瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 猫叔在吗?SVCH0ST.exe
西门吹牛 - 2007-4-4 11:10:00
C:\WINDOWS\system32\SVCH0ST.exe,我清除时只是删除了病毒的启动项和C:\WINDOWS\system32\SVCH0ST.exe的病毒主体,不知道还有没有其它垃圾文件,请帮忙分析一下。谢谢!
baohe - 2007-4-4 11:11:00
【回复“西门吹牛”的帖子】
baohelin@yahoo.com.cn
西门吹牛 - 2007-4-4 11:19:00
谢谢猫叔帮忙,目前卡巴斯基不能识别该病毒。
西门吹牛 - 2007-4-4 11:20:00
已经发送,密码:123456789
baohe - 2007-4-4 11:22:00
【回复“西门吹牛”的帖子】
老大!
邮件收到了;但您把附件丢了。
重新发一下吧。
西门吹牛 - 2007-4-4 11:23:00
样本在第二封邮件中
baohe - 2007-4-4 11:53:00
【回复“西门吹牛”的帖子】
又是一个乱插进程的烂货。
有动态插入行为。貌似不插系统核心进程。
插入explorer.exe以及中毒后运行的所有程序中的N个病毒模块可用IceSword强制卸除。

结束所有病毒进程后扫的SRENG日志如下:

启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <ravshell><C:\windows\system32\SVCH0ST.exe>  [N/A]
    <svc><C:\DOCUME~1\baohelin\LOCALS~1\Temp\yqr.exe>  [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <mhsa><C:\DOCUME~1\baohelin\LOCALS~1\Temp\mhso.exe>  [N/A]
    <mppdys><C:\windows\mppdys.exe>  [N/A]
    <cmdbcs><C:\windows\cmdbcs.exe>  [N/A]
    <upxdnd><C:\DOCUME~1\baohelin\LOCALS~1\Temp\TIMPLATF0RM.exe>  [N/A]
    <wgs3><C:\windows\wgs3.exe>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}><C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys>  [N/A]

==================================
驱动程序

[Netgroup Packet Filter / NPF][Stopped/Manual Start]
  <system32\DRIVERS\npf.sys><CACE Technologies>

==================================
正在运行的进程
[PID: 524][C:\Program Files\Opera\Opera.exe]  [Opera Software, 8679]
    [C:\DOCUME~1\baohelin\LOCALS~1\Temp\qx.dll]  [N/A, N/A]
[PID: 2408][C:\Program Files\SREng2\SREng.exe]  [Smallfrogs Studio, 2.3.13.690]
    [C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys]  [N/A, N/A]


吃饭了。下午有时间再仔细看看这个烂货。
西门吹牛 - 2007-4-4 12:03:00
谢谢猫叔用宝贵的时间为网友服务!
热切关注后续!
not - 2007-4-4 12:45:00
也给我一个样本吧,我也跟猫叔学学分析病毒
tongxu1@163.com
谢谢
西门吹牛 - 2007-4-4 13:47:00
引用:
【not的贴子】也给我一个样本吧,我也跟猫叔学学分析病毒
tongxu1@163.com
谢谢
………………

已经发送,请接收
baohe - 2007-4-4 14:57:00
引用:
【西门吹牛的贴子】谢谢猫叔用宝贵的时间为网友服务!
热切关注后续!
………………


下午再次运行样本,只在system32文件夹释放SVCH0ST.EXE和norton.sys。
在HKCU\Software\Microsoft\Windows\CurrentVersion\Run分支添加启动项:       
ravshell(指向 C:\windows\system32\SVCH0ST.exe)

重启系统,发现norton.sys通过SVCH0ST.exe加载,加载后即被自动删除。
重复两次,结果相同(死活不再下载其它木马)。
结束SVCH0ST.exe进程。删除SVCH0ST.exe启动项,删除SVCH0ST.exe文件。完事。

西门吹牛 - 2007-4-4 15:10:00
哦,看来没有什么大的危害,要是这样的话,我只要删除了SVCH0ST.exe启动项,删除SVCH0ST.exe文件就可以了。
谢谢猫叔!!万分感谢!
西门吹牛 - 2007-4-5 10:26:00
昨天将此病毒上报给卡巴斯基,今天早晨发现能够查杀了,病毒名称为: 木马程序 Backdoor.Win32.Agent.air

文件: C:\Documents and Settings\Administrator\桌面\SVCH0ST.rar\SVCH0ST.exe
西门吹牛 - 2007-4-20 20:53:00
猫叔,还是这个病毒,呵呵,今天运行了一下,下载了很多木马啊!包括你说的那个shualai.exe病毒。
newcenturymoon - 2007-4-20 21:03:00
发给我好么 打包加密123 谢谢
newcenturymoon1986@yahoo.com.cn
西门吹牛 - 2007-4-20 21:13:00
引用:
【newcenturymoon的贴子】发给我好么 打包加密123 谢谢
newcenturymoon1986@yahoo.com.cn
………………

已发送,请查收。
newcenturymoon - 2007-4-20 21:24:00
没看见附件亚?
西门吹牛 - 2007-4-20 21:49:00
又发了一遍
我是子曰 - 2007-4-24 19:08:00
.........................
西门吹牛 - 2007-4-24 21:46:00
引用:
【我是子曰的贴子】找了几个小时,终于找到这东西的原帖了!!!
我要一份样本!!

lyjcr0317@163.com
万分感谢
………………

已发送
masket - 2007-4-24 21:57:00
牛哥请教一下,怎么杀啊?
西门吹牛 - 2007-4-24 22:00:00
呵呵,我也是不懂得怎么杀,才来请教的啊!互相学习吧!
火影忍者 - 2007-4-24 22:43:00
都这么喜欢玩啊...

也给个我吧...我也想学习学习...!!
wjia - 2007-4-24 22:47:00
该用户帖子内容已被屏蔽
banman - 2007-4-24 23:14:00
SVCH0ST.exe是病毒吗,我有好几个这样的进程
banman - 2007-4-24 23:23:00
引用:
【西门吹牛的贴子】昨天将此病毒上报给卡巴斯基,今天早晨发现能够查杀了,病毒名称为: 木马程序 Backdoor.Win32.Agent.air

文件: C:\Documents and Settings\Administrator\桌面\SVCH0ST.rar\SVCH0ST.exe

………………

上报给卡巴斯基 你是怎么作的
1
查看完整版本: 猫叔在吗?SVCH0ST.exe