网友遇到scvhsot.exe，SVCH0ST.EXE,wincabb.exe,wmcony.exe等-优快云博客

本文针对遭遇Trojan-PSW.Win32.WOW.ms等木马的用户提供了详细的清除步骤，包括安全模式启动、系统还原关闭、文件查找及删除、注册表清理等关键操作。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

endurer 原创

2006-12-20 第1版

有一位网友发email来说，他遇到了与

遭遇Trojan-PSW.Win32.WOW.ms、Trojan.PSW.Lmir.lnv等木马

相似的问题，并附带了 HijackThis 扫描的简明log，可惜没有ProcView的进程列表。

在log中发现如下可疑项目：
/------
Logfile of HijackThis v1.99.1
Platform: Windows XP SP2 (WinNT 5.01.2600)

C:/WINDOWS/system32/scvhsot.exe
C:/DOCUME~1/yu/LOCALS~1/Temp/wincabb.exe

O4 - HKLM/../Run: [QQKAV] C:/WINDOWS/system32/scvhsot.exe
O4 - HKCU/../Run: [myZt] C:/WINDOWS/east/SVCH0ST.EXE
O4 - HKCU/../Run: [svc] C:/DOCUME~1/yu/LOCALS~1/Temp/wmcony.exe

O20 - AppInit_DLLs: 235780M.BMP

O23 - Service: MGAFGEXE - Matrox Graphics Inc. - C:/WINDOWS/system32/mgafg.exe
------/

修复建议：

以下操作方法可参考:【系统修复系列之】基本操作索引
http://endurer.blogchina.com/2591241.html

重启电脑到安全模式下

关闭系统还原功能

用WinRAR找到下列文件，打包备份后删除：
/------
C:/WINDOWS/system32/scvhsot.exe（注意：不是svchost.exe）
C:/WINDOWS/east/SVCH0ST.EXE
C:/Documents and Settings/yu/Local Settings/Temp/wincabb.exe
C:/Documents and Settings/yu/Local Settings/Temp/wmcony.exe
235780M.BMP(一般在c:/windows中)
------/

用WinRAR找到文件C:/WINDOWS/system32/mgafg.exe，打包备份，但不要删除。

关闭所有文件夹和IE窗口，用HijackThis修复下列项目：
/------
O4 - HKLM/../Run: [QQKAV] C:/WINDOWS/system32/scvhsot.exe
O4 - HKCU/../Run: [myZt] C:/WINDOWS/east/SVCH0ST.EXE
O4 - HKCU/../Run: [svc] C:/DOCUME~1/yu/LOCALS~1/Temp/wmcony.exe

O20 - AppInit_DLLs: 235780M.BMP
------/

清空IE临时文件夹。