近日，我在进行网络连接的时候，会不时地弹出“获取所有网页密码”对话框，如下图所示：


    一开始我并没有在意，以为只是应用程序上的一些小问题，又或者是网络问题。但后来发觉只要是进行网络连接，哪怕只是打开 IE、QQ、迅雷……而没有做任何操作，也会有此类对话框的出现。直觉告诉我，机子中标了。
    打开“任务管理器”，好像也没什么不对劲的。

    再回过头来看问题的所在，结果发现，“获取所有网页密码”对话框里提到一个进程“svchst.exe”。

    咋一看，似乎没什么问题，但这恰恰是问题所在。没错，进程应该是“svchost.exe”才对，分明少了一个“o”。好家伙，差点让你混过去。赶紧打开“任务管理器”，把“svchst.exe”这个进程给结束了。
    既然“svchst.exe”这个进程在开机的时候就出现了，现在又找不到第二个可疑进程，那么有两种可能：1、通过服务自启动。2、通过注册表启动。
    打开“管理工具”中的“服务”，查看所有“启动类型”为“自动”的服务，没什么发现。排除第一种可能。
    运行“regedit”，打开“注册表”，按“Ctrl+F”打开“查找”对话框，在“查找目标”中输入“svchst.exe”。结果在HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache 和 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 处发现“svchst.exe”，证实了该进程通过注册表启动这一事实，同时也知道其位于 C:\WINDOWS\system32 目录下。没什么好想的，把注册表这两处删了，然后找到 C:\WINDOWS\system32\svchst.exe。它的创建日期和修改日期都在最近这两天，所以也很放心地把它给删了。
    另外，在 C 盘下发现一个 min.txt 的文本文件，打开发现里面居然记录我上网时的一些账号和密码。可恶！幸好 svchst 木马我发现的还算及时，要不然后果就不堪设想了。