iT邦幫忙

0

開機找不到LocalSettings\Temp\svchost.exe

上週六幫全部同事到安全模式掃毒,有部份同事在C:\document and setting\帳戶\Local Settings\Temp\svchost.exe發現病毒,並被卡巴刪除.但重新開機後都會出現以下訊息:
"Windows找不到檔案或項目'C:\document and setting\使用者帳戶\Local Settings\Temp\svchost.exe'請檢查鍵入的名稱是否正確."
請問那位前輩遇過這個問題嗎? 該如何處理? 謝謝!
帳戶都有加入AD,有些人是用Windows 7,部份是Windows XP.

6
vino1
iT邦大師 1 級 ‧ 2011-11-01 17:40:54
最佳解答

底下這些機碼部份建議您詳看一下:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnceEx
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
另外請您看一下您的服務有無多了一個 Service Host 等類似的服務
然後執行的文件是 C:/DOCUME~1/%username%/LOCALS~1/Temp/svchost.exe

trudyen iT邦新手 5 級 ‧ 2011-11-02 10:41:39 檢舉

謝謝回應,已詳細檢查過以上四筆機碼,但未發現svhost.exe.
另檢查服務裏是有一筆Diagnotic Service Host,但它執行的路徑是"C:/Windows/System32/svchost.exe並不是Temp\svchost.exe
所以還是沒辦法解決.

vino1 iT邦大師 1 級 ‧ 2011-11-02 12:04:09 檢舉

您好
請下載 http://xuetr.com/download/XueTr.zip 並解壓縮
在有問題的那台電腦執行 XueTr.exe , 到該軟體介面的[啟動項]裡面找找看

trudyen iT邦新手 5 級 ‧ 2011-11-03 14:52:33 檢舉

謝謝vino1之協助,已下載執行XueTr,但在啟動項找不到相關路徑及執行檔.
所有啟動項目都是正常需要啟動的程式.

6
Tony
iT邦高手 4 級 ‧ 2011-11-01 15:46:04

請執行regedit, 以temp\svchost.exe為關鍵字, 將搜尋到的機碼或資料或值刪除後, 再重新開機後試試

trudyen iT邦新手 5 級 ‧ 2011-11-01 16:36:20 檢舉

找過了,曾使用regedit搜尋過三台有此問題的電腦,都沒有找到在Temp下面的svchost.exe.

6
fdlintw
iT邦研究生 4 級 ‧ 2011-11-01 15:47:38

最簡單的方式是開啟msconfig
然後再找出相關路徑的執行程式,接著再取消掉那行指令就行了

如果連msconfig也找不到相關的話
那只好開啟regedit
然後再用搜尋的方式,找出完全相同的路徑項目,接著就是刪除掉即可

trudyen iT邦新手 5 級 ‧ 2011-11-01 16:38:15 檢舉

謝謝回應,使用過msconfig找不到相關的項目.也使用過regedit搜不到Temp\svchost.exe.

4
oowo
iT邦高手 1 級 ‧ 2011-11-01 17:29:24

預設的開啟程式有東西指到它那…
用SystemExplorer之類的去看啟動那是否有一隻連接到Temp\svchost.exe的路徑…
有就是它了…

trudyen iT邦新手 5 級 ‧ 2011-11-02 11:22:41 檢舉

謝謝回應,已下載執行SystemExplorer,並依網友提供之操作手冊檢查每個程序,並未發現連接到Temp\svchost.exe的路徑.

2
jazozazo
iT邦高手 1 級 ‧ 2011-11-02 09:42:57

把有問題的電腦硬碟拆起來後
拿去另一台較為正常的主機掃毒
看一下能抓到哪些毒吧
順便再回去有問題的主機上查詢登錄檔試試看

trudyen iT邦新手 5 級 ‧ 2011-11-02 10:42:47 檢舉

謝謝回應. 已把硬碟拆下,並掛在另一台PC完整掃毒,並未發現病毒.

2
jerryxxx
iT邦新手 3 級 ‧ 2011-11-02 16:20:25

『svchost.exe應用程式錯誤,應用程式發生例外,不明的軟體例外錯誤(0xc0000409)於位置0x69a0a3c0』類似這樣的錯誤訊息視窗
這個情況,經微軟證實,是其作業系統之漏洞。修補方法請先上微軟網站,下載 KB921883 該修正檔,並安裝至電腦上。

微軟相關網址:http://www.microsoft.com/downloads/details.aspx?FamilyID=2996b9b6-03ff-4636-861a-46b3eac7a305&DisplayLang=zh-tw
其他Windows 2000、xp、Server 2003版本,請至微軟官方網站下載即可
https://www.microsoft.com/taiwan/technet/security/bulletin/MS06-040.mspx

為了電腦系統的安全及穩定性,請定時上微軟網站檢查是否有相關安全性更新檔案。

frogsoul iT邦新手 4 級 ‧ 2011-11-02 18:31:41 檢舉

答非所問啊... @@"
看清楚人家的問題再回答吧...

trudyen,有可能這個程式是系統啟動時,某隻程式或服務嘗試去執行的。
試試檢查啟動項目是否有不明的程式被執行了。
不然就想辦法在視窗跳出時,嘗試去看該Process的CallStack,也許有機會看到是誰呼叫的。

trudyen iT邦新手 5 級 ‧ 2011-11-03 08:48:47 檢舉

謝謝jerryxxx的回應,我看過您提供的連結,是針對XP SP1及SP2的修正程式,但我們的User是WinXP SP3 及Windows 7.

謝謝frosoul的回應,我有使用一些啟動清單檢查軟體,都沒看到不明的程式.至於看該Process的CallStack,請問CallStack如何操作?

trudyen iT邦新手 5 級 ‧ 2011-11-06 08:33:11 檢舉

謝謝jerryxxx的補充,我已經下載完成,下週一到公司再幫同事試看看.

2
sula3065408
iT邦研究生 1 級 ‧ 2011-11-03 13:29:38

%systemroot%\Prefetch底下的*.pf砍掉看看,那也是一種搶開機常駐的方法。

trudyen iT邦新手 5 級 ‧ 2011-11-06 08:35:43 檢舉

謝謝回應,我下週一到公司後再試試看.

我要發表回答

立即登入回答