svch0st.exe是木马生成的病毒文件。该木马允许攻击者访问你的计算机，窃取密码和个人数据。这个进程的安全等级是建议立即进行删除。

进程文件： svch0st or svch0st.exe

进程位置： 系统或windir

程序名称： Troj_Dingxa.A网银大盗Ⅱ或Troj.Downloader.bk

又名：密码监视者，QQ宠物陷阱，传奇宝贝4.0木马病毒

程序用途： 木马病毒 用于窃密或自动从网上下载后门的木马病毒。

出品者： 未知N/A

属于： N/A

系统进程： 是

使用网络： 是

硬件相关： 否

常见错误： 未知N/A

内存使用： 未知N/A

间谍软件： 是

广告软件： 是

Virus（病毒）: 是

木马: 是

后台程序： 是

使用网络： 是

硬件相关： 否

安全等级： 低

svch0st.exe和系统进程svchost.exe只差一个字符，注意svch0st.exe中的0这个是数字零，而系统进程svchost.exe中的o是字母O。

该病毒运行后在系统文件夹

随后病毒修改注册表，以达到随系统启动而自动运行的目的，在

病毒运行后检查IE窗口标题栏，判定当前窗口是否为网上银行的登陆页面，涉及到国内多家银行的网上交易系统。一旦发现当前IE窗口为上述银行的登陆页面，病毒立即开始记录键盘输入的所有键值，记录的键值几乎包括了所有可能的键盘录入。窃取的用户信息包括网上银行的账号、密码、验证码等。当病毒截获被感染计算机所输入的键盘值后，将其窃取到的信息发送到指定的地址。

1、终止病毒进程

在Windows 9x/ME系统

2、注册表的恢复

3、删除病毒释放的文件

4、配置防火墙和边界路由器

根据病毒的技术特点，设置防火墙和边界路由器的规则，阻断病毒的入侵。

“下载者”(Troj.Downloader.bk)是一个会自动从网上下载后门的木马病毒。该该病毒将拷贝其病毒文件到系统目录下，命名为svch0st.exe，并改写相关注册表使任务管理器被禁用。该病毒在后台偷偷下载后门安装，使用户主机受到后门病毒严重感染。

该病毒也是“灰鸽子变种E(Backdoor.HuiGeZi.e)”病毒，该病毒修改注册表创建系统服务dnscacha实现自启动，运行后，病毒会在系统目录里释放病毒文件，文件名分别为“SVCH0ST.DLL”和“SVCH0ST.EXE”“SVCH0ST.bat”“SVCH0STkey.dll”“SVCH0ST_hook.dll”“Microsoft Winshell.exe”。 频繁修改注册表启动项，保证下次系统启动时，病毒可以自动运行。把“SVCH0ST.DLL”加载到系统进程explorer.exe中。由于目前该病毒采取了免杀技术，普通杀毒软件无法查获。

其默认属性为隐藏，无存档和只读属性。与其同一目录还一个autorun.inf也是只有隐藏属性，其内容为

[AutoRun]

OPEN=svch0st.exe

资源管理器(&X)

未运行的svch0st.exe，360和最新安天查不出来，卡巴最新可以查杀。（测试时间08.6.1，17：08）