【病毒查杀】Svchost.exe木马查杀方法(目前卡巴斯基、瑞星不报.)

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2006-07-30 17:19 \| 只看楼主短消息资料字号：小中大 1楼【病毒查杀】Svchost.exe木马查杀方法(目前卡巴斯基、瑞星不报.) 今天接到同学的一个木马样本,样本名为:5441194.exe. 运行后，释放C:\windows\svchost.exe，C:\windows\system32\svchost.dll。另外，SSM报它释放的一个TMP文件改写注册表，添加启动项。并且修改Explorer.exe，注入explorer，使得EXPLORER启动一个线程时，就会自动加载木马。（比如我在杀木马的时候，试图打开“我的电脑”去查找木马文件。这时SSM又报explorer.exe加载svchost.exe，这也是一般这样的木马杀不尽的原因。）添加一个BHO，指向C:\windows\system32\svchost.dll。中毒后HijackThis日志中出现：进程：C:\windows\svchost.exe O2 - BHO: Webacc - {CAC068F3-A608-406B-8581-458788A67694} - C:\windows\system32\svchost.dll O4 - HKLM\..\Run: [svc] C:\windows\svchost.exe O4 - HKCU\..\Run: [svc] C:\windows\svchost.exe 查杀方法： 1、用IceSword设置禁止线/进程创建，结束explorer.exe与svchost.exe进程(小心别搞错) 2、删除C：\windows\system32\svchost.dll与C:\windows\svchost.exe 3、使用HijackTHis修复上面提到的三项注意：必须结束explorer.exe或者卸掉插入explorer.exe的svchost.dll(baohe版主8楼帖子)，因为我不想结束，结果测试时发现即使用IceSword删除掉这个svchost.exe，那么explorer.exe还会创建它。搞得我好麻烦啊。 2008-04-16 10:43:38
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	分享到：

mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	发表于： 2006-07-30 17:21 \| 短消息资料字号：小中大 2楼闪电这玩意瑞星不报? 我怎么记得N久以前就有这马了...
mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2006-07-30 17:22 \| 只看楼主短消息资料字号：小中大 3楼瑞星也不报啊
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	发表于： 2006-07-30 17:23 \| 短消息资料字号：小中大 4楼送我..传群共享..
mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2006-07-30 17:27 \| 只看楼主短消息资料字号：小中大 5楼好的
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-07-30 17:27 \| 短消息资料字号：小中大 6楼【回复“闪电风暴”的帖子】如果可能，请发一个样本到：baohelin@yahoo.com.cn 谢谢！
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2006-07-30 17:31 \| 只看楼主短消息资料字号：小中大 7楼已经发送。密码为123
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2006-07-30 17:41 \| 只看楼主短消息资料字号：小中大 8楼顶一下
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-07-30 18:05 | 短消息资料

字号：小中大 9楼

引用:

【闪电风暴的贴子】今天接到同学的一个木马样本,样本名为:5441194.exe.
运行后，释放C:\windows\svchost.exe，C:\windows\system32\svchost.dll。另外，SSM报它释放的一个TMP文件改写注册表，添加启动项。并且修改Explorer.exe，注入explorer，使得EXPLORER启动一个线程时，就会自动加载木马。（比如我在杀木马的时候，试图打开“我的电脑”去查找木马文件。这时SSM又报explorer.exe加载svchost.exe，这也是一般这样的木马杀不尽的原因。）
添加一个BHO，指向C:\windows\system32\svchost.dll。

中毒后HijackThis日志中出现：
进程：C:\windows\svchost.exe

O2 - BHO: Webacc - {CAC068F3-A608-406B-8581-458788A67694} - C:\windows\system32\svchost.dll
O4 - HKLM\..\Run: [svc] C:\windows\svchost.exe
O4 - HKCU\..\Run: [svc] C:\windows\svchost.exe

查杀方法：
1、用IceSword设置禁止线/进程创建，结束explorer.exe与svchost.exe进程
2、删除C：\windows\system32\svchost.dll与C:\windows\svchost.exe
3、使用HijackTHis修复上面提到的三项

注意：必须结束explorer.exe，因为我不想结束，结果测试时发现即使用IceSword删除掉这个svchost.exe，那么explorer.exe还会创建它。搞得我好麻烦啊。
...........................

不结束explorer.exe进程，用IS强制卸除插入explorer.exe的svchost.dll，然后删除之，也可以。

特邀体验者

帖子:5462
注册: 2005-01-12
来自:0GiNr

发表于： 2006-07-30 19:18 | 只看楼主 短消息资料

字号：小中大 10楼

引用:

【baohe的贴子】

引用:

【闪电风暴的贴子】今天接到同学的一个木马样本,样本名为:5441194.exe.
运行后，释放C:\windows\svchost.exe，C:\windows\system32\svchost.dll。另外，SSM报它释放的一个TMP文件改写注册表，添加启动项。并且修改Explorer.exe，注入explorer，使得EXPLORER启动一个线程时，就会自动加载木马。（比如我在杀木马的时候，试图打开“我的电脑”去查找木马文件。这时SSM又报explorer.exe加载svchost.exe，这也是一般这样的木马杀不尽的原因。）
添加一个BHO，指向C:\windows\system32\svchost.dll。

中毒后HijackThis日志中出现：
进程：C:\windows\svchost.exe

O2 - BHO: Webacc - {CAC068F3-A608-406B-8581-458788A67694} - C:\windows\system32\svchost.dll
O4 - HKLM\..\Run: [svc] C:\windows\svchost.exe
O4 - HKCU\..\Run: [svc] C:\windows\svchost.exe

查杀方法：
1、用IceSword设置禁止线/进程创建，结束explorer.exe与svchost.exe进程
2、删除C：\windows\system32\svchost.dll与C:\windows\svchost.exe
3、使用HijackTHis修复上面提到的三项

注意：必须结束explorer.exe，因为我不想结束，结果测试时发现即使用IceSword删除掉这个svchost.exe，那么explorer.exe还会创建它。搞得我好麻烦啊。
...........................

不结束explorer.exe进程，用IS强制卸除插入explorer.exe的svchost.dll，然后删除之，也可以。
...........................

谢谢

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2006-07-30 17:19 \| 只看楼主短消息资料字号：小中大 1楼【病毒查杀】Svchost.exe木马查杀方法(目前卡巴斯基、瑞星不报.) 今天接到同学的一个木马样本,样本名为:5441194.exe. 运行后，释放C:\windows\svchost.exe，C:\windows\system32\svchost.dll。另外，SSM报它释放的一个TMP文件改写注册表，添加启动项。并且修改Explorer.exe，注入explorer，使得EXPLORER启动一个线程时，就会自动加载木马。（比如我在杀木马的时候，试图打开“我的电脑”去查找木马文件。这时SSM又报explorer.exe加载svchost.exe，这也是一般这样的木马杀不尽的原因。）添加一个BHO，指向C:\windows\system32\svchost.dll。中毒后HijackThis日志中出现：进程：C:\windows\svchost.exe O2 - BHO: Webacc - {CAC068F3-A608-406B-8581-458788A67694} - C:\windows\system32\svchost.dll O4 - HKLM\..\Run: [svc] C:\windows\svchost.exe O4 - HKCU\..\Run: [svc] C:\windows\svchost.exe 查杀方法： 1、用IceSword设置禁止线/进程创建，结束explorer.exe与svchost.exe进程(小心别搞错) 2、删除C：\windows\system32\svchost.dll与C:\windows\svchost.exe 3、使用HijackTHis修复上面提到的三项注意：必须结束explorer.exe或者卸掉插入explorer.exe的svchost.dll(baohe版主8楼帖子)，因为我不想结束，结果测试时发现即使用IceSword删除掉这个svchost.exe，那么explorer.exe还会创建它。搞得我好麻烦啊。 2008-04-16 10:43:38
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【病毒查杀】Svchost.exe木马查杀方法(目前卡巴斯基、瑞星不报.)

【病毒查杀】Svchost.exe木马查杀方法(目前卡巴斯基、瑞星不报.)

【病毒查杀】Svchost.exe木马查杀方法(目前卡巴斯基、瑞星不报.)

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛【病毒查杀】Svchost.exe木马查杀方法(目前卡巴斯基、瑞星不报.)