svchost.exe 一直上傳資料

Question

小弟家中電腦，開機後幾分鐘，就會一直上傳資料，導致其他電腦的網路也無法使用，CPU也飆高不下，懷疑是中毒了，可是用了許多掃毒軟體，就是掃不出病毒

開啟工作管理員，發現十多個svchost.exe

停掉幾個以後，網路就正常了，可是沒多久又出現，又開始上傳資料。

請問這是發生甚麼問題? 是中毒嗎?
該如何處理?

? · Accepted Answer

因為掛在"每個svchost.exe" 底下被執行的模組檔案，少則1-2個、多則7-8個模組，加總起來約會有多逹20~30多個，單靠您簡單描述是無法得知究竟是什麼程式檔案在執行。

方便的話建議閣下下載System Repair Engineer(Sreng2)2.8.4.1331↓
http://www.kztechs.com/eng/download.html
執行"智慧掃瞄"/"保存檔案"，將掃描結果的記錄檔的內容貼上來看看。
或傳到您的網路硬碟空間，並提供檔案下載的位置。

如此比較容易幫忙找出電腦可疑的惡意程式，也方便雙方的溝通。

2011-06-03 04:30:30 補充：
請問您電腦有安裝騰訊QQ的聊天軟體嗎？
SREngLOG有看到↓
[PID: 3348 / SYSTEM][C:&#92;&#92;Documents and Settings&#92;&#92;Vincent&#92;&#92;Local Settings&#92;&#92;Temporary Internet Files&#92;&#92;Content.IE5&#92;&#92;S2U1ERYJ&#92;&#92;s[1].exe]  [Tencent, 1.0.0.2]
即為它在[工作管理員]/[處理程序]的PID代碼為3348

2011-06-03 04:39:35 補充：
另外在註冊表的[HKEY_LOCAL_MACHINE&#92;&#92;SOFTWARE&#92;&#92;Microsoft&#92;&#92;Active Setup&#92;&#92;Installed Components&#92;&#92;{45AU3638-GUIS-M0GU-U0D6-U5TS7M625S71}]
  [File is missing]
這個很可疑，因為Websevers.exe檔案已遺失，且用搜尋引擎也找不到有關{45AU3638-GUIS-M0GU-U0D6-U5TS7M625S71}這個CLSID的訊息資料。

2011-06-03 04:39:42 補充：
猜會不會是您曾用卡巴的線上掃毒或比特防毒或USB Safely Remove，刪除掉了，故只留下註冊表的登錄值。

2011-06-03 05:39:52 補充：
再請教您的使用的迅雷下載軟體它的版本為何呢？

2011-06-03 18:15:43 補充：
因為回答文字會超過數字限制，改寄到閣下的信箱，煩請去收信。

2011-06-04 04:03:03 補充：
1.因為有Honey音樂及迅電下載器，在IE瀏覽器的附加元件並未移除乾淨。
煩請您提供[控制台]/[Windows 防火牆]/[例外]頁次的圖片，我想對照一下瀏覽器的管理附加元(有些類別識別碼沒有檔名和它的路徑位置)。
2.[控制台]/[網際網路選項]，切換到[安全性]頁次，點選欄框的"信任網站"再按[網站]鈕，查看有那些網址或網站被加到裡頭了。也請提供圖片，以方便篩選。

2011-06-04 04:03:11 補充：
3.您提供的工作管理員圖片[PID: 4044 / SYSTEM]的確CPU佔用很高，請先按[開始]/[執行]輸入msconfig按確定，於系統公用程式視窗，切到[啟動]頁次，將啟動項目"Cpu Level Up help"-"C:&#92;&#92;Program Files&#92;&#92;ASUS&#92;&#92;Ai Suite&#92;&#92;CpuLevelUpHelp.exe"取消鉤選，按套用/確定。重新開機，再觀察"工作管理員"處埋程序的CPU看看。

2011-06-04 08:19:17 補充：
4.請提供在C:&#92;&#92;WINDOWS&#92;&#92;Downloaded Program Files内的檔案資料，順便拍圖。如果無資料檔案在裡頭，告知無資料即可。

2011-06-05 10:14:56 補充：
已寄信，煩請去收信。
還不行的話，您可能就得連到微軟的Windows Sysinternals↓
http://technet.microsoft.com/en-us/sysinternals/bb795533
下載備用Autoruns及Process Explorer這兩支程式。

順便將http://reinfors.blogspot.com/
下載Efix備用。
PS.Efix它除用來掃惡意程式之外，我主要是要看它的LOG.txt，查看記錄檔的內容，記錄日期的被修改(未修改)有那些系統檔，及系統根目錄的相關檔案。

2011-06-10 16:45:53 補充：
1.請先中斷連線，關閉瀏覽器。 
2再次執行sreng2&#92;SREngLdr.EXE 
3.點選[啟動專案]/[註冊表] 
4.找到名字為：N/A，數據為：C:&#92;WINDOWS&#92;Websevers.exe，點選後按[刪除]。 
5.按[開始]/[搜尋]，先點選[進階選項]，將"搜尋系統資料夾"、"搜尋隱藏檔案和資料夾"、"搜尋子資料夾"這三項打鉤，再輸入S[1].EXE按[搜尋]，找到後，將它刪除。 
或是用[清理磁碟] 來清理[Temporary Internet Files]
6.切換到[服務]頁次，點選[Win32服務應用程式]鈕，先鉤選[隱藏已認證的微軟專案] 
7.於清單找到並點選"USB Safely Remove Assistant"，將下方的啟動類型方塊，改成Disabled，再按修改啟動類型，按[設置]。如要刪除服務，則請再點選[刪除服務]，再次按[設置]。 
 
8.重新開機，再次執行sreng2&#92;SREngLdr.EXE的智慧掃瞄/保存報告，儲存為SREngLOG_02.log，再去比對之前的SREngLOG.log，查看S[1].EXE是否不會再出現↓ 
特殊特權被允許： SeLoadDriverPrivilege [PID = 3348, C:&#92;DOCUMENTS AND SETTINGS&#92;VINCENT&#92;LOCAL SETTINGS&#92;TEMPORARY INTERNET FILES&#92;CONTENT.IE5&#92;S2U1ERYJ&#92;S[1].EXE]

看過第二份的SREngLOG記錄檔，並未發現有任何的惡意程序或可疑病毒檔的問題，應屬應用軟體本身分享上傳或其安全性漏洞的原因。 
茲整理您的問題如下： 
一、Downloaded Program Files的Active X↓ 
這些Active X可以指到它按右建/移除，等您瀏覽網頁需要用到時，將會在網頁的資訊列，出現要求安裝Active X安裝畫面。 
二、取消以下Ｗindows 防火牆的鉤選↓ 
Foxy
Foxy
Foxy (192.168.103:23980 23980 TCP
Mxie(192.168.103:23980) 23980UDP
FreeStyle
Mxie(192.168.103:5200)5200 TCP
Mxie(192.168.103:5200)5200 UDP
Nexon Game Launcher
Nexon Messenger Core
SpecialForce
不用時都會取消鉤選它，要用時再去鉤選。 
三、移除以下IE的附加元件遺留的機碼↓
{85d1f590-48f4-11d9-9669-0800200c9a66} <%windir%&#92;bdoscandel.exe, N/A>→比特線上掃毒(BitDefender Online)
{5D86DDB5-BDF9-441B-9E9E-D4730F4EE499}→比特線上掃毒
{85D1F590-48F4-11D9-9669-0800200C9A66}→同上
{01443AEC-0FD1-40FD-9C87-E93D1494C233}→迅雷下載器
{2D90D33C-DE76-42D0-9040-E4466DDC24AC}→同上
{485463B7-8FB2-4B3B-B29B-8B919B0EACCE}→同上
{548BF84E-9665-47F9-B635-7380F8943E90}→同上
{6EE9CD3E-A386-4DAE-9737-A759DBF927AE} →同上
{7670648D-461B-42AF-BDFE-46D26AF5EFF2}→同上
{889D2FEB-5411-4565-8998-1DD2C5261283}→同上
{9701758C-4373-482E-B13C-776C048EC890}→同上
{9EFF1953-9694-47B1-AEF6-B2A3FE8BFE9B}→同上
{ACACC6EB-1FBA-4E13-A729-53AEB2DF54F8}→同上
{F3E70CEA-956E-49CC-B444-73AFE593AD7F}→同上
res://C:&#92;Program Files&#92;Honey&#92;kupeer&#92;9kupe.exe/download.htm, →Honey音樂下載
res://C:&#92;Program Files&#92;Honey&#92;kupeer&#92;9kupe.exe/search.htm, →同上

? · Answer

如果你覺得電腦中好像是中毒的情況，我這裡提供你一些還不錯的清病毒工具，可以以先掃掃看:IClean解毒快手：http://www.trendmicro.com.tw/iclean/index.htm閃電殺毒手(有繁體的安心使用)：http://cn.trendmicro.com/cn/mini/cleantool/
雲端WTP掃毒引擎(裝在電腦裡，專門幫你過濾可疑網址):
http://www.trendmicro.com.tw/wtp/micro/index.asp

? · Answer

我應該沒有安裝騰訊QQ的聊天軟體，不過前幾天兒子的同學來，借用我的電腦玩，隔天就這樣了，我想應該是它安裝了甚麼，或上了甚麼網頁中毒了....><||

2011-06-03 12:42:58 補充：
我用過USB Safely Remove，後來移除掉了....
迅雷下載軟體，沒用過，所以不知道版本...

請問這是因為程式錯誤，還是中毒，如果是中毒，怎會都掃不到  = ... =

2011-06-03 23:41:09 補充：
感謝大師鼎力相助...
照您的方法，電腦似乎回復正常，順暢多了

請大師移駕至回答區，簡述處理要點即可，以便選為最佳解答...
謝謝您...

2011-06-04 01:18:31 補充：
大師您好，想不到，不到一個小時，他又開始上傳了
我再重新跑一份掃描報告，再麻煩您看看
http://www.badongo.com/file/25457903
這是工作管理員
http://www.badongo.com/pic/13083148

您建議刪除部分，我皆已經操作刪除，
VPN Client這個程式有安裝，因工作需要，有時需要使用，平常不會用
我已刪除迅電下載器，及Honey音樂下載
目前使用FOXY 下載

2011-06-04 09:25:58 補充：
大師,
這是[控制台]/[Windows 防火牆]/[例外]頁次的圖片
http://s280.photobucket.com/albums/kk189/vint5704/?action=view&current=_1-2.jpg

http://s280.photobucket.com/albums/kk189/vint5704/?action=view&current=_2-1.jpg

2011-06-04 09:29:40 補充：
"信任網站"是空的了
http://s280.photobucket.com/albums/kk189/vint5704/?action=view&current=_.jpg

這是剛剛重開機後約5分鐘的工作管理員，剛開始svchost有7個，5分鐘後變這麼多，CPU是降下來了
http://s280.photobucket.com/albums/kk189/vint5704/?action=view&current=2cee3a8c.jpg

2011-06-04 09:31:16 補充：
這是C:&#92;&#92;WINDOWS&#92;&#92;Downloaded Program Files内的檔案資料

http://s280.photobucket.com/albums/kk189/vint5704/?action=view&current=DownloadedProgramFiles.jpg

有勞大師了

2011-06-05 10:11:16 補充：
感謝大師鼎力相助...

請大師移駕至回答區，簡述處理要點即可，以便選為最佳解答...
謝謝您...

? · Answer

圖片參考：https://sites.google.com/site/foxyxiazai/jian-yi-ni-xian-xia-zai-yi-xia-qing-chu-gong-ju-doc/5f8fbb1902ea9eea.jpeg

建議你先下載以下清除工具 然後重開機F8安全模式清掃病毒
如果不行的話..你在參考系統還原回覆正常系統運作^0^"

適合於F8安全模式下清除； 且隨身碟方便收藏、方便攜帶。
當您電腦身旁沒有網路可以尋求解毒時 這些備份工具可以成為清毒小幫手"
圖片參考：http://pic.wretch.cc/photos/icon/blog/smiley/msn/y11.gif

*趨勢[免費]清毒工具-詳情請閱覽官網下載網址：
http://www.trendmicro.com.tw/iclean/index.htm
*Avira AntiVir移除工具-小紅傘[免費]移除工具詳情請閱覽官網網址：
http://www.avira.com/zh-tw/support-download-avira-antivir-removal-tool
*2011/2/26 本日新增補充 費爾 W32.Virut 解毒工具(免費)官網下載網址：
http://www.filseclab.com/cht/tech/w32.virut.htm         
*賽門鐵克[免費]移除工具官網網址：
http://tw.norton.com/security_response/removaltools.jsp
[參考]建議下載：
01/04/07W32.Spybot.ANDM Removal Tool  (網頁英文說明)
11/29/06W32.Spybot.ACYR Removal Tool   (網頁英文說明)
03/14/04W32.Beagle.MO@mm Removal Tool (網頁繁體中文說明)
01/19/04W32.Beagle@mm Removal Tool    (網頁繁體中文說明)

*2011/2/14 
本日新增 IE清道伕是一套[免費]清理軟體 (繁體中文、多國語言)
*輔助清除瀏覽網頁殘留下的垃圾檔案清理系統功能
  CCleaner下載處

*2011/2/17本日新增 [免費]隨身碟防毒軟體 (書維部落格)
 *專殺kavo��毒 殺掉 硬碟 或隨身碟裡的 autorun.inf 跟ntdelect.com
*恢復 不能顯示影藏檔，有的病毒會讓系統無法顯示隱藏檔，
  用書維部落格提供的免費軟體可以改回來。
 http://blog.yam.com/changshuwei/article/24454391

*2011/3/5 本日新增 [免費]Windows系統醫生
*修復/修正 系統、登陸檔錯誤
*備份/復原 登錄檔功能 
*讓作業系統最佳狀態
  因為是免安裝的共享軟體可以自行弄個捷徑在桌面
http://www.FunP.Net/486877

*2011/3/18 本日新增 [免費]Windows軟體管理工具
*它可以提供詳細的應用程式清單、監控程式的運作，藉此可用來判斷病毒或者後門程式，
  與 Windows 的工作管理員大致上是差不多的軟體管理工具。
Magic Process Ver 1.0

*2011/4/27 本日新增 [免費]清除系統垃圾批次檔
*此批次檔略能清除u盤病毒、修正硬碟錯誤與系統異常問題。 
例如:異常DLL檔、恢復登錄檔
ms-dos清除垃圾

=============================================
*2011/4/4  本日新增 [免費]Firefox網頁瀏覽器
*它可以使用私密瀏覽功能；當你常逛大陸網頁或一些未知網頁時，讓您自由自在瀏覽網頁。
原文處

*2011/3/29 本日新增 [免費]一鍵還原系統 繁體中文版Ghost 8.3.060428 
*適用於Windows9X/ME/2000/XP/2003作業系統。
 *備份/還原/格式化 系統功能。
*它是網路上網友自製的免費共享軟體，不得做為商業用途！ghost備份系統、還原方式，可以一勞永逸，具經濟效益。

檔案名稱: 一鍵 GHOST 8.3.060428 繁體中文版﹝多項修正﹞.zip   文件大小: 4.13 MB

*建議微軟XP sp2作業系統用戶下載升級sp3 修正系統問題
*什麼是 Service Pack 3？:
http://www.microsoft.com/taiwan/windows/products/windowsxp/sp3/default.mspx
*Windows XP Service Pack 3 網路安裝套件 (適用於 IT 專業人員與開發人員) 
微 軟下載...

※以上資料來源FOXY的下載無名部落格
圖片參考：http://pic.wretch.cc/photos/icon/blog/smiley/msn/y11.gif

http://www.wretch.cc/blog/FOXYFOXYFOXY/9946207

svchost.exe 一直上傳資料

4 個解答