Моя машина была атакована трояном, который проявил себя как сервис в процессе netsvcs svchost. Этот процесс может быть идентифицирован с помощью Process Explorer как svchost -k netsvcs.
Симптомы, которые у меня были, указывают, что моя машина была заражена:
-
1. Используя ethereal, я мог видеть безостановочный HTTP-трафик с моей машины на разные веб-сайты, такие как ESPN и онлайн-стримеры.
-
2. Обычно в течение 10-15 минут доктор Уотсон выводит диалоговое окно, указывающее на сбой общего хост-процесса.
-
3. Process Explorer указал, что процесс 'svchost -k netsvcs' занимает 100% ЦП.
-
4. Файлы в C:\Documents and Settings\NetworkService\ Локальные настройки \ Временные интернет-файлы \ Содержимое.IE5 были заблокированы процессом 'svchost -k netsvcs'.
Вот что я сделал, чтобы точно определить, какая служба была виновником.
Список сервисов, которые Windows будет запускать при запуске в контейнере stsvcs netsvcs, можно получить по следующему адресу реестра: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvcs. Каждая строка в значении MULTI_REG_SZ - это имя службы, расположенной по адресу: HKLM\SYSTEM\CurrentControlSet\Services.
Для каждой службы, перечисленной в netsvcs, я создал отдельную запись в SvcHost, а затем обновил ImagePath службы, чтобы указать, под какой svchost должна быть запущена служба.
В качестве примера - чтобы запустить сервис AppMgmt под собственным svchost, мы бы сделали следующее:
-
1. В SvcHost создайте новое значение Multi-String с именем appmgmt и значением AppMgmt.
-
2. В SvcHost создайте новый ключ с именем «appmgmt» с такими же значениями, что и в «netsvcs» (обычно REG_DWORD:AuthenticationCapabilities = 12320 и REG_DWORD:CoInitializeSecurityParam = 1).
-
3. В CurrentControl\Services\AppMgmt измените ImagePath на% SystemRoot%\system32\svchost.exe -k appmgmt.
Я прошел вышеописанную процедуру на всех тридцати с чем-то сервисах, запущенных под netsvcs. Это позволило мне точно определить, какая служба ответственна за симптомы, перечисленные выше. Зная службу, стало проще с помощью Process Explorer определить, какие файлы служба заблокировала и загрузила и какие записи реестра она использовала. Имея все эти данные, это был простой шаг, чтобы удалить сервис из моей машины.
Я надеюсь, что этот пост будет полезен кому-то другому, затронутому зараженным процессом svchost.