瑞星卡卡安全论坛

C:\WINDOWS\system32\SVCH0ST.exe，我清除时只是删除了病毒的启动项和C:\WINDOWS\system32\SVCH0ST.exe的病毒主体，不知道还有没有其它垃圾文件，请帮忙分析一下。谢谢！

【回复“西门吹牛”的帖子】
baohelin@yahoo.com.cn

谢谢猫叔帮忙，目前卡巴斯基不能识别该病毒。

已经发送，密码：123456789

【回复“西门吹牛”的帖子】
老大！
邮件收到了；但您把附件丢了。
重新发一下吧。

样本在第二封邮件中

【回复“西门吹牛”的帖子】
又是一个乱插进程的烂货。
有动态插入行为。貌似不插系统核心进程。
插入explorer.exe以及中毒后运行的所有程序中的N个病毒模块可用IceSword强制卸除。

结束所有病毒进程后扫的SRENG日志如下：

启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <ravshell><C:\windows\system32\SVCH0ST.exe>  [N/A]
    <svc><C:\DOCUME~1\baohelin\LOCALS~1\Temp\yqr.exe>  [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <mhsa><C:\DOCUME~1\baohelin\LOCALS~1\Temp\mhso.exe>  [N/A]
    <mppdys><C:\windows\mppdys.exe>  [N/A]
    <cmdbcs><C:\windows\cmdbcs.exe>  [N/A]
    <upxdnd><C:\DOCUME~1\baohelin\LOCALS~1\Temp\TIMPLATF0RM.exe>  [N/A]
    <wgs3><C:\windows\wgs3.exe>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}><C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys>  [N/A]

==================================
驱动程序

[Netgroup Packet Filter / NPF][Stopped/Manual Start]
  <system32\DRIVERS\npf.sys><CACE Technologies>

==================================
正在运行的进程
[PID: 524][C:\Program Files\Opera\Opera.exe]  [Opera Software, 8679]
    [C:\DOCUME~1\baohelin\LOCALS~1\Temp\qx.dll]  [N/A, N/A]
[PID: 2408][C:\Program Files\SREng2\SREng.exe]  [Smallfrogs Studio, 2.3.13.690]
    [C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys]  [N/A, N/A]


吃饭了。下午有时间再仔细看看这个烂货。

谢谢猫叔用宝贵的时间为网友服务！
热切关注后续！

也给我一个样本吧,我也跟猫叔学学分析病毒
tongxu1@163.com
谢谢

引用:

【not的贴子】也给我一个样本吧,我也跟猫叔学学分析病毒 tongxu1@163.com 谢谢 ………………

已经发送，请接收

引用:

【西门吹牛的贴子】谢谢猫叔用宝贵的时间为网友服务！ 热切关注后续！ ………………

下午再次运行样本，只在system32文件夹释放SVCH0ST.EXE和norton.sys。
在HKCU\Software\Microsoft\Windows\CurrentVersion\Run分支添加启动项：       
ravshell（指向 C:\windows\system32\SVCH0ST.exe）

重启系统，发现norton.sys通过SVCH0ST.exe加载，加载后即被自动删除。
重复两次，结果相同（死活不再下载其它木马）。
结束SVCH0ST.exe进程。删除SVCH0ST.exe启动项，删除SVCH0ST.exe文件。完事。

哦，看来没有什么大的危害，要是这样的话，我只要删除了SVCH0ST.exe启动项，删除SVCH0ST.exe文件就可以了。
谢谢猫叔！！万分感谢！

昨天将此病毒上报给卡巴斯基，今天早晨发现能够查杀了，病毒名称为: 木马程序 Backdoor.Win32.Agent.air

文件: C:\Documents and Settings\Administrator\桌面\SVCH0ST.rar\SVCH0ST.exe

猫叔，还是这个病毒，呵呵，今天运行了一下，下载了很多木马啊！包括你说的那个shualai.exe病毒。

发给我好么 打包加密123 谢谢
newcenturymoon1986@yahoo.com.cn

引用:

【newcenturymoon的贴子】发给我好么 打包加密123 谢谢 newcenturymoon1986@yahoo.com.cn ………………

已发送，请查收。

没看见附件亚？

又发了一遍

.........................

引用:

【我是子曰的贴子】找了几个小时，终于找到这东西的原帖了！！！ 我要一份样本！！ lyjcr0317@163.com 万分感谢 ………………

已发送

牛哥请教一下,怎么杀啊?

呵呵，我也是不懂得怎么杀，才来请教的啊！互相学习吧！

都这么喜欢玩啊...

也给个我吧...我也想学习学习...!!

该用户帖子内容已被屏蔽

SVCH0ST.exe是病毒吗，我有好几个这样的进程

引用:

【西门吹牛的贴子】昨天将此病毒上报给卡巴斯基，今天早晨发现能够查杀了，病毒名称为: 木马程序 Backdoor.Win32.Agent.air 文件: C:\Documents and Settings\Administrator\桌面\SVCH0ST.rar\SVCH0ST.exe ………………

上报给卡巴斯基　你是怎么作的