shellexecutehooks是病毒吗

shellexecutehooks是病毒吗

这个是病毒吗?可以清除吗?

我通过你说的这个名字判断 大概是一个挂钩文件

但是不能确定是否是病毒

这个程序可能是某些软件的进程自我检测的挂钩

比如一般游戏运行前的那些自我扫描

都是采用这个技术插入游戏内存检查数据

而也有一些病毒才有挂钩技术与正常的进程挂载

URL 执行挂钩 程序路径：shell32.dll 说明：外壳钩子，shellexecutehooks这个是什么东西？看不懂

URL 执行挂钩 程序路径：shell32.dll 说明：外壳钩子，shellexecutehooks这个是什么东西？看不懂
基本概念
钩子(Hook)，是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息，而且所监视的窗口可以是其他进程所创建的。当消息到达后，在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。
钩子实际上是一个处理消息的程序段，通过系统调用，把它挂入系统。每当特定的消息发出，在没有到达目的窗口前，钩子程序就先捕获该消息，亦即钩子函数先得到控
制权。这时钩子函数即可以加工处理（改变）该消息，也可以不作处理而继续传递该消息，还可以强制结束消息的传递。

钩子也可以理解为WINDOWS留给我们的后门，比如你想控制键盘，在DOS时代很简单通过INT即可，而WINDOWS时代不允许我们直接操作硬件；由于WINDOWS是消息驱动，所以我们可以拦截键盘消息以达到控制键盘的目的。但是控制自己进程的消息固然很简单，要控制所有进程消息要利用钩子了。将钩子函数放在DLL中，所有的有关键盘的消息都必须经过钩子函数过滤，这样你就可以为所欲为了。

WINDOWS下的钩子程序就像DOS下的TSR(内存驻留程序)一样,用来截获WINDOWS下的
特定的消息,进行相应的处理。比如可以截获键盘输入的消息，来获得键盘输入的信息等。钩子程序可以通过API调用来驻留和脱钩。

运行机制
每一个Hook(钩子)都有一个与之相关联的指针列表，称之为钩子链表，由系统来维护。这个列表的指针指向指定的，应用程序定义的，被Hook子程调用的回调函数，也就是该钩子的各个处理子程。当与指定的Hook类型关联的消息发生时，系统就把这个消息传递到Hook子程。 一些Hook子程可以只监视消息，或者修改消息，或者停止消息的前进，避免这些消息传递到下一个Hook子程或者目的窗口。最近安装的钩子放在链的开始， 而最早安装的钩子放在最后，也就是后加入的先获得控制权。
Windows 并不要求钩子子程的卸载顺序一定得和安装顺序相反。每当有一个钩子被卸载，Windows 便释放其占用的内存，并更新整个Hook链表。如果程序安装了钩子，但是在尚未卸载钩子之前就结束了，那么系统会自动为它做卸载钩子的操作。

钩子的分类
　　一． 按事件分类，有如下的几种常用类型
　　（1） 键盘钩子和低级键盘钩子可以监视各种键盘消息。
　　（2） 鼠标钩子和低级鼠标钩子可以监视各种鼠标消息。
　　（3） 外壳钩子可以监视各种Shell事件消息。比如启动和关闭应用程序。
　　（4） 日志钩子可以记录从系统消息队列中取出的各种事件消息。
　　（5） 窗口过程钩子监视所有从系统消息队列发往目标窗口的消息。
　　此外，还有一些特定事件的钩子提供给我们使用，不一一列举。

　　二． 按使用范围分类，主要有线程钩子和系统钩子
　　（1） 线程钩子监视指定线程的事件消息。
　　（2） 系统钩子监视系统中的所有线程的事件消息。因为系统钩子会影响系统中所有的应用程序，所以钩子函数必须放在独立的动态链接库(DLL)
中。这是系统钩子和线程钩子很大的不同之处。
　　 几点需要说明的地方：
　　（1） 如果对于同一事件（如鼠标消息）既安装了线程钩子又安装了系统钩子，那么系统会自动先调用线程钩子，然后调用系统钩子。
　　（2） 对同一事件消息可安装多个钩子处理过程，这些钩子处理过程形成了钩子链。当前钩子处理结束后应把钩子信息传递给下一个钩子函数。而且最近安装的钩子放在链的开始，而最早安装的钩子放在最后，也就是后加入的先获得控制权。
　　（3） 钩子特别是系统钩子会消耗消息处理时间，降低系统性能。只有在必要的时候才安装钩子，在使用完毕后要及时卸载。

下面分享相关内容的知识扩展：

csgo出现无法找到dsetup.dll该怎么办?

如果您在运行CS:GO时遇到无法找到"dsetup.dll"的错误，可以尝试以下解决 *** ：

1. 重新安装 DirectX：dsetup.dll是DirectX的一部分，可能由于某些原因文件缺失或损坏。您可以尝试重新安装最新版本的DirectX来修复问题。可以从微软官方网站下载并安装最新的DirectX运行时。

2. 运行游戏修复工具：Steam平台提供了游戏修复工具，可以尝试使用它来修复游戏文件。在Steam库中找到CS:GO游戏，右键点击选择"属性"，然后切换到"本地文件"选项卡，点击"验证游戏文件完整性"来运行修复工具。

3. 检查防病毒软件：某些防病毒软件可能会将"dsetup.dll"文件误判为恶意文件并阻止其加载。您可以暂时禁用或调整防病毒软件的设置，然后重新启动游戏，看是否问题得到解决。如果问题解决，您可以尝试将CS:GO游戏目录添加到防病毒软件的信任列表中，以避免类似问题的发生。

4. 重新安装游戏：如果上述 *** 仍无法解决问题，您可以尝试完全卸载CS:GO，并重新下载和安装游戏。在Steam库中右键点击CS:GO游戏，选择"删除本地内容"，然后重新下载和安装游戏。

如果问题仍然存在，建议您尝试在相关的CS:GO社区论坛或Steam支持论坛上寻求帮助。其他玩家可能会遇到类似的问题并分享解决 *** 。

XP系统开机后svchost.exe-应用程序错误

电脑开机后总是提示svchost.exe-应用程序错误，（有时提示“该内存不能"read"”，有时提示“该内存不能"written"”）。任务栏没反应，有时变经典样式。声卡没声音。
在网上搜了一下，很多人都有过这种情况，试了很多 *** 都没能解决，请高人指点！~暂时不考虑重装系统。
"0x00000000"指令引用的"0x00000000"内存。该内存不能为"written"。
"0x7c9300e8"指令引用的"0x00000010"内存。该内存不能为"read"。
另打开组策略时提示“您没有权限执行此操作”。
朋友，电脑出现：内存不能为read与written，这是你下载的“软件”与电脑内存有“冲突”！
原因总结起来，有以下方面，偶尔出现，点：取消，即可！
（答案原创,本答案原作者：力王历史）
1.电脑中了木马或者有病毒在干扰！
试试：杀毒软件，360安全卫士+360杀毒双引擎版，或者金山卫士+金山毒霸，
建议：修复“高危”和“重要”漏洞！使用“木马云查杀”和“360杀毒”，
“全盘扫描”和“自定义扫描”病毒和木马，删除后，重启电脑！
开机后，点开“隔离|恢复”，找到木马和病毒，彻底删除文件！
2.如果第1种 *** 不行，打开：“360安全卫士”，“木马查杀”里的：“360系统急救箱”！
先“开始急救”，查杀完毕，删除“可疑启动项”和木马，再重启电脑！
然后点开“文件恢复区”，找到“可疑启动项”和木马，点“彻底删除”!
再点开“系统修复”，“全选”，再点“立即修复”！网络修复，立即修复，重启电脑！
3.用“360安全卫士”，“系统修复”，一键修复！再：“清理插件”，立即扫描，立即清理：恶评插件！
4.你下载的“播放器”，或“聊天软件”，或“IE浏览器”，或者“驱动”，或
“游戏”的程序不稳定，或者“版本太旧”！建议卸掉，下载新的，或将其升级
为“最新版本”！
5.软件冲突，你安装了两款或两款以上的同类软件（如：两款播放器，两款
qq，或多款浏览器，多款杀毒软件，多款网游等等）！它们在一起不“兼容”，
卸掉“多余”的那一款！
6.卸载 *** ：你在电脑左下角“开始”菜单里找到“强力卸载电脑上的软件”，找到多余的那款卸掉！ 卸完了再“强力清扫”！
或者“360安全卫士”，“软件管家”，点开，第4项：“软件卸载”，点开，找
到“多余”和“类似”的软件卸载！如：“播放器”，点开，留下“暴风”，卸载“快播”！如：“下载”：点开，留下“迅雷”，卸载“快车”！（看准了再卸，别把有用的卸了）
7.如果还是不行，去网上下载一个“read修复工具”，修复试试！
8.再不行，重启电脑，开机后按“F8”，回车，回车，进到“安全模式”里，“高级启动选项”，找到：“最后一次正确配置”，按下去试试，看看效果如何！
9.再不行，开始菜单，运行 ，输入cmd， 回车，在命令提示符下输入(复制即可) :
for %1 in (%windir%\system32\*.ocx) do regsvr32 /s %1
粘贴，回车，再输入：
for %1 in (%windir%\system32\*.dll) do regsvr32.exe /s %1
回车！直到屏幕滚动停止为止，重启电脑！
10.实在不行就“一键还原”系统或“重装系统”！

一开机就跳出一个黑框c;\windows\system32\cmd.exe

要怎么关掉这个
我的意思是，以后开机都不跳出来了
恭喜你哥们``，你确实是中病毒了，而且没删干净~~，我来手把手教你吧````开始。。

首先呢，cmd.exe 病毒是比较头痛的一种占用大量cpu资源的病毒，，不同的机子还需要用不同的解决方案来着~`

cmd.exe病毒进程清除 ***
之一种情况：

开机CPU就是100％，查进程，原来是cmd.exe 占用了绝大部分的CPU。关闭cmd.exe后，CPU实用率恢复正常。但是再次开机的时候，CPU又是100％，cmd.exe 依然占用了绝大部分的CPU。

1.装了ewido 查杀木马，查出了几个感染目标，已删除。但是今
天早上开机，CPU又是100％，cmd.exe 依然占用了绝大部分的CPU。

2.再装“木马清除专家2006”，查杀，结果没有发现木马。

3.查system 32 中的 CMD.EXE 大小，结果如下：
CMD.EXE 大小：459 KB (470,016 字节)
占用空间：460 KB (471,040 字节)

应该没有异常。

解决 *** ：

如果出现这种情况，很不幸，你99％是中了木马了。不过不妨继续验证一下，假定你的windows安装盘位于C:\，并且需要你在文件查看选项中打开查看隐藏文件的选项和显示所有文件扩展名的选项，则

查看你的c:\Program Files\Internet Explorer\PLUGINS\目录，应该会发现有new123.bak和new123.sys两个文件；
查看你的C:\Documents and Settings\Administrator\Local Settings\Temp\目录，应该会发现有MicroSoft.bat这个文件；你可以用记事本打开MicroSoft.bat文件，发现其中提到一个exe文件（具体名称会有不同），你也会在该目录下发现这个exe文件；
如果以上两步你并未发现相应文件，请将你的文件查看改为不隐藏已知文件后缀，并在系统盘内进行文件搜索，确认是否的确没有相关的文件。

木马描述
该木马主要是因为用户安装了嵌入木马程序的安装程序所致，这些安装程序极有可能是你在一些不知名的下载网站上下载的一些应用程序（比如qq的一些版本等）。该木马利用安装程序在没有提醒用户的情况下在IE的插件中安装了实为木马的IE插件。使得一般的杀毒和杀马程序无法识别。并且当你运行一些需要调用IE的一些程序时自动调用该木马插件，所以才出现“症状描述”中所描述的情况。

该木马的母体就是new123.sys，属于Trojan-PSW.Win32.Delf.mc，可能会偷取你的一些应用的帐号和密码。

木马清除
该木马可以很方便的手工清除，过程如下：

打开“任务管理器”，在“进程”中结束cmd.exe的运行，此时CPU占用率会明显下降；
进入C:\Documents and Settings\Administrator\Local Settings\Temp\目录，删除MicroSoft.bat这个文件中所提到的exe文件和该bat文件；（这一步不做也没有问题，但更好清除掉）
进入c:\Program Files\Internet Explorer\PLUGINS\目录，删除new123.bak文件，但此时你无法删除new123.sys文件，因为系统正在使用，你有两种方式处理new123.sys文件：
重启机器并进入安全模式对new123.sys进行删除；
当前状态虽无法删除该文件，但可更改new123.sys的文件名为new123.sysdel，并且重启机器（无需进入安全模式）后，再把new123.sysdel进行删除。
处理完后，如果“症状描述”中的情况消失，则说明清除成功。

第二种情况：
1：XP系统里并没有cmd.exe的进程，cmd.exe是XP系统的命令提示符程序，可以执行一些在DOS下执行的应用程序，但是并不会随系统启动时运行，这有可能是个木马或者其他病毒程序，建议查杀
1）、如果安装文件就在硬盘上，而且系统是从硬盘的安装目录装的，那先将这个安装目录改个名字
2）、删除c:\winnt\system32\dllcache（没有这个子文俭）\cmd.exe，
3）、然后再删除system32\cmd.exe
4、系统会提示说系统文件丢失要求插入光盘，忽略就行了
禁止运行命令解释器和批处理文件 *** ：通过修改注册表，可以禁止用户使用命令解释器(CMD.exe)和运行批处理文件(.bat文件)。新建一个双字节(REG＿DWORD)执行HKEY＿CURRENT＿USER＼Software＼Policies＼ Microsoft＼Windows＼System＼DisableCMD，修改其值为2，命令解释器和批处理文件都不能被运行。修改其值为1，则只是禁止命令解释器的运行。 就是替换掉系统的cmd.exe文件。但是由于此文件受系统保护，所以必须用一种特殊的办法。

至于那个用来替换cmd.exe的文件，可以随便找一个运行时候没有什么提示的东西就行。C:\Windows\system32下面有很多这样的文件，随便找一个就行。替换 *** 是：首先删除C:\WINDOWS\system32\Dllcache\下面的cmd.exe，然后尽快将C:\WINDOWS\system32\下面的cmd.exe替换成所需的文件。当系统提示要求插入WINDOWS安装光盘的时候，不要理他，直接单击“取消”就可以了。

之后当你开始-〉运行-〉cmd的时候，dos窗口自然不会出现了

第三种情况：

如何解决cmd.exe占CPU资源100%问题

造成机器运行很慢，关闭cmd.exe后，CPU使用率恢复正常。但是再次开机的时候，CPU又是100%，cmd.exe 依然占用了绝大部分的CPU。

问题分析：后经上网查找和后来证实，应该是中了一种传播Viking的 *** 尾巴病毒了，这种木马病毒主要是因为用户安装了嵌入木马程序的安装程序所致，这些安装程序极有可能是你在一些不知名的下载网站上下载的一些应用程序（比如qq的一些版本等）。该木马利用安装程序在没有提醒用户的情况下在IE的插件中安装了实为木马的IE插件。使得一般的杀毒和杀马程序无法识别。并且当你运行一些需要调用IE的一些程序时自动调用该木马插件，所以才出现“问题症状”中所描述的情况。

解决 *** ：我只能讲一下大概的思路了，因为当时没有记录和截图。首先在文件夹查看选项中打开查看隐藏文件的选项、显示所有文件扩展名和显示受保护的操作系统文件的选项。
1、从注册表里删除病毒添加的ShellExecuteHooks信息：打开注册表找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]，

在实际情况中，图中应该会出现除以外的其它可疑键值的，依次按步骤2检查它们；

2、打开到注册表[HKEY_CLASSES_ROOT\CLSID\{这里是步骤1中提到的可疑键值}下，

然后依次检查上图中所示的每一个路径指向的文件，应该会有个文件是以.sys结尾的系统驱动文件，这个文件应该是隐藏文件，并且它的修改时间应该和该电脑出问题的时间差不多，而且在该文件旁边还会有和它的修改时间一样的隐藏文件，可以考虑将它们都删除了，以观后效。记得我当时是删除了三个在C:\Program Files\Internet Explorer\Connection Wizard 下的隐藏文件，就OK了。注：如果删不掉，可以进安全模式删除。

3、清除C:\Documents and Settings\你的用户名\Local Settings\Temp\目录下的所有垃圾文件，因为里面含有病毒释放生成的执行文件，当时我的情况是有两个病毒释放的文件：_xiaran.bat和help.exe(这个是隐藏和系统文件)。

4、重新启动计算机，观察5分钟，如果不再出现“问题症状”中描述的情况，说明清楚成功了。