马服对中国玩家开放的目的 幸运王来高手来看下
这个进程每次运行马服希望就会自动生成 删也删不掉 我现在考虑是否放弃马服务器[此贴子已经被作者于2009-7-29 11:19:47编辑过]
<h1>svch0st.exe</h1>
<div id="lemmaContent"> svch0st - svch0st.exe - 进程信息<br/>
<div class="spctrl"></div> 进程文件: svch0st or svch0st.exe<br/>
<div class="spctrl"></div> 进程名称: N/A<br/>
<div class="spctrl"></div> 进程名称: svch0st.exe是木马生成的病毒文件。该木马允许攻击者访问你的计算机,窃取密码和个人数据。这个进程的安全等级是建议立即进行删除。<br/>
<div class="spctrl"></div> 出品者: 未知N/A<br/>
<div class="spctrl"></div> 属于: N/A<br/>
<div class="spctrl"></div> 系统进程: 是<br/>
<div class="spctrl"></div> 使用网络: 是<br/>
<div class="spctrl"></div> 硬件相关: 否<br/>
<div class="spctrl"></div> 常见错误: 未知N/A<br/>
<div class="spctrl"></div> 内存使用: 未知N/A <br/>
<div class="spctrl"></div> 间谍软件: 是<br/>
<div class="spctrl"></div> 广告软件: 是<br/>
<div class="spctrl"></div> Virus: 是<br/>
<div class="spctrl"></div> 木马: 是<br/>
<div class="spctrl"></div> svch0st.exe和<a href="http://baike.baidu.com/view/25302.htm" target="_blank">系统</a>进程svchost.exe只差一个字符,注意svch0st.exe中的0这个是数字零,而系统进程svchost.exe中的o是字母O。 <br/>
<div class="spctrl"></div> 该病毒运行后在系统文件夹%System%下创建自身的副本,文件名为svch0st.exe。(其中,%System%在Windows 95/98/Me 下为C:\Windows\System,在Windows NT/2000下为C:\Winnt\System32,在Windows XP下为 C:\Windows\System32)<br/>
<div class="spctrl"></div> 随后病毒修改注册表,以达到随系统启动而自动运行的目的,在<br/>
<div class="spctrl"></div> HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run下创建:<br/>
<div class="spctrl"></div> "svch0st.exe" = "%System%\svch0st.exe" <br/>
<div class="spctrl"></div> "taskmgr.exe" = "%System%\svch0st.exe" <br/>
<div class="spctrl"></div> 病毒运行后检查IE窗口标题栏,判定当前窗口是否为网上银行的登陆页面,涉及到国内多家银行的网上交易系统。一旦发现当前IE窗口为上述银行的登陆页面,病毒立即开始记录键盘输入的所有键值,记录的键值几乎包括了所有可能的键盘录入。窃取的用户信息包括网上银行的帐号、密码、验证码等。当病毒截获被感染计算机所输入的键盘值后,将其窃取到的信息发送到指定的地址。<br/>
<div class="spctrl"></div> 清除方法:<br/>
<div class="spctrl"></div> 关闭系统还原,开始-运行:msconfig (运行系统配置程序)。<br/>
<div class="spctrl"></div> 在启动项中取消"svch0st.exe" = "%System%\svch0st.exe"和 "taskmgr.exe" = "%System%\svch0st.exe" 两项前面的勾。<br/>
<div class="spctrl"></div> 打开任务管理器终止svch0st.exe,要看清楚不要弄错了。<br/>
<div class="spctrl"></div> 运行系统搜索功能,并打开高级选项,查找隐藏的文件,查找svch0st.exe并删除。<br/>
<div class="spctrl"></div> 进程文件: svch0st 或 svch0st.exe <br/>
<div class="spctrl"></div> 进程位置: 系统或windir <br/>
<div class="spctrl"></div> 程序名称: Troj_Dingxa.A网银大盗Ⅱ或Troj.Downloader.bk <br/>
<div class="spctrl"></div> 程序用途: 木马病毒 用于窃密或自动从网上下载后门的木马病毒。 <br/>
<div class="spctrl"></div> 系统进程: 否 <br/>
<div class="spctrl"></div> 后台程序: 是 <br/>
<div class="spctrl"></div> 使用网络: 是 <br/>
<div class="spctrl"></div> 硬件相关: 否 <br/>
<div class="spctrl"></div> 安全等级: 低 <br/>
<div class="spctrl"></div> 进程分析: 又名:密码监视者,QQ宠物陷阱,传奇宝贝4.0木马病毒<br/>
<div class="spctrl"></div> “下载者”(Troj.Downloader.bk)是一个会自动从网上下载后门的木马病毒。该该病毒将拷贝其病毒文件到系统目录下,命名为svch0st.exe,并改写相关注册表使任务管理器被禁用。该病毒在后台偷偷下载后门安装,使用户主机受到后门病毒严重感染。<br/>
<div class="spctrl"></div> 该病毒也是“灰鸽子变种E(Backdoor.HuiGeZi.e)”病毒,该病毒修改注册表创建系统服务dnscacha实现自启动,运行后,病毒会在系统目录里释放病毒文件,文件名分别为“SVCH0ST.DLL”和“SVCH0ST.EXE”“SVCH0ST.bat”“SVCH0STkey.dll”“SVCH0ST_hook.dll”“Microsoft Winshell.exe”。 频繁修改注册表启动项,保证下次系统启动时,病毒可以自动运行。把“SVCH0ST.DLL”加载到系统进程explorer.exe中。由于目前该病毒采取了免杀技术,普通杀毒软件无法查获。 <br/>
<div class="spctrl"></div> 其默认属性为隐藏,无存档和只读属性。与其同一目录还一个autorun.inf也是只有隐藏属性,其内容为<br/>
<div class="spctrl"></div> <br/>
<div class="spctrl"></div> OPEN=svch0st.exe<br/>
<div class="spctrl"></div> shell\open=打开(&O)<br/>
<div class="spctrl"></div> shell\open\Command=svch0st.exe<br/>
<div class="spctrl"></div> shell\open\Default=1<br/>
<div class="spctrl"></div> shell\explore=资源管理器(&X)<br/>
<div class="spctrl"></div> shell\explore\Command=svch0st.exe <br/>
<div class="spctrl"></div> 未运行的svch0st.exe,360和最新安天查不出来,卡巴最新可以查杀。(测试时间08.6.1,17:08</div>
页:
[1]