瑞星卡卡安全论坛

刚开邮箱，收到一个网友发的样本services.exe。瑞星今天的病毒库不报。不知道叫什么名字。

一、services.exe感染系统后的表现：
1、在C:\windows\下释放services.exe。进程列表中可见services.exe进程（路径C:\windows\services.exe）。services.exe有进程守护功能，须用IceSword禁止进程创建，才能将其结束。

2、注册表改动：

（1）在HKEY_CLASSES_ROOT\分支添加：
.key（键值@="regfile"）
（2）在HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Winlogon分支添加：
"ParseAutoexec"="1"
（3）先在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions分支添加：\12，后又将其删除（汗！）。

（4）将HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile分支的"EnableFirewall"=dword:00000001改为"EnableFirewall"=dword:00000000。
（5）将HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile分支的"EnableFirewall"=dword:00000001改为"EnableFirewall"=dword:00000000。
（6）将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc分支的"Start"=dword:00000002改为"Start"=dword:00000004。
（7）将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa分支的"restrictanonymous"=dword:00000000改为"restrictanonymous"=dword:00000001。
（8）将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole分支的"EnableDCOM"="Y"改为"EnableDCOM"="N"。
（9）将HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate分支的"DoNotAllowXPSP2"=dword:00000000改为"DoNotAllowXPSP2"=dword:00000001。
（10）在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\分支添加：
Windows Helpfile（指向：C:\windows\services.exe）。

二、services.exe的手工查杀流程：

1、用IceSwordIceSword禁止进程创建，结束services.exe进程（路径C:\windows\services.exe）。
2、删除C:\windows\services.exe。
3、清理注册表（参照上述“注册表改动”）。

又是一个改动系统安全设置的？

【回复“天天泡泡”的帖子】
这东东还不算太恶。今天卸载了卡巴，正式用瑞星2006了。没想到——上来就来这么一出！汗！

引用:

【baohe的贴子】【回复“天天泡泡”的帖子】 这东东还不算太恶。今天卸载了卡巴，正是用瑞星2006了。没想到——上来就来这么一出！汗！ ...........................

为什么给你寄光盘了，没有给我啊

【回复“天天泡泡”的帖子】
我以前回帖，经常大喊——我没有瑞星！这个毒不知道瑞星报什么名字。
可能是因为这个？

吓我一跳

我进程里也有这个services

仔细一看，原来路径不对

我的是在system32下

呵呵～～

引用:

【baohe的贴子】【回复“天天泡泡”的帖子】 我以前回帖，经常大喊——我没有瑞星！这个毒不知道瑞星报什么名字。 可能是因为这个？ ...........................

那下次我直接叫，给我瑞星，我来告诉你这玩意叫什么！

受益

这个，，还算不错，，并不很恶毒的．．．．．．．．我遇到过．．．．．．．．．．．．．．．