8

Моя машина была атакована трояном, который проявил себя как сервис в процессе netsvcs svchost. Этот процесс может быть идентифицирован с помощью Process Explorer как svchost -k netsvcs.

Симптомы, которые у меня были, указывают, что моя машина была заражена:

    1. Используя ethereal, я мог видеть безостановочный HTTP-трафик с моей машины на разные веб-сайты, такие как ESPN и онлайн-стримеры.
    2. Обычно в течение 10-15 минут доктор Уотсон выводит диалоговое окно, указывающее на сбой общего хост-процесса.
    3. Process Explorer указал, что процесс 'svchost -k netsvcs' занимает 100% ЦП.
    4. Файлы в C:\Documents and Settings\NetworkService\ Локальные настройки \ Временные интернет-файлы \ Содержимое.IE5 были заблокированы процессом 'svchost -k netsvcs'.

Вот что я сделал, чтобы точно определить, какая служба была виновником.

Список сервисов, которые Windows будет запускать при запуске в контейнере stsvcs netsvcs, можно получить по следующему адресу реестра: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvcs. Каждая строка в значении MULTI_REG_SZ - это имя службы, расположенной по адресу: HKLM\SYSTEM\CurrentControlSet\Services.

Для каждой службы, перечисленной в netsvcs, я создал отдельную запись в SvcHost, а затем обновил ImagePath службы, чтобы указать, под какой svchost должна быть запущена служба.

В качестве примера - чтобы запустить сервис AppMgmt под собственным svchost, мы бы сделали следующее:

    1. В SvcHost создайте новое значение Multi-String с именем appmgmt и значением AppMgmt.
    2. В SvcHost создайте новый ключ с именем «appmgmt» с такими же значениями, что и в «netsvcs» (обычно REG_DWORD:AuthenticationCapabilities = 12320 и REG_DWORD:CoInitializeSecurityParam = 1).
    3. В CurrentControl\Services\AppMgmt измените ImagePath на% SystemRoot%\system32\svchost.exe -k appmgmt.

Я прошел вышеописанную процедуру на всех тридцати с чем-то сервисах, запущенных под netsvcs. Это позволило мне точно определить, какая служба ответственна за симптомы, перечисленные выше. Зная службу, стало проще с помощью Process Explorer определить, какие файлы служба заблокировала и загрузила и какие записи реестра она использовала. Имея все эти данные, это был простой шаг, чтобы удалить сервис из моей машины.

Я надеюсь, что этот пост будет полезен кому-то другому, затронутому зараженным процессом svchost.

0