教學 - 木馬的行為介紹-Svchost
--------------------------------------------------------------------------------
过年前我差點被这隻木马搞瘋
一直出現 Svchost.exe訊息,上網時變的十分龜速,在windows\temp裡,竟然造成一堆垃圾,佔有 502 MB
之多,刪不掉,殺掉又會重生,殺到我手軟,簡直是「陰魂不散」---我判定大概是病毒搞的鬼---於是:
用NOD32掃,抓不到,用
AVG Anti-Spyware 7.5.0.50也偵測不到,最後乾脆用搜尋的,找到了兩隻,一隻在windows\裡,另
一只在windows\system32\裡,無法判定哪一隻是對的,跑去別人家找,原來正確的是在windows\system32裡
搞怪的就在windows\裡的这一只,用刪的,刪不掉,用 Unlock,說重新開機後会刪,結果開机後,依然存在
,再刪它,依然不動如山,真氣死我也!最後用 Ghost才解決問題。
後來找到了這篇,才得知它是令人討厭的「木馬」,提供大家參考:
1. Svchost這支木馬跟系統中預設的程式Svchost.exe名稱一模一樣,目前在網路
上查不到任何的資訊,也就是在一些安全軟體的木馬資料中並沒有它的特徵
值,所以無法偵測到它的存在。也因它的名稱是用系統中原本就有的檔案名
稱,一般使用者很難去查覺。
2. 它會將本身程式(Svchost.exe)放在c:\windows中,正常的Svchost是存放在
c:\windows\system32中。
3. 它會主動用80-Port連線至下列的IP:
61.220.57.10
61.221.104.67
如何清除Svchost
1. 查看Registry中是否有下列任一機碼,如果有的話請將它刪除:
[HKET_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
“Svchost.exe”=”c:\windows\Svchost.exe”
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
“Svchost.exe”=”c:\windows\Svchost.exe”
[HEKY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
“Svchost.exe”=”c:\windows\Svchost.exe”
2. 將機碼刪除重新開機後,將Services.exe這個檔案刪除。
註:一定要先刪機碼並重新開機後,才可刪除該檔案。
过年前我差點被这隻木马搞瘋
一直出現 Svchost.exe訊息,上網時變的十分龜速,在windows\temp裡,竟然造成一堆垃圾,佔有 502 MB
之多,刪不掉,殺掉又會重生,殺到我手軟,簡直是「陰魂不散」---我判定大概是病毒搞的鬼---於是:
用NOD32掃,抓不到,用
AVG Anti-Spyware 7.5.0.50也偵測不到,最後乾脆用搜尋的,找到了兩隻,一隻在windows\裡,另
一只在windows\system32\裡,無法判定哪一隻是對的,跑去別人家找,原來正確的是在windows\system32裡
搞怪的就在windows\裡的这一只,用刪的,刪不掉,用 Unlock,說重新開機後会刪,結果開机後,依然存在
,再刪它,依然不動如山,真氣死我也!最後用 Ghost才解決問題。
後來找到了這篇,才得知它是令人討厭的「木馬」,提供大家參考:
1. Svchost這支木馬跟系統中預設的程式Svchost.exe名稱一模一樣,目前在網路
上查不到任何的資訊,也就是在一些安全軟體的木馬資料中並沒有它的特徵
值,所以無法偵測到它的存在。也因它的名稱是用系統中原本就有的檔案名
稱,一般使用者很難去查覺。
2. 它會將本身程式(Svchost.exe)放在c:\windows中,正常的Svchost是存放在
c:\windows\system32中。
3. 它會主動用80-Port連線至下列的IP:
61.220.57.10
61.221.104.67
如何清除Svchost
1. 查看Registry中是否有下列任一機碼,如果有的話請將它刪除:
[HKET_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
“Svchost.exe”=”c:\windows\Svchost.exe”
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
“Svchost.exe”=”c:\windows\Svchost.exe”
[HEKY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
“Svchost.exe”=”c:\windows\Svchost.exe”
2. 將機碼刪除重新開機後,將Services.exe這個檔案刪除。
註:一定要先刪機碼並重新開機後,才可刪除該檔案。
留言