问题现象：
网吧反应某茶系统环境下有QQ盗号的情况。



其中的“C:\Windows\Web\help\svchost.exe"很视可疑。

处理过程：
1.使用进程工具或是杀毒软件发现客户机有这个奇怪路径的进程。他是开机生成。尝试传统的占位锁权限无效。


2.排查过程发现开机启动里有个输入法指示器，（"internat.exe"该输入法大小有1.58M，正常来说这个工具应该就几K左右的不应该这大。同时还发现他有对外传输数据的情况）删除改输入法指示器测试后再无这个"SVCHOST.EXE"程序。怀疑某茶对这个输入法指示器有修改操作。本想找找其他64位的这个输入法指示器，不过可惜网上的都带一推广告，所以没有敢使。


3.如果只删除这个后输入法可能有不切换输入法的问题。所以尝试运行系统自己带的cftmon.exe输入法进程，运行后测试发现切换输入正常了。最后设置开机启动或是添加注册表启动项，来保证改程序运行即可。