【病毒查杀】Svchost.exe木马查杀方法(目前卡巴斯基、瑞星不报.)

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【病毒查杀】Svchost.exe木马查杀方法(目前卡巴斯基、瑞星不报.)

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

2 / 2 页

跳转页

【病毒查杀】Svchost.exe木马查杀方法(目前卡巴斯基、瑞星不报.)

特邀体验者

帖子:5462
注册: 2005-01-12
来自:0GiNr

发表于： 2006-07-30 19:20 | 只看楼主 短消息资料

字号：小中大 11楼

引用:

【baohe的贴子】

引用:

【闪电风暴的贴子】今天接到同学的一个木马样本,样本名为:5441194.exe.
运行后，释放C:\windows\svchost.exe，C:\windows\system32\svchost.dll。另外，SSM报它释放的一个TMP文件改写注册表，添加启动项。并且修改Explorer.exe，注入explorer，使得EXPLORER启动一个线程时，就会自动加载木马。（比如我在杀木马的时候，试图打开“我的电脑”去查找木马文件。这时SSM又报explorer.exe加载svchost.exe，这也是一般这样的木马杀不尽的原因。）
添加一个BHO，指向C:\windows\system32\svchost.dll。

中毒后HijackThis日志中出现：
进程：C:\windows\svchost.exe

O2 - BHO: Webacc - {CAC068F3-A608-406B-8581-458788A67694} - C:\windows\system32\svchost.dll
O4 - HKLM\..\Run: [svc] C:\windows\svchost.exe
O4 - HKCU\..\Run: [svc] C:\windows\svchost.exe

查杀方法：
1、用IceSword设置禁止线/进程创建，结束explorer.exe与svchost.exe进程
2、删除C：\windows\system32\svchost.dll与C:\windows\svchost.exe
3、使用HijackTHis修复上面提到的三项

注意：必须结束explorer.exe，因为我不想结束，结果测试时发现即使用IceSword删除掉这个svchost.exe，那么explorer.exe还会创建它。搞得我好麻烦啊。
...........................

不结束explorer.exe进程，用IS强制卸除插入explorer.exe的svchost.dll，然后删除之，也可以。
...........................

我在测试时也许疏忽，没有看到这个svchost.dll

710207 叱咤花甲狮帖子:2341 注册: 2006-02-06 来自:	发表于： 2006-07-30 19:36 \| 短消息资料字号：小中大 12楼这只马早就有了,一直不知解决方法,学习了.
710207 叱咤花甲狮帖子:2341 注册: 2006-02-06 来自:

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2006-07-30 19:52 \| 只看楼主短消息资料字号：小中大 13楼早就有了,可是杀毒软件一直都不报,让人不理解了
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

叱咤花甲狮

帖子:2341
注册: 2006-02-06
来自:

发表于： 2006-07-30 20:01 | 短消息资料

字号：小中大 14楼

引用:

【闪电风暴的贴子】早就有了,可是杀毒软件一直都不报,让人不理解了
...........................

以前有很多人的日志都有这个......

westbeck 初生襁褓狮帖子:3572 注册: 2006-07-27 来自:	发表于： 2006-07-30 20:04 \| 短消息资料字号：小中大 15楼学习了...
westbeck 初生襁褓狮帖子:3572 注册: 2006-07-27 来自:

炫Oo逍遥oO 锋芒艾服狮帖子:1306 注册: 2006-06-30 来自:	发表于： 2006-07-30 20:04 \| 短消息资料字号：小中大 16楼学习了可是没看懂也许我家就中毒了哇``555``
炫Oo逍遥oO 锋芒艾服狮帖子:1306 注册: 2006-06-30 来自:

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2006-07-31 09:19 \| 只看楼主短消息资料字号：小中大 17楼好像和以前的木马有些不同,问题是杀毒软件不报,无法确定它是什么木马
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

慧惠初生襁褓狮帖子:4 注册: 2008-04-16 来自:	发表于： 2008-04-16 10:52 \| 短消息资料字号：小中大 18楼有没有什么软件可以查杀此相木马的? 今天我一开机,QQ检测到有木马,一查是C:\windows\svchost.exe 不断地尝试连接网络,瑞星查杀没提示,但是我通过防火墙阻止了该程序的网络请求,现在每隔一分钟左右就有该阻止窗口出现. 通过搜索下载了IceSword,进程中无提示,后来使用删除与强制删除都无法把该文件去掉. 现在仍然是这样.开机QQ检测到,但因阻止了网络连接,所以一分钟就出现相关提示一次,好烦啊! 另外我不知道粉楼主所说的BHO如何写?还有最后一个"使用HijackTHis修复上面提到的三项"也不明白是什么意思. 各位高手:我应该如何解决这个问题呀?
慧惠初生襁褓狮帖子:4 注册: 2008-04-16 来自:

慧惠初生襁褓狮帖子:4 注册: 2008-04-16 来自:	发表于： 2008-04-16 10:55 \| 短消息资料字号：小中大 19楼此木马为什么瑞星不报的? 而可恶的QQ医生能够检测到,却是无法查杀,为什么呀? 防火墙阻止了该程序的网络请求后,能够正常使用吗? 好头痛呀.
慧惠初生襁褓狮帖子:4 注册: 2008-04-16 来自:

<<上一主题|下一主题>>

2 / 2 页

跳转页

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【病毒查杀】Svchost.exe木马查杀方法(目前卡巴斯基、瑞星不报.)

【病毒查杀】Svchost.exe木马查杀方法(目前卡巴斯基、瑞星不报.)

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛【病毒查杀】Svchost.exe木马查杀方法(目前卡巴斯基、瑞星不报.)