stkhost.exe 查无资料 bbs.ikaka.com

teacherlau - 2008-11-3 16:18:00

最近使用电脑的时候发现它的反应比以前慢了.
打开任务管理器突然发现里面运行着一个stkhost.exe进程.我只见识过svchost.exe这样的进程,但从来没有听说过stkhost.exe.于是上GOOGLE上搜索,搜到了一些毫无关系的结果.然后去百度上搜索,结果是"抱歉，没有找到与“stkhost.exe” 相关的网页。"
我进入c:\windows\system32没有发现 stkhost.exe 文件.
结果在cmd下运行attrib stkhost.exe -s -h -r
发现文件是被隐藏了.
我的系统是Windows XP Home SP3
杀毒软件ESET NOD32 antivirus 3.0.672.0

用NOD32对STKHOST.EXE 文件进行扫描,无毒.
之后分别安装了anti-trojan,a-squared Free...多种杀木马程序,检测结果均为无.

或许它根本就是一个正常的进程呢,我在该文件上右键单击,选择属性,没有找到文件版本号,公司名称,产品名称,产品版本,数字签名,等.之后我放弃了,只是把它打包然后删除原文件.
后来有几次开机后任务管理器中又发现了该进程,我直接将它终止然后删除.
在用到 Windows 自动更新的时候在管理工具,服务列表里面发现 Automatic Updates 消失了.
只好运行 regsvr32 wuaueng.dll 才得以恢复.
今后的几次使用电脑的过程中发现,只要stkhost.exe 进程存在的时候, Automatic Updates 就消失了,这让我更怀疑 stkhost.exe 是有害程序了.
接下来我直接在regedit里面搜索 stkhost.exe ,曾在多处发现stkhost.exe的踪影.
有很多个键名为KeyboardDriver,键值为 c:\windows\system32\stkhost.exe 的条目存在.

问题就是,无论如何我都不能证明它是一个病毒或木马,无论如何它都有一些病毒木马的特征.而且它还会干掉我的温朵斯更新.
杀毒杀不到,杀马也检测不到.

非常希望和欢迎大家一起来讨论或帮助我解决这个问题.谢谢各位
嫌疑文件我已经打包2次上传到附件里,因为还不确实是否为病毒,请各位不要随意运行.如果你的杀毒查到病毒,请将报告发上来,谢谢.

用户系统信息：Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.3) Gecko/2008092417 Firefox/3.0.3

附件: stkhost.zip

豪斯登堡新郎 - 2008-11-3 22:24:00

文件: stkhost.exe
大小: 933888 字节
MD5: E3BE9940343FD192D2B776C475B51F8F
SHA1: E4DC1911DEAD472646DE7C839A2AB3AA444A6D04
CRC32: DFD2F124
加壳类型: Armadillo
编写语言: 不详

简单行为分析:

创建文件:

引用:

%system32%\Drivers\npf.sys
%system32%\packet.dll
%system32%\stkhost.exe
%system32%\wpcap.dll
%Documents and Settings%\All Users\Application Data\TEMP\466F9D5D.TMP

加载npf.sys安装驱动程序:

引用:

HKLM\SYSTEM\CurrentControlSet\Services\NPF: "%system32%\drivers\npf.sys";

删除注册表破坏windows自动更新:

引用:

HKLM\SYSTEM\ControlSet001\Services\wuauserv
HKLM\SYSTEM\CurrentControlSet\Services\wuauserv;

运行%system32%\stkhost.exe并退出自身进程,完成以下行为:

添加注册表启动项:

引用:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Keyboard Driver: "stkhost.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices: "stkhost.exe";

添加注册表值:

引用:

HKLM\SOFTWARE\Classes\CLSID\{CD363BEC-7150-B887-530D-5F3E2E0424EA}\Instance\InitPropertyBag\CLSID: "{13709620-C279-11CE-A49E-444553540000}"
HKLM\SOFTWARE\Classes\CLSID\{CD363BEC-7150-B887-530D-5F3E2E0424EA}\Instance\InitPropertyBag\command: "@shell32.dll,-12708"
HKLM\SOFTWARE\Classes\CLSID\{CD363BEC-7150-B887-530D-5F3E2E0424EA}\Instance\InitPropertyBag\method: "FindFiles"
HKLM\SOFTWARE\Classes\CLSID\{CD363BEC-7150-B887-530D-5F3E2E0424EA}\shellex\ContextMenuHandlers\{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}\: ""
HKLM\SOFTWARE\Classes\CLSID\{CD363BEC-7150-B887-530D-5F3E2E0424EA}\shellex\MayChangeDefaultMenu\: ""
HKLM\SOFTWARE\Classes\CLSID\{CD363BEC-7150-B887-530D-5F3E2E0424EA}\zptotxwOw\: "nCwOFEfFLXqzc@tKwLTEb~IJ}IyC]ZU"
HKLM\SOFTWARE\Classes\CLSID\{CD363BEC-7150-B887-530D-5F3E2E0424EA}\zboyfhOoAHs\: "PUlidlXfz@t^}EINKV~hoaGY~"
HKLM\SOFTWARE\Classes\CLSID\{CD363BEC-7150-B887-530D-5F3E2E0424EA}\ShellFolder\Attributes: 0x00000000
HKLM\SOFTWARE\Classes\CLSID\{CD363BEC-7150-B887-530D-5F3E2E0424EA}\mCkwx\: "kOOLSfzRjjHxpvC{F"
HKLM\SOFTWARE\Classes\CLSID\{CD363BEC-7150-B887-530D-5F3E2E0424EA}\lwxbAbhuoa\: "}hz{Cq]Dk^ce|\~tINaj\F\JTddi"
HKLM\SOFTWARE\Classes\CLSID\{CD363BEC-7150-B887-530D-5F3E2E0424EA}\kNcnnjb\: "K\FSWQ^]kcPiiZPriLDfmsDvCTA@Ao@d"
HKLM\SOFTWARE\Classes\CLSID\{CD363BEC-7150-B887-530D-5F3E2E0424EA}\jIdqcD\: "Zmyd"
HKLM\SOFTWARE\Classes\CLSID\{CD363BEC-7150-B887-530D-5F3E2E0424EA}\Instance\CLSID: "{3f454f0e-42ae-4d7c-8ea3-328250d6e272}"
HKLM\SOFTWARE\Classes\CLSID\{CD363BEC-7150-B887-530D-5F3E2E0424EA}\InProcServer32\: "%SystemRoot%\system32\shdocvw.dll"
HKLM\SOFTWARE\Classes\CLSID\{CD363BEC-7150-B887-530D-5F3E2E0424EA}\InProcServer32\ThreadingModel: "Apartment"
HKLM\SOFTWARE\Classes\CLSID\{CD363BEC-7150-B887-530D-5F3E2E0424EA}\DefaultIcon\: "%SystemRoot%\system32\shell32.dll,-23"
HKLM\SOFTWARE\Classes\CLSID\{CD363BEC-7150-B887-530D-5F3E2E0424EA}\DbdxwX\: "tb}uZhkwdnyoABOoCWeWKKPQgzT"
HKLM\SOFTWARE\Classes\CLSID\{CD363BEC-7150-B887-530D-5F3E2E0424EA}\: "搜索"
HKLM\SOFTWARE\Classes\CLSID\{CD363BEC-7150-B887-530D-5F3E2E0424EA}\LocalizedString: "@explorer.exe,-7020"
HKLM\SOFTWARE\Classes\CLSID\{CD363BEC-7150-B887-530D-5F3E2E0424EA}\InfoTip: "@explorer.exe,-7000";

修改注册表:

引用:

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous: "00000001";

启用服务:

引用:

RemoteAccess
Router;

出站TCP访问:

引用:

193.202.63.20 (ns3.belcom.hu):1311 (rxmon)

删除原文件;

手工清理:

1.结束进程stkhost.exe;

2.删除文件:

引用:

%system32%\Drivers\npf.sys
%system32%\packet.dll
%system32%\stkhost.exe
%system32%\wpcap.dll
%Documents and Settings%\All Users\Application Data\TEMP\466F9D5D.TMP

3.删除注册表:

引用:

HKLM\SYSTEM\CurrentControlSet\Services\NPF
HKLM\SYSTEM\ControlSet001\Services\wuauserv
HKLM\SYSTEM\CurrentControlSet\Services\wuauserv;;

4.在注册表添加新键和值:

引用:

HKLM\SYSTEM\ControlSet001\Services\wuauserv\Security\Security: 01 00 14 80 78 00 00 00 84 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 00 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 48 00 03 00 00 00 00 00 14 00 9D 00 02 00 01 01 00 00 00 00 00 05 0B 00 00 00 00 00 18 00 FF 01 0F 00 01 02 00 00 00 00 00 05 20 00 00 00 20 02 00 00 00 00 14 00 FF 01 0F 00 01 01 00 00 00 00 00 05 12 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00
HKLM\SYSTEM\ControlSet001\Services\wuauserv\Parameters\ServiceDll: "C:\WINDOWS\system32\wuauserv.dll"
HKLM\SYSTEM\ControlSet001\Services\wuauserv\Type: 0x00000020
HKLM\SYSTEM\ControlSet001\Services\wuauserv\Start: 0x00000004
HKLM\SYSTEM\ControlSet001\Services\wuauserv\ErrorControl: 0x00000001
HKLM\SYSTEM\ControlSet001\Services\wuauserv\ImagePath: "%systemroot%\system32\svchost.exe -k netsvcs"
HKLM\SYSTEM\ControlSet001\Services\wuauserv\DisplayName: "自动更新"
HKLM\SYSTEM\ControlSet001\Services\wuauserv\ObjectName: "LocalSystem"
HKLM\SYSTEM\ControlSet001\Services\wuauserv\Description: "启用下载和安装 Windows 更新。如果此服务被禁用，这台计算机将无法使用“自动更新”功能和 Windows Update 网站。"
HKLM\SYSTEM\CurrentControlSet\Services\KmxFile\CreatedFilesTimestamp\C:\Documents and Settings\Administrator\Local Settings\Temp\Perflib_Perfdata_d78.dat: A0 53 B3 ED 8F 3D C9 01 B8 E2 E0 85 10 00 00 00
HKLM\SYSTEM\CurrentControlSet\Services\wuauserv\Security\Security: 01 00 14 80 78 00 00 00 84 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 00 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 48 00 03 00 00 00 00 00 14 00 9D 00 02 00 01 01 00 00 00 00 00 05 0B 00 00 00 00 00 18 00 FF 01 0F 00 01 02 00 00 00 00 00 05 20 00 00 00 20 02 00 00 00 00 14 00 FF 01 0F 00 01 01 00 00 00 00 00 05 12 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00
HKLM\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters\ServiceDll: "C:\WINDOWS\system32\wuauserv.dll"
HKLM\SYSTEM\CurrentControlSet\Services\wuauserv\Type: 0x00000020
HKLM\SYSTEM\CurrentControlSet\Services\wuauserv\Start: 0x00000004
HKLM\SYSTEM\CurrentControlSet\Services\wuauserv\ErrorControl: 0x00000001
HKLM\SYSTEM\CurrentControlSet\Services\wuauserv\ImagePath: "%systemroot%\system32\svchost.exe -k netsvcs"
HKLM\SYSTEM\CurrentControlSet\Services\wuauserv\DisplayName: "自动更新"
HKLM\SYSTEM\CurrentControlSet\Services\wuauserv\ObjectName: "LocalSystem"
HKLM\SYSTEM\CurrentControlSet\Services\wuauserv\Description: "启用下载和安装 Windows 更新。如果此服务被禁用，这台计算机将无法使用“自动更新”功能和 Windows Update 网站。"

5.修改注册表:

引用:

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous: "00000000";

6.视个人使用情况决定启用或禁用以下服务:

引用:

RemoteAccess
Router;

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
　　　　 %Windir% 　　　　　　　　　　 WINDODWS所在目录
　　　　 %DriveLetter%　　　　　　　　逻辑驱动器根目录
　　　　 %ProgramFiles%　　　　　　　系统程序默认安装目录
　　　　 %HomeDrive% 　　　　　　　　　当前启动的系统的所在分区
　　　　 %Documents and Settings% 　　　当前用户文档根目录
　　　　 %Temp% 　　　　　　　　　　　　\Documents and Settings
　　　　　　　　　　　　　　　　　　　 \当前用户\Local Settings\Temp
　　　　 %System32% 　　　　　　　　　　系统的 System32文件夹
　　　　
　　　　 Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　　　 windows95/98/me中默认的安装路径是C:\Windows\System
　　　　 windowsXP中默认的安装路径是C:\Windows\System

瑞星卡卡安全论坛