csrss - csrss.exe - 進程信息

進程文件： csrss 或者 csrss.exe

進程名稱： Microsoft Client/Server Runtime Server Subsystem

描述：

csrss.exe是微軟客戶端/服務端運行時子系統。該進程管理Windows圖形相關任務。這個程序對你系統的正常運行是非常重要的。 注意：csrss.exe也有可能是W32.Netsky.AB@mm、W32.Webus Trojan、Win32.Ladex.a等病毒創建的。該病毒通過Email郵件進行傳播，當你打開附件時，即被感染。該蠕蟲會在受害者機器上建立SMTP服務，用以自身傳播。該病毒允許攻擊者訪問你的計算機，竊取木馬和個人數據。這個進程的安全等級是建議立即進行刪除。

出品者： Microsoft Corp

屬于： Microsoft Windows Operating System

系統進程： 是 后臺程序：是 使用網絡： 否 硬件相關： 否

常見錯誤： 未知N/A 內存使用：未知N/A ? 安全等級 (0-5): 0

間諜軟件： 否 廣告軟件：否 病毒： 否 木馬： 否



正常情況下在 Windows NT/2000/XP/2003 系統中只有一個 csrss.exe 進程，正常位于 System32 文件夾中，若以上系統中出現兩個 csrss.exe 進程(其中一個位于 Windows 文件夾中)，或在 Windows 9X/Me 系統中出現該進程，則是感染了病毒。真正的csrss.exe只有4k；位于C:\Windows\Syetem32下。csrss.exe木馬，在C:\Windows下，大小52736字節；生成netstart.exe、WinSocks.dll、netserv.exe和一個0字節的tmp.out文件。netstart.exe大小117786字節，另兩個大小也是52736字節。前兩個位于C:\Windows\System32下，后兩個在當前用戶的Temp文件夾里。先進注冊表刪除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]和v[Runservice]下相應值，注銷重登錄，該進程消失，再刪除生成的文件。



explorer - explorer.exe - 進程信息

進程文件： explorer 或者 explorer.exe

進程名稱： Microsoft Windows Explorer

描述：

explorer.exe是Windows程序管理器或者Windows資源管理器，它用于管理Windows圖形殼，包括開始菜單、任務欄、桌面和文件管理。刪除該程序會導致Windows圖形界面無法適用。注意：explorer.exe也有可能是w32.Codered和w32.mydoom.b@mm病毒。該病毒通過email郵件傳播，當你打開病毒發送的附件時，即被感染。該病毒會在受害者機器上建立SMTP服務。該病毒允許攻擊者訪問你的計算機、竊取密碼和個人數據。該進程的安全等級是建議刪除。

出品者： Microsoft Corp.

屬于： Microsoft Windows Operating System

系統進程： 是 后臺程序：是 使用網絡： 否 硬件相關： 否

常見錯誤： 未知N/A 內存使用：未知N/A ? 安全等級 (0-5): 0

間諜軟件： 否 廣告軟件：否 病毒： 否 木馬： 否

這個木馬進入計算機后，產生主要的三個文件是：interapi32.dll,interapi64.dll,exp1orer.exe特別狡猾的是容易和Explorer.exe混淆。它是數字1不是字母l。這個病毒入駐進程以后，會大量的消耗系統資源，并會跟著資源管理器一同啟動。殺除方法如下：
1、關閉Xp系統的還原功能。具體的可以進入組策略查找或是右擊我的電腦屬性，關閉系統還原功能。
2、然后在運行鍵入regedit，打開注冊表編輯器。刪除以下鍵值
[HKEY_CLASSES_ROOT\\CLSID\\{081FE200-A103-11D7-A46D-C770E4459F2F}]
@="hookmir"



[HKEY_CLASSES_ROOT\\CLSID\\{081FE200-A103-11D7-A46D-C770E4459F2F}\\InprocServer32]
@="C:\\\\WINNT\\\\system32\\\\interapi64.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\\CLSID\\{081FE200-A103-11D7-A46D-C770E4459F2F}\\ProgID]
@="interapi64.classname"
[HKEY_CLASSES_ROOT\\interapi64.classname]
@="hookmir"

[HKEY_CLASSES_ROOT\\interapi64.classname\\Clsid]
@="{081FE200-A103-11D7-A46D-C770E4459F2F}"

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellExecuteHooks]
"{081FE200-A103-11D7-A46D-C770E4459F2F}"="hookmir"
3、重新啟動系統，進入文件夾選項菜單，單擊查看選項卡，顯示隱藏的文件和文件夾，顯示系統文件，擴展名。然后在Windows/WINNT（2000/NT)/system32下找到interapi32.dll,interapi64.dll,exp1orer.exe三個文件，將其刪除就可以了。
（注：exp1orer.exe偽裝成了jpg的圖片格式圖標。小心謹慎。還有文件夾選項卡在殺除病毒后可以自己把它改回到原來的狀態） iexplore - iexplore.exe - 進程信息

進程文件： iexplore 或者 iexplore.exe

進程名稱： Microsoft Internet Explorer

描述：

iexplore.exe是Microsoft Internet Explorer的主程序。這個微軟Windows應用程序讓你在網上沖浪，和訪問本地Interanet網絡。這不是純粹的系統程序，但是如果終止它，可能會導致不可知的問題。iexplore.exe同時也是Avant網絡瀏覽器的一部分，這是一個免費的基于Internet Explorer的瀏覽器。注意iexplore.exe也有可能是Trojan.KillAV.B病毒，該病毒會終止你的反病毒軟件，和一些Windows系統工具，該進程的安全等級是建議刪除。

出品者： Microsoft Corp.

屬于： Microsoft Internet Explorer

系統進程： 是 后臺程序：否 使用網絡： 是 硬件相關： 否

常見錯誤： 未知N/A 內存使用：未知N/A ? 安全等級 (0-5): 0

間諜軟件： 否 廣告軟件：否 病毒： 否 木馬： 否

現象：
1。系統進程中有iexplore.exe運行，注意，是小寫字母
2。搜索該程序iexplore.exe,不是位于C盤下的PROGRAMME文件夾，而是WINDOWS32文件夾。
解決方法：：
1。到C:\\WINDOWS\\system32下找到ixplore.exe 和 psinthk.dll 完全刪除之。

2。到注冊表中，找到HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion

\\Run “mssysint”= iexplore.exe,刪除其鍵值


internat - internat.exe - 進程信息

進程文件： internat 或者 internat.exe

進程名稱： Microsoft Input Locales

描述：

internat.exe是微軟Windows多語言輸入程序。這個程序對你系統的正常運行是非常重要的。internatt.exe也有可能是Win32.Lydra.a木馬的一部分。該木馬允許攻擊者訪問你的計算機，竊取密碼和個人數據。該進程的安全等級是建議刪除。

出品者： Microsoft Corp.

屬于： Microsoft Windows Operating System

系統進程： 是 后臺程序：是 使用網絡： 否 硬件相關： 否

常見錯誤： 未知N/A 內存使用：未知N/A ? 安全等級 (0-5): 0

間諜軟件： 否 廣告軟件：否 病毒： 否 木馬： 否



將監聽程序偽裝成Windows的啟動文件internat.exe，將原System目錄內的同名文件拷入 Windows目錄，將本目錄文件更名為smaxinte.exe ，從而實現啟動隱身后臺運行。Windows目錄中的sqwin.ini是其運行記錄文件。
啟動：隨系統啟動，駐留后臺運行。
外在表現：Windows目錄下存在internat.exe和sqwin.ini文件，System目錄下internat.exe長度為196KB（真實的internat.exe大概為32K），同時出現smaxinte.exe文件，長度大約37KB。



對策：刪除Windows目錄中的internat.exe和sqwin.ini文件，因System中的監聽程序正在運行，所以無法直接刪除，可用下列方式進行刪除：
1、用內存管理程序移掉內存中的Internat，然后刪除system中的internat.exe，將smaxinte.exe改名為internat.exe。

2、將internat.exe的系統屬性改為普通，退到純DOS下，再刪除System中的internat.exe，將smaxinte.exe改名為internat.exe
kernel32 - kernel32.exe - 進程信息

進程文件：kernel32 或者 kernel32.exe

進程名稱： Floodnet virus

描述： kernel32.exe是Floodnet病毒的一部分，通過Outlook發送郵件進行傳播。這個進程的安全等級是建議立即進行刪除。

出品者： 未知N/A

屬于： Floodnet virus

系統進程： 否 后臺程序：否 使用網絡：是 硬件相關： 否

常見錯誤： 未知N/A 內存使用：未知N/A ? 安全等級 (0-5): 0

間諜軟件： 否 廣告軟件：否 病毒： 否 木馬： 否



冰河的服務器端程序為G-server.exe，客戶端程序為G-client.exe，默認連接端口為7626。一旦運行G-server，那么該程序就會在C:\Windows\system目錄下生成Kernel32.exe和sy***plr.exe，并刪除自身。Kernel32.exe在系統啟動時自動加載運行，sy***plr.exe和TXT文件關聯。即使你刪除了Kernel32.exe，但只要你打開TXT文件，sy***plr.exe就會被激活，它將再次生成Kernel32.exe。
清除方法：
1.刪除C:\Windows\system下的Kernel32.exe和Sy***plr.exe文件；

2.冰河會在注冊表HKEY_LOCAL_ MACHINE\software\microsoft\windows\ CurrentVersion\Run下扎根，鍵值為C:\windows\system\Kernel32.exe，刪除它；
3.在注冊表的HKEY_LOCAL_ MACHINE\software\microsoft\windows\ CurrentVersion\Runservices下，還有鍵值為C:\windows\system\Kernel32.exe的，也要刪除；
4.最后，改注冊表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默認值，由表中木馬后的C:\windows\system\Sy***plr.exe %1改為正常的C:\windows\notepad.exe %1，即可恢復TXT文件關聯功能。


rundll - rundll.exe - 進程信息

進程文件： rundll 或者 rundll.exe

進程名稱： Microsoft RunDLL

描述：

rundll.exe是Windows 95/98/Me系統的一部分。這個程序對你系統的正常運行是非常重要的。注意：rundll.exe也可能是LOXOSCAM和Backdoor.SchoolBus.B木馬的一部分。該病毒會在Windows XP和2000中出現。該病毒允許攻擊者訪問你的計算機。該進程的安全等級是建議立即刪除。

出品者： Microsoft

屬于：Microsoft Windows 9x Operating System

系統進程： 是 后臺程序：是 使用網絡： 是 硬件相關： 否

常見錯誤： 未知N/A 內存使用：未知N/A ? 安全等級 (0-5): 0

間諜軟件： 否 廣告軟件：否 病毒： 否 木馬： 否

rundll32 - rundll32.exe - 進程信息

進程文件： rundll32 或者 rundll32.exe

進程名稱： Microsoft Rundll32

描述：

rundll32.exe用于在內存中運行DLL文件，用于需要調用DLLs的程序。它們會在應用程序中被使用。這個程序對你系統的正常運行是非常重要的。注意：rundll32.exe也可能是W32.Miroot.Worm病毒。該病毒允許攻擊者訪問你的計算機，竊取密碼和個人數據。該進程的安全等級是建議立即刪除。

出品者： Microsoft Corp.

屬于：Microsoft Windows Operating System

系統進程： 是 后臺程序：是 使用網絡： 否 硬件相關： 否

常見錯誤： 未知N/A 內存使用：未知N/A ? 安全等級 (0-5): 0

間諜軟件： 否 廣告軟件：否 病毒： 否 木馬： 否

Rundll.exe，可以把它分成兩部分，Run(運行)和DLL(動態數據庫)，所以，此程序的功能是運行那些不能作為程序單獨運行的DLL文件。

Rundll32.exe則用來運行32位DLL文件。Windows 2000/XP都是NT內核系統，其代碼都是純32位的，所以在這兩個系統中，就沒有rundll.exe這個程序！！！！！！

相反，Windows 98代碼夾雜著16位和32位，所以同時具有Rundll32.exe和Rundll.exe兩個程序。這就是為什么Windows 98的System文件夾為主系統文件夾，而到了Windows 2000/XP時就變成System32為主系統文件夾(這時的System文件夾是為兼容16位代碼設立的)。

無論是Rundll32.exe或Rundll.exe，獨立運行都是毫無作用的，要在程序后面指定加載DLL文件。在Windows的任務管理器中，我們只能看到rundll32.exe進程，而其實質是調用的DLL。我們可以利用進程管理器等軟件來查看它具體運行了哪些DLL文件。
有些木馬是利用Rundll32.exe加載DLL形式運行的，但大多數情況下Rundll32.exe都是加載系統的DLL文件，不用太擔心。另外要提起的是，有些病毒木馬利用名字與系統常見進程相似或相同特點，瞞騙用戶。所以,要確定所運行的Rundll32.exe是在%systemroot%\system32目錄下的，注意文件名稱也沒有變化。


作者： nibapingping 2007-3-7 13:36 　 回復此發言

--------------------------------------------------------------------------------

4 回復：關于可以進程（木馬）的手動殺除方法1（想加精）
lsass - lsass.exe - 進程信息

進程文件： lsass 或者 lsass.exe

進程名稱： Local Security Authority Service

進程名稱： lsass.exe是一個系統進程，用于微軟Windows系統的安全機制。它用于本地安全和登陸策略。注意：lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm創建的，病毒通過軟盤、群發郵件和P2P文件共享進行傳播。

出品者： Microsoft Corp.

屬于： Microsoft Windows Operating System

系統進程： 是 后臺程序：是 使用網絡： 否 硬件相關： 否

常見錯誤： 未知N/A 內存使用：未知N/A ? 安全等級 (0-5): 0

間諜軟件： 否 廣告軟件：否 病毒： 否 木馬： 否

XP癥狀：
進程里同時有兩個lsass.exe運行.其中一個大寫的LSASS.EXE
啟動項里有 ToP.exe 怎么都刪不掉
開始菜單里的IE瀏覽器變成 INTEXPLORE
D：盤雙擊無法打開，里面有autorun.ini文件
1、進程管理器查看了一下進程，發現有二個lsass.exe，其中一個是系統正常進程，一個標記為可疑進程，先中斷這個可疑進程LSASS.exe；
2、我的電腦-->工具(T)-->文件夾選項(O)...-->查看-->選擇“顯示所有文件和文件夾”，并把隱藏受保護的操作系統文件（推薦）前的勾去掉，這時會彈出一個警告，選擇是，至此就顯示了所有的隱藏文件了。
3、刪除以下幾個文件（全部為病毒生成的文件，為隱藏屬性的，放心刪吧）：
C:\Program Files\Common Files\INTEXPLORE.pif
C:\Program Files\Internet Explorer\INTEXPLORE.com
C:\WINDOWS\EXERT.exe
C:\WINDOWS\IO.SYS.BAK
C:\WINDOWS\LSASS.exe
C:\WINDOWS\Debug\DebugProgram.exe
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\regedit.com
記住，以上缺一不可！
4、在D:盤上點擊鼠標右鍵，選擇“打開”。刪除掉該分區根目錄下的“Autorun.inf”和“command.com”文件。
5、刪除注冊表中的其他垃圾信息，這個病毒改寫的注冊表位置相當多，如果不進行修復將會有一些系統功能發生異常。
將Windows目錄下的"regedit.exe"改名為"regedit.com"并運行，刪除以下項目：
一、HKEY_CLASSES_ROOT\WindowFiles
二、HKEY_CURRENT_USER\Software\VB and VBA Program Settings
三、HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 下面的Check_Associations項
四、HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif
五、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下面的ToP項
六、將HKEY_CLASSES_ROOT\.exe的默認值修改為 "exefile"(原來是windowsfile)
七、將HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command
的默認值修改為 "C:\Program Files\Internet Explorer\iexplore.exe" %1 (原來是intexplore.com)
八、將HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}
\shell\OpenHomePage\Command 的默認值修改為 "C:\Program Files\Internet Explorer\IEXPLORE.EXE"(原來是INTEXPLORE.com)
九、將HKEY_CLASSES_ROOT\ftp\shell\open\command 的默認值修改為"C:\Program Files\Internet Explorer\iexplore.exe" %1 (原來的值分別是INTEXPLORE.com和INTEXPLORE.pif)

HKEY_CLASSES_ROOT\htmlfile\shell\open\command HKEY_CLASSES_ROOT\HTTP\shell\open\command的默認值修改為

"C:\Program Files\Internet Explorer\iexplore.exe" –nohome

十一、將HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet 的默認值修改為"IEXPLORE.EXE".(原來是INTEXPLORE.pif)



重新將Windows目錄下的regedit擴展名改回exe，至此病毒清除成功，
重啟電腦按F8進入帶命令行的安全模式，
輸入assoc(空格).exe=exefile(回車)
再重新啟動就好了


services - services.exe - 進程信息

進程文件： services 或者 services.exe

進程名稱： Windows Service Controller

描述：

services.exe是微軟Windows操作系統的一部分。用于管理啟動和停止服務。該進程也會處理在計算機啟動和關機時運行的服務。這個程序對你系統的正常運行是非常重要的。注意：services也可能是W32.Randex.R(儲存在%systemroot%\system32\目錄)和Sober.P (儲存在%systemroot%\Connection Wizard\Status\目錄)木馬。該木馬允許攻擊者訪問你的計算機，竊取密碼和個人數據。該進程的安全等級是建議立即刪除。

出品者： Microsoft Corp.

屬于：Microsoft Windows Operating System

系統進程： 是 后臺程序：是 使用網絡： 否 硬件相關： 否

常見錯誤： 未知N/A 內存使用：未知N/A ? 安全等級 (0-5): 0

間諜軟件： 否 廣告軟件：否 病毒： 否 木馬： 否

services也可能是W32.Randex.R(儲存在%systemroot%\system32\目錄)和Sober.P (儲存在%systemroot%\Connection Wizard\Status\目錄)，中毒后共產生14個文件＋3個快捷圖標＋2個文件夾。注冊表部分，除了1個Run和System.ini，比較有特點是，非普通地利用了EXE文件關聯，先修改了.exe的默認值，改.exe從默認的 exefile更改為winfiles，然后再創建winfiles鍵值，使EXE文件關聯與木馬掛鉤。即為中毒后，任意一個EXE文件的屬性，“應用程序”變成“EXE文件”



》》》》》快速解決方法：

（1）結束系統中進程名為：Services.exe和java.exe（在%windows%目錄中）
（2）刪除系統臨時目錄中的兩個病毒數據文件：MLITGB.LOG和ZINCITE.LOG
（3）刪除病毒鍵立的注冊表鍵：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
“JavaVM”=%WINDOWS%\java.exe
和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
“Services”=%WINDOWS%\Services.exe
注： %WINDOWS% 是指系統的windows目錄，在Windows 9X/ME/XP下默認為:
C:\WINDOWS，Win2K下默認為:C:\WINNT



》》》》》》》》》徹底解決方案：

一、注冊表：先使用注冊表修復工具，或者直接使用regedit修正以下部分
1.SYSTEM.INI （NT系統在注冊表： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon）
shell = Explorer.exe 1 修改為shell = Explorer.exe
2.將 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的
Torjan Program----------C:\WINNT\services.exe刪除
3. HKEY_Classes_root\.exe默認值 winfiles 改為exefile
4.刪除以下兩個鍵值：HKEY_Classes_root\winfiles
HKEY_Local_machine\software\classes\winfiles
5. 打開注冊表編輯器，依此分別查找“rundll32.com”、“finder.com”、“command.pif”，把找到的內容里面的“rundll32.com”、“finder.com”、“command.pif”分別改為“Rundll32.exe”
6. 查找“iexplore.com”的信息，把找到的內容里面的“iexplore.com”改為“iexplore.exe”
7. 查找“explorer.com”的信息，把找到的內容里面的“explorer.com”改為“explorer.exe”
8. 查找“iexplore.pif”，應該能找到類似“%ProgramFiles%\Common Files\iexplore.pif”的信息，把這內容改為“C:\Program Files\Internet Explorer\iexplore.exe”
9. 刪除病毒添加的文件關聯信息和啟動項：
[HKEY_CLASSES_ROOT\winfiles]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\services.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Torjan Program"="%Windows%\services.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"
改為
"Shell"="Explorer.exe"
10. 這些是病毒釋放的一個VB庫文件（MSWINSCK.OCX）的相關信息，不一定要刪除：
HKEY_CLASSES_ROOT\MSWinsock.Winsock
HKEY_CLASSES_ROOT\MSWinsock.Winsock.1
HKEY_CLASSES_ROOT\CLSID\
HKEY_CLASSES_ROOT\CLSID\
HKEY_CLASSES_ROOT\Interface\
HKEY_CLASSES_ROOT\Interface\
HKEY_CLASSES_ROOT\TypeLib\
注：因為病毒修改了很多關聯信息，所以在那些病毒文件沒有被刪除之前，請不要做任何多余的操作，以免激活病毒！！！！！！！！！！！！

二、然后重啟系統，刪除以下文件部分，注意打開各分區時，先打開“我的電腦”后請使用右鍵單擊分區，選“打開”進入。或者直接執行附件的Kv.bat來刪除以下文件
c:\antorun.inf （如果你有多個分區，請檢查其他分區是否有這個文件，有也一并刪除）
%programfiles%\common files\iexplore.pif
%programfiles%\Internat explorer\iexplore.com
%windir%\1.com
%windir%\exeroute.exe
%windir%\explorer.com
%windir%\finder.com
%windir%\mswinsck.ocx
%windir%\services.exe
%windir%\system32\command.pif
%windir%\system32\dxdiag.com
%windir%\system32\finder.com
%windir%\system32\msconfig.com
%windir%\system32\regedit.com
%windir%\system32\rundll32.com
刪除以下文件夾：
%windir%\debug
%windir%\system32\NtmsData
spoolsv - spoolsv.exe - 進程信息

進程文件： spoolsv or spoolsv.exe

進程名稱： Microsoft Printer Spooler Service

描述：

spoolsv.exe用于將Windows打印機任務發送給本地打印機。注意spoolsv.exe也有可能是Backdoor.Ciadoor.B木馬。該木馬允許攻擊者訪問你的計算機，竊取密碼和個人數據。該進程的安全級別是建議立即刪除。

出品者： Microsoft Corp.

屬于：Microsoft Windows 2000 and later

系統進程： 是 后臺程序：是 使用網絡： 否 硬件相關： 否

常見錯誤： 未知N/A 內存使用：未知N/A ? 安全等級 (0-5): 0

間諜軟件： 否 廣告軟件：否 病毒： 否 木馬： 否



根據病毒信息提供兩種得查殺方法:
第一種：
1、在安全模式下進入系統目錄system32刪除文件夾spoolsv和miscn以及1116
2、開始菜單運行regedit打開注冊表編輯器，找到
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"="%System%\spoolsv\spoolsv.exe -printer" 刪除該項
3、在注冊表中搜索spoolsv文件夾（注意是文件夾不是文件），刪除
4、在注冊表編輯器中打開下面的分支并使用組合鍵ctrl+f進行查找如下內容：
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1
[HKEY_CLASSES_ROOT\TypeLib\{8B200623-3FC5-4493-8B49-DC2AD4830AF4}
[HKEY_CLASSES_ROOT\Interface\{4A775183-9517-420E-9A13-D3DA47BB8A84}找到以后進行刪除
5、運行注冊表清里軟件清理注冊表，比如超級兔子，優化大師，惡意軟件清理助手等都可以，此步驟也可以不執行。
第二種：
在桌面建一個TXT文件并顯示擴展名,改名為spools.exe后將文件屬性改為只讀,將這個假的病毒覆蓋c:\winnt\system32\spoolsv\的44K真病毒.。這種雖然方便但是遺留隱患。



svchost - svchost.exe - 進程信息

進程文件： svchost 或者 svchost.exe

進程名稱： Microsoft Service Host Process

描述：

svchost.exe是一個屬于微軟Windows操作系統的系統程序，用于執行DLL文件。這個程序對你系統的正常運行是非常重要的。注意：svchost.exe也有可能是W32.Welchia.Worm病毒，它利用Windows LSASS漏洞，制造緩沖區溢出，導致你計算機關機。該進程的安全等級是建議立即刪除。

出品者： Microsoft Corp.

屬于： Microsoft Windows Operating System

系統進程： 是

后臺程序： 是

使用網絡： 是

硬件相關： 否

常見錯誤： 未知N/A

內存使用： 未知N/A

安全等級 (0-5): 0

間諜軟件： 否

Adware: 否

病毒： 否

木馬: 否

svchost.exe”文件存在于“%systemroot% system32”目錄下，它屬于共享進程。隨著windows系統服務不斷增多。“w32.welchia.worm”病毒存在于“c:\windows\system32wins”目錄中，因此使用進程管理器查看svchost進程的執行文件路徑就很容易發現系統是否感染了病毒。windows系統自帶的任務管理器不能夠查看進程的路徑，可以使用第三方進程管理軟件，如“windows優化大師”進程管理器，通過這些工具就可很容易地查看到所有的svchost進程的執行文件路徑，一旦發現其執行路徑為不平常的位置就應該馬上進行檢測和處理。

在命令提示行下輸入Tasklist/svc,查看svchost后面的信息描述，如果有提示暫缺，一般就為木馬進程（其他進程可以為暫缺），利用任務管理器查看進程的出現的地方，刪除即可。

清除SVCHOST.exe和wauserv.exe病毒的方法！
第一步：拔掉網線，從開始菜單-------附件-------系統工具-----安全中心------windows防火墻，將tcp、tel。。等幾個刪掉；（這步本人認為可以不做）
第二步： ---進程管理器------結束svchost.exe（圖標象VB的那個）和wauserv.exe；
第三步：開始菜單---運行---regedit；先找到下面的項：
HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT \CurrentVersion \Winlogon
在左邊點一下winlogon，然后在右邊的Userinit雙擊，將Userinit.exe, 后面的全部刪除！
然后再找到：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL；
在左邊點一下SHOWALL，然后在右邊雙擊checkedvalue，將0改為1即可。
按F5。
第四步：打開C盤，然后選擇：工具----文件夾選項----查看-----將“隱藏受保護的操作系統文件”前面的對號去掉，選中“顯示所有文件和文件夾”---應用----確定。然后進入windows---system32，找到system32下面的scvhost文件夾，將這個文件夾整個刪除！然后在system32文件夾下右鍵點擊“排列圖標”---選擇“按類型”，然后在system32文件夾的最下面你會發現兩個擴展名為.reg的文件，將這兩個東西全部刪掉！，然后再在system32文件夾下面找到wauserv.exe，將其刪除！！！
第五步：然后逐個右鍵打開，刪除其下面的可疑文件！！！
winlogon - winlogon.exe - 進程信息

進程文件： winlogon or winlogon.exe

進程名稱： Microsoft Windows Logon Process

描述：

WinLogon.exe是Windows NT登陸管理器。它用于處理你系統的登陸和登陸過程。該進程在你系統的作用是非常重要的。注意：winlogon.exe也可能是W32.Netsky.D@mm蠕蟲病毒。該病毒通過Email郵件傳播，當你打開病毒發送的附件時，即會被感染。該病毒會創建SMTP引擎在受害者的計算機上，群發郵件進行傳播。該病毒允許攻擊者訪問你的計算機，竊取密碼和個人數據。該進程的安全等級是建議刪除。




該木馬可能是落雪木馬，可以使用落雪木馬專殺工具查殺。


手動查殺方法：首先：
C:\Windows\system32 里，把cmd.exe文件復制出來，改名成cmd.com，然后雙擊這個COM文件（被木馬搞壞掉了exe文件連接）
CMD 在命令符里面輸入ntsd -c q -p PID編號(注意空格)（PID 在任務管理器里面——查看——選擇列——PID 打勾） 強行結束winlogon.exe

輸入以下命令：(注意空格)
assoc .exe=exefile
ftype exefile="%1" %*（在DOS下運行“ftype exefile=%1 %*”或“assoc .exe=exefile”命令也可以恢復EXE文件的關聯，其他方法也可以：例如先將Windows目錄下的注冊表編輯器“Regedit.exe”改為“Regedit.com”，然后運行它，依次找到HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command，雙擊“默認”字符串，將其數值改為"%1" %*就可以了）

按照順序刪除下面這些文件（這個過程中關掉所有其他的程序也不要新開程序.時刻注意進程有沒有增加）：
(注意:看不到文件是因為沒打開"隱藏受保護的系統文件".
xp下是在任意文件夾菜單上的
工具->文件夾選項->查看
把隱藏受保護的系統文件的勾取消.
還有.選上顯示所有文件)
D:\autorun.inf (最好只用右鍵打開.雙擊的話D盤的autorun.inf文件會使病毒重新啟動) D:\pagefile.com
C:\Program Files\Internet Explorer\iexplore.com C:\Program Files\Common Files\iexplore.com
C:\WINDOWS\1.com C:\WINDOWS\winlogon.exe C:\WINDOWS\iexplore.com
C:\WINDOWS\finder.com C:\WINDOWS\Exeroute.exe C:\WINDOWS\Debug\debugProgramme.exe
C:\Windows\system32\command.com 這個不要輕易刪，看看是不是和下面幾個日期不一樣而和其他文件日期一樣，如果和其他文件大部分系統文件日期一樣就不能刪，當然系統文件肯定不是這段時間的。
C:\Windows\system32\msconfig.com C:\Windows\system32\regedit.com C:\Windows\system32\dxdiag.com
C:\Windows\system32\rundll32.com C:\Windows\system32\finder.com

C:\Windows\system32\a.exe(也許沒有)
打開注冊表工具regedit.
具體是在開始->運行里輸入regedit
然后再尋找HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
有一個Torjan pragramme.刪!
另一個[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]中
把"Shell"="Explorer.exe 1"恢復為"Shell"="Explorer.exe"