关于svchost。exe
发布网友
发布时间:2022-04-20 11:30
共2个回答
热心网友
时间:2023-09-13 01:07
下载相应补丁:
http://www.microsoft.com/china/technet/security/bulletin/MS06-040.mspx
卡巴和瑞星都没报
加壳:UPX
编写语言:Delphi
通过启动控制MSN 来运行下载病毒
下载的病毒中pagefile.pif可能是前期版本
1.启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<><C:\Program Files\Common Files\Services\svchost.exe> []
<NVDispDrv><C:\WINDOWS\NVDispDRV.EXE> []
<WSockDrv32><C:\WINDOWS\WSockDrv32.exe> []
<upxdnd><C:\WINDOWS\upxdnd.exe> []
<LotusHlp><C:\WINDOWS\LotusHlp.exe>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{3A098324-8631-9087-7650-073562A3}><C:\WINDOWS\Fonts\jsqscyc.dll> []
<{D7D81718-1314-5200-2597-58790101807D}><C:\WINDOWS\Fonts\kaqhmzy.dll> []
<{878A7521-FA87-34AB-34C2-43F3AD34C8}><C:\WINDOWS\Fonts\swrcgzc.dll> []
<{4FA10261-B0-F432-A453-69F1023513F4}><C:\WINDOWS\Fonts\gjcsdyc.dll> []
<{ED561258-45F3-A451-F908-A258458226DE}><C:\WINDOWS\Fonts\kvdxsnma.dll> []
<{22FAACDE-34DA-CCD4-AB4D-DA34485A3422}><C:\WINDOWS\Fonts\rsjzbpm.dll> []
<{5A57CAD1-412F-9547-713F-91FA3FC7A5}><C:\WINDOWS\Fonts\okmhezy.dll> []
<{2FADFA-BCDE-ACDF-CDEF-21054865CBA8}><C:\WINDOWS\Fonts\wsmsfzx.dll> []
<{C4783410-4F90-34A0-7820-3230ACD05F4C}><C:\WINDOWS\Fonts\raqjlpi.dll> []
<{6598FF45-DA60-F48A-BC43-10AC47853D56}><C:\WINDOWS\Fonts\rarjfpi.dll> []
<{9A1247C1-53DA-FF43-ABD3-345F323A48D9}><C:\WINDOWS\Fonts\avwgimn.dll> []
<{A960356A-458E-DE24-BD50-268F5A56AA}><C:\WINDOWS\Fonts\avwljmn.dll> []
<{E859245F-345D-BC13-AC4F-145D47DA34FE}><C:\WINDOWS\Fonts\avzxnmn.dll> []
<{55679330-4034-9021-7012-909856721375}><C:\WINDOWS\Fonts\wszjezx.dll> []
<{4bcb7a90-b0ab-498e-81ab-9c6f50f0d977}><C:\WINDOWS\system32\IGB_DJOL_1007.dll> []
<{ad2bb5bd-5360-45df-8b00-cea5300d97e6}><C:\WINDOWS\system32\IGB_TLBB_1008.dll> []
2.挂起服务
[Transaction Coordinator / Transaction Coordinator][Stopped/Auto Start]
<C:\WINDOWS\scvhost.exe><N/A>
3.以下插入每个启动的应用程序
C:\WINDOWS\System32\hgfs.dll]
[C:\Program Files\WinRAR\rarext.dll]
[C:\Program Files\VMware\VMware Tools\hook.dll]
[C:\WINDOWS\system32\NVDispDrv.dll]
[C:\WINDOWS\system32\WSockDrv32.dll]
[C:\WINDOWS\system32\upxdnd.dll]
[C:\WINDOWS\system32\LotusHlp.dll]
[C:\WINDOWS\Fonts\jsqscyc.dll]
[C:\WINDOWS\Fonts\kvdxsnma.dll]
[C:\WINDOWS\Fonts\rarjfpi.dll]
[C:\WINDOWS\Fonts\avzxnmn.dll]
[C:\WINDOWS\Fonts\swrcgzc.dll]
[C:\WINDOWS\Fonts\wsmsfzx.dll]
[C:\WINDOWS\Fonts\wszjezx.dll]
[C:\WINDOWS\Fonts\avwgimn.dll]
[C:\WINDOWS\Fonts\gjcsdyc.dll]
[C:\WINDOWS\Fonts\rsjzbpm.dll]
[C:\WINDOWS\Fonts\raqjlpi.dll]
[C:\WINDOWS\Fonts\avwljmn.dll]
[C:\WINDOWS\Fonts\okmhezy.dll]
[C:\WINDOWS\Fonts\kaqhmzy.dll]
[C:\WINDOWS\system32\IGB_DJOL_1007.dll]
[C:\WINDOWS\system32\IGB_TLBB_1008.dll]
4.每个盘生成
scvhost.exe,Autorun.inf,
pagefile.pif
5.屏蔽系统自动更新
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate=1
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\AUOptions=1
6.利用NET STOP 结束以下服务
UPX0:004077C4 0000002F C Net Stop Norton Antivirus Auto Protect Service
UPX0:004077F4 00000012 C Net Stop mcshield
UPX0:00407808 0000001B C net stop \"Security Center\"
UPX0:00407824 0000003E C net stop \"Windows Firewall/Internet Connection Sharing (ICS)\"
UPX0:004078 00000020 C net stop System Restore Service
解决方法
需要工具:
Wsyscheck,SRENG
保存好你的资料
清空IE临时文件夹1.使用Wsyscheck-构件安全环境
添加以下文件到Wsyscheck执行重起删除
C:\AutoRun.inf
C:\pagefile.pif
C:\Program Files\Common Files\Services\svchost.exe
C:\scvhost.exe
C:\WINDOWS\Fonts\ardasbse.fon
C:\WINDOWS\Fonts\armebsea.fon
C:\WINDOWS\Fonts\avwgiin.dll
C:\WINDOWS\Fonts\avwgimn.dll
C:\WINDOWS\Fonts\avwgist.exe
C:\WINDOWS\Fonts\avwljin.dll
C:\WINDOWS\Fonts\avwljmn.dll
C:\WINDOWS\Fonts\avwljst.exe
C:\WINDOWS\Fonts\avzxnin.dll
C:\WINDOWS\Fonts\avzxnmn.dll
C:\WINDOWS\Fonts\avzxnst.exe
C:\WINDOWS\Fonts\chqibur.fon
C:\WINDOWS\Fonts\chrebur.fon
C:\WINDOWS\Fonts\enhubfx.fon
C:\WINDOWS\Fonts\gejibnd.fon
C:\WINDOWS\Fonts\gjcsdss.dll
C:\WINDOWS\Fonts\gjcsdyc.dll
C:\WINDOWS\Fonts\gjcsdzc.exe
C:\WINDOWS\Fonts\gjcubxw.fon
C:\WINDOWS\Fonts\jsqscss.dll
C:\WINDOWS\Fonts\jsqscyc.dll
C:\WINDOWS\Fonts\jsqsczc.exe
C:\WINDOWS\Fonts\jssgbxw.fon
C:\WINDOWS\Fonts\kaqhmaz.exe
C:\WINDOWS\Fonts\kaqhmcs.dll
C:\WINDOWS\Fonts\kaqhmzy.dll
C:\WINDOWS\Fonts\kvdxsncf.dll
C:\WINDOWS\Fonts\kvdxsnis.exe
C:\WINDOWS\Fonts\kvdxsnma.dll
C:\WINDOWS\Fonts\msgubsd.fon
C:\WINDOWS\Fonts\mswubsda.fon
C:\WINDOWS\Fonts\mszhbsda.fon
C:\WINDOWS\Fonts\okmheaz.exe
C:\WINDOWS\Fonts\okmhecs.dll
C:\WINDOWS\Fonts\okmhezy.dll
C:\WINDOWS\Fonts\raqjlni.dll
C:\WINDOWS\Fonts\raqjlpi.dll
C:\WINDOWS\Fonts\raqjltl.exe
C:\WINDOWS\Fonts\rarjfni.dll
C:\WINDOWS\Fonts\rarjfpi.dll
C:\WINDOWS\Fonts\rarjftl.exe
C:\WINDOWS\Fonts\rsjzbfg.dll
C:\WINDOWS\Fonts\rsjzbpm.dll
C:\WINDOWS\Fonts\rsjzbsp.exe
C:\WINDOWS\Fonts\swrcgac.exe
C:\WINDOWS\Fonts\swrcgcs.dll
C:\WINDOWS\Fonts\swrcgzc.dll
C:\WINDOWS\Fonts\wirebfw.fon
C:\WINDOWS\Fonts\wsmsfax.exe
C:\WINDOWS\Fonts\wsmsfcj.dll
C:\WINDOWS\Fonts\wsmsfzx.dll
C:\WINDOWS\Fonts\wszjeax.exe
C:\WINDOWS\Fonts\wszjecj.dll
C:\WINDOWS\Fonts\wszjezx.dll
C:\WINDOWS\Fonts\wymobfz.fon
C:\WINDOWS\Fonts\wyzubfz.fon
C:\WINDOWS\LotusHlp.exe
C:\WINDOWS\NVDispDRV.EXE
C:\WINDOWS\scvhost.exe
C:\WINDOWS\system32\CatRoot2\tmp.edb
C:\WINDOWS\system32\DirectX10.dll
C:\WINDOWS\system32\IGB_DJOL_1007.dll
C:\WINDOWS\system32\IGB_DJOL_1007.exe
C:\WINDOWS\system32\IGB_TLBB_1008.dll
C:\WINDOWS\system32\IGB_TLBB_1008.exe
C:\WINDOWS\system32\LotusHlp.dll
C:\WINDOWS\system32\NVDispDrv.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\WSockDrv32.dll
C:\WINDOWS\system32\_scvhost.exe
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\WSockDrv32.exe
2.重起后
使用SREng修复下面各项
启动项目 -- 注册表之如下项删除
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<><C:\Program Files\Common Files\Services\svchost.exe> []
<NVDispDrv><C:\WINDOWS\NVDispDRV.EXE> []
<WSockDrv32><C:\WINDOWS\WSockDrv32.exe> []
<upxdnd><C:\WINDOWS\upxdnd.exe> []
<LotusHlp><C:\WINDOWS\LotusHlp.exe>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{3A098324-8631-9087-7650-073562A3}><C:\WINDOWS\Fonts\jsqscyc.dll> []
<{D7D81718-1314-5200-2597-58790101807D}><C:\WINDOWS\Fonts\kaqhmzy.dll> []
<{878A7521-FA87-34AB-34C2-43F3AD34C8}><C:\WINDOWS\Fonts\swrcgzc.dll> []
<{4FA10261-B0-F432-A453-69F1023513F4}><C:\WINDOWS\Fonts\gjcsdyc.dll> []
<{ED561258-45F3-A451-F908-A258458226DE}><C:\WINDOWS\Fonts\kvdxsnma.dll> []
<{22FAACDE-34DA-CCD4-AB4D-DA34485A3422}><C:\WINDOWS\Fonts\rsjzbpm.dll> []
<{5A57CAD1-412F-9547-713F-91FA3FC7A5}><C:\WINDOWS\Fonts\okmhezy.dll> []
<{2FADFA-BCDE-ACDF-CDEF-21054865CBA8}><C:\WINDOWS\Fonts\wsmsfzx.dll> []
<{C4783410-4F90-34A0-7820-3230ACD05F4C}><C:\WINDOWS\Fonts\raqjlpi.dll> []
<{6598FF45-DA60-F48A-BC43-10AC47853D56}><C:\WINDOWS\Fonts\rarjfpi.dll> []
<{9A1247C1-53DA-FF43-ABD3-345F323A48D9}><C:\WINDOWS\Fonts\avwgimn.dll> []
<{A960356A-458E-DE24-BD50-268F5A56AA}><C:\WINDOWS\Fonts\avwljmn.dll> []
<{E859245F-345D-BC13-AC4F-145D47DA34FE}><C:\WINDOWS\Fonts\avzxnmn.dll> []
<{55679330-4034-9021-7012-909856721375}><C:\WINDOWS\Fonts\wszjezx.dll> []
<{4bcb7a90-b0ab-498e-81ab-9c6f50f0d977}><C:\WINDOWS\system32\IGB_DJOL_1007.dll> []
<{ad2bb5bd-5360-45df-8b00-cea5300d97e6}><C:\WINDOWS\system32\IGB_TLBB_1008.dll> []
3.启动项目 -- 服务-- 驱动程序之如下项删除:
[Transaction Coordinator / Transaction Coordinator][Stopped/Auto Start]
4.使用Wsyscheck删除每个盘的
scvhost.exe,Autorun.inf,
pagefile.pif
5.运行输入REGEDIT
依次来到
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
删除键值AV
升级杀毒软件全盘杀毒
如果嫌麻烦,就重新做系统吧
热心网友
时间:2023-09-13 01:07
声明:本网页内容为用户发布,旨在传播知识,不代表本网认同其观点,若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。
E-MAIL:11247931@qq.com
E-MAIL:11247931@qq.com