调试易

呵呵，那个东西可是搞不掉的。    我做过一个嵌入到svchost的木马，所以对这个也比较了解^_^    svchost.exe是管理系统内置服务的，win2000下有2个，xp下有4个，2003下更多！    多个服务共享svchost.exe，由svchost.exe来启动的，网络服务也包含在内了，楼主说的
不停的收发数据包，那是很正常的，不一定是木马，具体要看里面究竟是哪个dll在收发数据包了。

多谢上面两位高人指点，我看了，我的win2000系统，有4个网络连接是svchost建的。
3个tcp 都不活动，只有一个udp的一直在sent/receive.
请问我怎样才能看到具体是哪个服务/dll在sent/receive呢？

这个用windows默认的“任务管理器”就看不到了，所以这也是个木马隐藏的绝加方法^_^需要借助第三方的查看进程详细信息工具来看了这样的工具比较多了，window优化大师里就有这个这个工具可以看到svchost.exe都调用了那些具体的dll，楼主可以看一下是否有可疑的部分在工作不过里面的dll多得让人头晕，楼主要有很大的耐心才好-_-#

改名或删除再自动生成,这个不是有木马,而是系统的"WINDOWS文件保护"功能自动还原的.删不了的

小猪快出来多讲点啊..啊学习中==============================================     我再讲就跑题了-_-b ，而且别这么说，让大家误以为我还懂点什么-_-#     Svchost本身只是作为服务宿主，并不实现任何服务功能，需要Svchost启动的服务以动态链接库形式实现，在安装这些服务时，把服务的可执行程序指向svchost，启动这些服务时由svchost调用相应服务的动态链接库来启动服务。    那么svchost如何知道某一服务是是服务在注册表中的参数设置的，注册表中服务下边有一个Parameters子键其中的ServiceDll表明该服务由哪个动态链接库负责。    例如rpcss（Remote Procedure Call）在注册表中的位置是 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs，它的参数子键Parameters里有这样一项：
"ServiceDll"=REG_EXPAND_SZ:"%SystemRoot%\system32\rpcss.dll"
当启动rpcss服务时，svchost就会调用rpcss.dll，并且执行其ServiceMain()函数执行具体服务了。