【求助】SOS这是不是病毒？？！！

上邪

为什么我的任务管理器里面有好几个rundll32.exe和svchost.exe？
是不是病毒？是否应该结束进程？？
SOS

上邪

ding

上邪

今天就没有相同的执行文件了！
到底是不是病毒呢？？？？？？

alen

rundll32.exe（Windows RUNDLL32 Helper） 进程是Windows Rundll32为了需要调用DLLs的程序。不是系统进程。
svchost.exe（Service Host Process） 是一个标准的动态连接库主机处理服务。是系统进程。
现在有些木马和病毒会附加到这两个进程里面。主要检查方法如下：
打开Windows任务管理器-->进程.   在菜单栏选择查看-->选项列--->选择线程计数点击确定。现在在进程栏就可以查看到各进程的相关线程数，只要svchost.exe进程的线程数加起来不会几百一般都没有事。
至于rundll32.exe进程就要好好检查了。这有可能是木马。这个木马能自己变化，所以它的一些早期版本能被NAV识别，但新的、变化后的就不能。所以目前只能自己手工来查杀！
1. 现象：打开任务管理器，如果有rundll.exe进程，那么恭喜，你大概是中木马了。

2. 查找：打开注册表键HKEY_CLASSES_ROOT\exefile\shell\open\command，如果发现这个键的默认值里有rundll.exe，那么可以确定，你中木马了。

3. 清除：
(1). 在任务管理器中中止rundll.exe进程;
(2). 在注册表键HKEY_CLASSES_ROOT\exefile\shell\open\command中，修改键值为["%1" %*]。注意：没有方括号。
(3). 在winnt\system32目录下找到rundll.exe，查看属性，如果能有“版本”属性页，显示版权为“(C) Microsoft Corporation....”，那么该文件没有木马，否则请删除之。
(4). 对system32目录下的rundll32.exe，按照步骤(3)识别并清除。
(5). 你可能需要从操作系统盘中恢复rundll32.exe和rundll.exe。

4. 原理：
这个木马不并挂在启动程序列表中，而是挂在exefile的文件关联中。这样每次你通过资源管理器或者快捷方式打开一个.exe文件时，就会首先启动一次rundll.exe。
木马被安装在rundll.exe文件中，但是，它同时使用WWPACK进行了压缩。可能WWPACK是经过算法修改的，所以NAV一类的杀毒软件无法从rundll.exe中解出并查杀木马。
被安装的木马通常会是Download.Trojan。我并不清楚它的危害。

5. 其它
木马会被同时压缩到rundll32.exe中，如果仅是清除rundll.exe，那么一段时间后，某些应用程序激活rundll32.exe时，木马会从rundll32.exe中自动解出rundll.exe并安装自已。

上邪

加了线程，遗憾地发现到底没有病毒！