stkhost.exe 查无资料 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 可疑文件交流 stkhost.exe 查无资料

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

stkhost.exe 查无资料

本主题由版主天云一剑于 2008-11-3 16:41:23 执行移动主题操作

teacherlau 初生襁褓狮帖子:2 注册: 2008-11-03 来自:	发表于： 2008-11-03 16:18 \| 只看楼主短消息资料字号：小中大 1楼 stkhost.exe 查无资料最近使用电脑的时候发现它的反应比以前慢了. 打开任务管理器突然发现里面运行着一个stkhost.exe进程.我只见识过svchost.exe这样的进程,但从来没有听说过stkhost.exe.于是上GOOGLE上搜索,搜到了一些毫无关系的结果.然后去百度上搜索,结果是"抱歉，没有找到与“stkhost.exe” 相关的网页。" 我进入c:\windows\system32没有发现 stkhost.exe 文件. 结果在cmd下运行attrib stkhost.exe -s -h -r 发现文件是被隐藏了. 我的系统是Windows XP Home SP3 杀毒软件ESET NOD32 antivirus 3.0.672.0 用NOD32对STKHOST.EXE 文件进行扫描,无毒. 之后分别安装了anti-trojan,a-squared Free...多种杀木马程序,检测结果均为无. 或许它根本就是一个正常的进程呢,我在该文件上右键单击,选择属性,没有找到文件版本号,公司名称,产品名称,产品版本,数字签名,等.之后我放弃了,只是把它打包然后删除原文件. 后来有几次开机后任务管理器中又发现了该进程,我直接将它终止然后删除. 在用到 Windows 自动更新的时候在管理工具,服务列表里面发现 Automatic Updates 消失了. 只好运行 regsvr32 wuaueng.dll 才得以恢复. 今后的几次使用电脑的过程中发现,只要stkhost.exe 进程存在的时候, Automatic Updates 就消失了,这让我更怀疑 stkhost.exe 是有害程序了. 接下来我直接在regedit里面搜索 stkhost.exe ,曾在多处发现stkhost.exe的踪影. 有很多个键名为KeyboardDriver,键值为 c:\windows\system32\stkhost.exe 的条目存在. 问题就是,无论如何我都不能证明它是一个病毒或木马,无论如何它都有一些病毒木马的特征.而且它还会干掉我的温朵斯更新. 杀毒杀不到,杀马也检测不到. 非常希望和欢迎大家一起来讨论或帮助我解决这个问题.谢谢各位嫌疑文件我已经打包2次上传到附件里,因为还不确实是否为病毒,请各位不要随意运行.如果你的杀毒查到病毒,请将报告发上来,谢谢. 用户系统信息：Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.3) Gecko/2008092417 Firefox/3.0.3 附件: 您所在的用户组无法下载或查看附件
teacherlau 初生襁褓狮帖子:2 注册: 2008-11-03 来自:	分享到：

天云一剑叱咤花甲狮帖子:2028 注册: 2008-07-06 来自:知识折旧派	发表于： 2008-11-03 16:54 \| 短消息资料字号：小中大 2楼回复：stkhost.exe 查无资料 http://www.virustotal.com/zh-cn/ ... f46406fe88004976946 修改注册表内容注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG 注册表名称:Seed 修改注册表内容注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\HKEY_LOCAL_MACHINE\SOFTWARE\Licenses 注册表名称:{IDEE9E09D11E5850E} 修改注册表内容注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\HKEY_LOCAL_MACHINE\SOFTWARE\Licenses 注册表名称:{0DEE9E09D11E5850E} 修改文件文件路径:(隐藏文件)C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files 文件路径:(隐藏文件)C:\Documents and Settings\Administrator\Local Settings\History 文件路径:(隐藏文件)C:\Documents and Settings\Administrator\Local Settings\History\History.IE5 文件路径:(隐藏文件)C:\Documents and Settings\Administrator\Cookies 文件路径:C:\Documents and Settings\Administrator\Cookies\index.dat 创建文件文件路径:C:\\Documents and Settings\Administrator\Cookies 文件路径:C:\WINDOWS\system32\wpcap.dll 文件路径:C:\WINDOWS\system32\packet.dll 文件路径:C:\WINDOWS\system32\Drivers\npf.sys 天云一剑最后编辑于 2008-11-03 20:06:39 汰丸，你妈妈六十大寿让你回家吃饭 http://hi.baidu.com/roxiel
天云一剑叱咤花甲狮帖子:2028 注册: 2008-07-06 来自:知识折旧派

teacherlau 初生襁褓狮帖子:2 注册: 2008-11-03 来自:	发表于： 2008-11-03 17:03 \| 只看楼主短消息资料字号：小中大 3楼回复 1F teacherlau 的帖子谢谢你真好
teacherlau 初生襁褓狮帖子:2 注册: 2008-11-03 来自:

豪斯登堡新郎社区嘉宾帖子:4234 注册: 2007-11-09 来自:	发表于： 2008-11-03 22:24 \| 短消息资料字号：小中大 4楼回复：stkhost.exe 查无资料文件: stkhost.exe 大小: 933888 字节 MD5: E3BE9940343FD192D2B776C475B51F8F SHA1: E4DC1911DEAD472646DE7C839A2AB3AA444A6D04 CRC32: DFD2F124 加壳类型: Armadillo 编写语言: 不详简单行为分析: 创建文件: 引用: %system32%\Drivers\npf.sys %system32%\packet.dll %system32%\stkhost.exe %system32%\wpcap.dll %Documents and Settings%\All Users\Application Data\TEMP\466F9D5D.TMP 加载npf.sys安装驱动程序: 引用: HKLM\SYSTEM\CurrentControlSet\Services\NPF: "%system32%\drivers\npf.sys"; 删除注册表破坏windows自动更新: 引用: HKLM\SYSTEM\ControlSet001\Services\wuauserv HKLM\SYSTEM\CurrentControlSet\Services\wuauserv; 运行%system32%\stkhost.exe并退出自身进程,完成以下行为: 添加注册表启动项: 引用: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Keyboard Driver: "stkhost.exe" HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices: "stkhost.exe"; 添加注册表值: 引用: HKLM\SOFTWARE\Classes\CLSID\{CD363BEC-7150-B887-530D-5F3E2E0424EA}\Instance\InitPropertyBag\CLSID: "{13709620-C279-11CE-A49E-444553540000}" HKLM\SOFTWARE\Classes\CLSID\{CD363BEC-7150-B887-530D-5F3E2E0424EA}\Instance\InitPropertyBag\command: "@shell32.dll,-12708" HKLM\SOFTWARE\Classes\CLSID\{CD363BEC-7150-B887-530D-5F3E2E0424EA}\Instance\InitPropertyBag\method: "FindFiles" HKLM\SOFTWARE\Classes\CLSID\{CD363BEC-7150-B887-530D-5F3E2E0424EA}\shellex\ContextMenuHandlers\{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}\: "" HKLM\SOFTWARE\Classes\CLSID\{CD363BEC-7150-B887-530D-5F3E2E0424EA}\shellex\MayChangeDefaultMenu\: "" HKLM\SOFTWARE\Classes\CLSID\{CD363BEC-7150-B887-530D-5F3E2E0424EA}\zptotxwOw\: "nCwOFEfFLXqzc@tKwLTEb~IJ}IyC]ZU" HKLM\SOFTWARE\Classes\CLSID\{CD363BEC-7150-B887-530D-5F3E2E0424EA}\zboyfhOoAHs\: "PUlidlXfz@t^}EINKV~hoaGY~" HKLM\SOFTWARE\Classes\CLSID\{CD363BEC-7150-B887-530D-5F3E2E0424EA}\ShellFolder\Attributes: 0x00000000 HKLM\SOFTWARE\Classes\CLSID\{CD363BEC-7150-B887-530D-5F3E2E0424EA}\mCkwx\: "kOOLSfzRjjHxpvC{F" HKLM\SOFTWARE\Classes\CLSID\{CD363BEC-7150-B887-530D-5F3E2E0424EA}\lwxbAbhuoa\: "}hz{Cq]Dk^ce\|\~tINaj\F\JTddi" HKLM\SOFTWARE\Classes\CLSID\{CD363BEC-7150-B887-530D-5F3E2E0424EA}\kNcnnjb\: "K\FSWQ^]kcPiiZPriLDfmsDvCTA@Ao@d" HKLM\SOFTWARE\Classes\CLSID\{CD363BEC-7150-B887-530D-5F3E2E0424EA}\jIdqcD\: "Zmyd" HKLM\SOFTWARE\Classes\CLSID\{CD363BEC-7150-B887-530D-5F3E2E0424EA}\Instance\CLSID: "{3f454f0e-42ae-4d7c-8ea3-328250d6e272}" HKLM\SOFTWARE\Classes\CLSID\{CD363BEC-7150-B887-530D-5F3E2E0424EA}\InProcServer32\: "%SystemRoot%\system32\shdocvw.dll" HKLM\SOFTWARE\Classes\CLSID\{CD363BEC-7150-B887-530D-5F3E2E0424EA}\InProcServer32\ThreadingModel: "Apartment" HKLM\SOFTWARE\Classes\CLSID\{CD363BEC-7150-B887-530D-5F3E2E0424EA}\DefaultIcon\: "%SystemRoot%\system32\shell32.dll,-23" HKLM\SOFTWARE\Classes\CLSID\{CD363BEC-7150-B887-530D-5F3E2E0424EA}\DbdxwX\: "tb}uZhkwdnyoABOoCWeWKKPQgzT" HKLM\SOFTWARE\Classes\CLSID\{CD363BEC-7150-B887-530D-5F3E2E0424EA}\: "搜索" HKLM\SOFTWARE\Classes\CLSID\{CD363BEC-7150-B887-530D-5F3E2E0424EA}\LocalizedString: "@explorer.exe,-7020" HKLM\SOFTWARE\Classes\CLSID\{CD363BEC-7150-B887-530D-5F3E2E0424EA}\InfoTip: "@explorer.exe,-7000"; 修改注册表: 引用: HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous: "00000001"; 启用服务: 引用: RemoteAccess Router; 出站TCP访问: 引用: 193.202.63.20 (ns3.belcom.hu):1311 (rxmon) 删除原文件; 手工清理: 1.结束进程stkhost.exe; 2.删除文件: 引用: %system32%\Drivers\npf.sys %system32%\packet.dll %system32%\stkhost.exe %system32%\wpcap.dll %Documents and Settings%\All Users\Application Data\TEMP\466F9D5D.TMP 3.删除注册表: 引用: HKLM\SYSTEM\CurrentControlSet\Services\NPF HKLM\SYSTEM\ControlSet001\Services\wuauserv HKLM\SYSTEM\CurrentControlSet\Services\wuauserv;; 4.在注册表添加新键和值: 引用: HKLM\SYSTEM\ControlSet001\Services\wuauserv\Security\Security: 01 00 14 80 78 00 00 00 84 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 00 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 48 00 03 00 00 00 00 00 14 00 9D 00 02 00 01 01 00 00 00 00 00 05 0B 00 00 00 00 00 18 00 FF 01 0F 00 01 02 00 00 00 00 00 05 20 00 00 00 20 02 00 00 00 00 14 00 FF 01 0F 00 01 01 00 00 00 00 00 05 12 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00 HKLM\SYSTEM\ControlSet001\Services\wuauserv\Parameters\ServiceDll: "C:\WINDOWS\system32\wuauserv.dll" HKLM\SYSTEM\ControlSet001\Services\wuauserv\Type: 0x00000020 HKLM\SYSTEM\ControlSet001\Services\wuauserv\Start: 0x00000004 HKLM\SYSTEM\ControlSet001\Services\wuauserv\ErrorControl: 0x00000001 HKLM\SYSTEM\ControlSet001\Services\wuauserv\ImagePath: "%systemroot%\system32\svchost.exe -k netsvcs" HKLM\SYSTEM\ControlSet001\Services\wuauserv\DisplayName: "自动更新" HKLM\SYSTEM\ControlSet001\Services\wuauserv\ObjectName: "LocalSystem" HKLM\SYSTEM\ControlSet001\Services\wuauserv\Description: "启用下载和安装 Windows 更新。如果此服务被禁用，这台计算机将无法使用“自动更新”功能和 Windows Update 网站。" HKLM\SYSTEM\CurrentControlSet\Services\KmxFile\CreatedFilesTimestamp\C:\Documents and Settings\Administrator\Local Settings\Temp\Perflib_Perfdata_d78.dat: A0 53 B3 ED 8F 3D C9 01 B8 E2 E0 85 10 00 00 00 HKLM\SYSTEM\CurrentControlSet\Services\wuauserv\Security\Security: 01 00 14 80 78 00 00 00 84 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 00 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 48 00 03 00 00 00 00 00 14 00 9D 00 02 00 01 01 00 00 00 00 00 05 0B 00 00 00 00 00 18 00 FF 01 0F 00 01 02 00 00 00 00 00 05 20 00 00 00 20 02 00 00 00 00 14 00 FF 01 0F 00 01 01 00 00 00 00 00 05 12 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00 HKLM\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters\ServiceDll: "C:\WINDOWS\system32\wuauserv.dll" HKLM\SYSTEM\CurrentControlSet\Services\wuauserv\Type: 0x00000020 HKLM\SYSTEM\CurrentControlSet\Services\wuauserv\Start: 0x00000004 HKLM\SYSTEM\CurrentControlSet\Services\wuauserv\ErrorControl: 0x00000001 HKLM\SYSTEM\CurrentControlSet\Services\wuauserv\ImagePath: "%systemroot%\system32\svchost.exe -k netsvcs" HKLM\SYSTEM\CurrentControlSet\Services\wuauserv\DisplayName: "自动更新" HKLM\SYSTEM\CurrentControlSet\Services\wuauserv\ObjectName: "LocalSystem" HKLM\SYSTEM\CurrentControlSet\Services\wuauserv\Description: "启用下载和安装 Windows 更新。如果此服务被禁用，这台计算机将无法使用“自动更新”功能和 Windows Update 网站。" 5.修改注册表: 引用: HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous: "00000000"; 6.视个人使用情况决定启用或禁用以下服务: 引用: RemoteAccess Router; 注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。　　　　 %Windir% 　　　　　　　　　　 WINDODWS所在目录　　　　 %DriveLetter%　　　　　　　　逻辑驱动器根目录　　　　 %ProgramFiles%　　　　　　　系统程序默认安装目录　　　　 %HomeDrive% 　　　　　　　　　当前启动的系统的所在分区　　　　 %Documents and Settings% 　　　当前用户文档根目录　　　　 %Temp% 　　　　　　　　　　　　\Documents and Settings 　　　　　　　　　　　　　　　　　　　 \当前用户\Local Settings\Temp 　　　　 %System32% 　　　　　　　　　　系统的 System32文件夹　　　　　　　　 Windows2000/NT中默认的安装路径是C:\Winnt\System32 　　　　 windows95/98/me中默认的安装路径是C:\Windows\System 　　　　 windowsXP中默认的安装路径是C:\Windows\System 豪斯登堡新郎最后编辑于 2008-11-03 22:25:35 不认识我没关系，因为我也不认识你。
豪斯登堡新郎社区嘉宾帖子:4234 注册: 2007-11-09 来自:

天云一剑叱咤花甲狮帖子:2028 注册: 2008-07-06 来自:知识折旧派	发表于： 2008-11-04 16:28 \| 短消息资料字号：小中大 5楼回复：stkhost.exe 查无资料新郎版的非常详细，我就测到创建文件，该进程就被结束了汰丸，你妈妈六十大寿让你回家吃饭 http://hi.baidu.com/roxiel
天云一剑叱咤花甲狮帖子:2028 注册: 2008-07-06 来自:知识折旧派

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT