.

蓝点点

先把进程中止.再到命令行下面去把那个文件删掉.最好是不在进入WINXP之前就进入命令行.进行删掉.

wdalong

不必那么麻烦！直接用KVdos杀毒！
然后再进入windows，运行—〉REGEDIT—〉搜索—〉svch0st_.exe
如果是在RUN键下，则删除键值！
如果是跟在什么windows什么的后面的话只删除这几个字母！

伪君子狼

现在就是说这个文件已经没有了.在注册表中直接删除可以吗?

halibt

最初由 伪君子狼 发布
[B]现在就是说这个文件已经没有了.在注册表中直接删除可以吗? [/B]

可以，其实把启动项里对应的删除就行了

伪君子狼

我查过了,注册表里RUN里没有.
  但注册表里有两个地方发现
   SOFTWare/microsft/search Assistant/5603下和/window net /currenters/下有,是否可以直接删除?

wx352124

svch0st_.exe不一定是病毒，正常的话XP中会有四个以上这样的进程运行，当然很多木马也会，用查找命令查这个文件，在系统盘中windows\system32\的这个不是病毒，在其它文件夹中发现，那么恭喜你，你中毒了，用杀毒软件吧，记得把开机启动程序中可疑的程序关闭

wdalong

最初由 发布
[B]我查过了,注册表里RUN里没有.
但注册表里有两个地方发现
SOFTWare/microsft/search Assistant/5603下和/window net /currenters/下有,是否可以直接删除? [/B]

最好备份以后再删除！
删除的也只是键值中的sv那个，不是删除键！
其他的正常的就不要动！
这种启动方式是现在木马流行方式！碰到几次了，都是随着系统服务自启动的！讨厌死了~~