На мою машину напав троянець, який проявив себе як сервіс у процесі netsvcs svchost. Цей процес можна ідентифікувати за допомогою Провідника процесів як "svchost -k netsvcs".
Симптоми, які вказували на зараження моєї машини, були:
-
1. Використовуючи ethereal, я міг бачити безперебійний HTTP-трафік з моєї машини на різні веб-сайти, такі як ESPN та онлайн-стримери музики.
-
2. Зазвичай протягом 10–15 хвилин доктор Ватсон викидає діалогове вікно із зазначенням, що загальний процес прийому господарів не вдався.
-
3. Провідник процесів вказав, що процес "svchost -k netsvcs" займає 100% процесора.
-
4. Файли в C: \ Документи та параметри \ NetworkService \ Локальні настройки \ Тимчасові файли Інтернету \ Content.IE5 були заблоковані процесом 'svchost -k netsvcs'.
Ось що я зробив, щоб точно визначити, яка саме послуга стала винуватцем.
Перелік служб, які Windows запустить при запуску в контейнері netsvcs svchost, можна отримати в цьому місці реєстрації: HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ SvcHost \ netsvcs . Кожна рядок у значенні MULTI_REG_SZ - це назва служби, яка знаходиться за адресою: HKLM \ SYSTEM \ CurrentControlSet \ Services .
Для кожної служби, переліченої в netsvcs, я створив окрему запис у SvcHost, а потім оновив ImagePath служби, щоб вказати, під яким svchost службою тепер слід запускати.
Як приклад - щоб запустити службу AppMgmt під власною svchost, ми зробимо наступне:
-
1. Під SvcHost створіть нове Multi-String значення під назвою "appmgmt" зі значенням "AppMgmt".
-
2. Під SvcHost створіть новий ключ під назвою "appmgmt" з ідентичними значеннями, що знаходяться у "netsvcs" (зазвичай REG_DWORD: AuthenticationCapa sposobnosti = 12320 та REG_DWORD: CoInitializeSecurityParam = 1).
-
3. У розділі CurrentControl \ Services \ AppMgmt змініть ImagePath на% SystemRoot% \ system32 \ svchost.exe -k appmgmt.
Я пройшов вищевказану процедуру на всіх тридцяти-сервісах, що працюють під netsvcs. Це дозволило мені точно визначити, яка служба відповідала за перераховані вище симптоми. Знаючи службу, тоді було легко за допомогою Провідника процесору визначити, які файли служба заблокована та завантажена та які записи реєстру вона використовувала. Маючи всі ці дані, це був простий крок, щоб видалити службу з моєї машини.
Я сподіваюся, що цей пост буде корисним для когось іншого, який постраждав від зараженого процесу svchost.