Моя машина была атакована трояном, который проявил себя как сервис в процессе netsvcs svchost. Этот процесс можно определить с помощью Process Explorer как svchost -k netsvcs.
Симптомы, которые у меня были, указывают, что моя машина была заражена:
-
1. Используя ethereal, я мог видеть непрерывный HTTP-трафик с моей машины на разные веб-сайты, такие как ESPN и онлайн-стримеры.
-
2. Обычно в течение 10-15 минут доктор Уотсон выводит диалоговое окно, указывающее на сбой общего хост-процесса.
-
3. Process Explorer указал, что процесс 'svchost -k netsvcs' занимает 100% ЦП.
-
4. Файлы в C: \ Documents and Settings \ NetworkService \ Local Settings \ Временные интернет-файлы \ Content.IE5 были заблокированы процессом 'svchost -k netsvcs'.
Вот что я сделал, чтобы точно определить, какая служба была виновником.
Список сервисов, которые Windows будет запускать при запуске в контейнере stsvcs netsvcs, можно получить по следующему адресу реестра: HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ SvcHost \ netsvcs . Каждая строка в значении MULTI_REG_SZ является именем службы, расположенной по адресу: HKLM \ SYSTEM \ CurrentControlSet \ Services .
Для каждой службы, перечисленной в netsvcs, я создал отдельную запись в SvcHost, а затем обновил ImagePath службы, чтобы указать, под какой svchost теперь должна быть запущена служба.
В качестве примера - чтобы запустить сервис AppMgmt под собственным svchost, мы бы сделали следующее:
-
1. В SvcHost создайте новое значение Multi-String с именем appmgmt и значением AppMgmt.
-
2. В SvcHost создайте новый ключ с именем «appmgmt» с такими же значениями, что и в «netsvcs» (обычно REG_DWORD: AuthenticationCapabilities = 12320 и REG_DWORD: CoInitializeSecurityParam = 1).
-
3. В CurrentControl \ Services \ AppMgmt измените ImagePath на% SystemRoot% \ system32 \ svchost.exe -k appmgmt.
Я прошел вышеописанную процедуру на всех тридцати с чем-то сервисах, запущенных под netsvcs. Это позволило мне точно определить, какая служба ответственна за симптомы, перечисленные выше. Зная службу, стало проще с помощью Process Explorer определить, какие файлы служба заблокировала и загрузила, а также какие записи реестра она использовала. Имея все эти данные, это был простой шаг, чтобы удалить сервис из моей машины.
Я надеюсь, что этот пост будет полезен кому-то другому, затронутому зараженным процессом svchost.