瑞星不报的一个木马——services.exe

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛瑞星不报的一个木马——services.exe

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 1 页

跳转页

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-01-28 16:30 \| 只看楼主短消息资料字号：小中大 1楼瑞星不报的一个木马——services.exe 刚开邮箱，收到一个网友发的样本services.exe。瑞星今天的病毒库不报。不知道叫什么名字。一、services.exe感染系统后的表现： 1、在C:\windows\下释放services.exe。进程列表中可见services.exe进程（路径C:\windows\services.exe）。services.exe有进程守护功能，须用IceSword禁止进程创建，才能将其结束。 2、注册表改动：（1）在HKEY_CLASSES_ROOT\分支添加： .key（键值@="regfile"）（2）在HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Winlogon分支添加： "ParseAutoexec"="1" （3）先在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions分支添加：\12，后又将其删除（汗！）。（4）将HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile分支的"EnableFirewall"=dword:00000001改为"EnableFirewall"=dword:00000000。（5）将HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile分支的"EnableFirewall"=dword:00000001改为"EnableFirewall"=dword:00000000。（6）将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc分支的"Start"=dword:00000002改为"Start"=dword:00000004。（7）将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa分支的"restrictanonymous"=dword:00000000改为"restrictanonymous"=dword:00000001。（8）将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole分支的"EnableDCOM"="Y"改为"EnableDCOM"="N"。（9）将HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate分支的"DoNotAllowXPSP2"=dword:00000000改为"DoNotAllowXPSP2"=dword:00000001。（10）在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\分支添加： Windows Helpfile（指向：C:\windows\services.exe）。二、services.exe的手工查杀流程： 1、用IceSwordIceSword禁止进程创建，结束services.exe进程（路径C:\windows\services.exe）。 2、删除C:\windows\services.exe。 3、清理注册表（参照上述“注册表改动”）。 2006-01-28 18:03:16
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

天天泡泡卡卡技术团队帖子:17486 注册: 2004-01-21 来自:安徽安庆	发表于： 2006-01-28 16:36 \| 短消息资料字号：小中大 2楼又是一个改动系统安全设置的？
天天泡泡卡卡技术团队帖子:17486 注册: 2004-01-21 来自:安徽安庆

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-01-28 16:43 \| 只看楼主短消息资料字号：小中大 3楼【回复“天天泡泡”的帖子】这东东还不算太恶。今天卸载了卡巴，正式用瑞星2006了。没想到——上来就来这么一出！汗！
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

卡卡技术团队

帖子:17486
注册: 2004-01-21
来自:安徽安庆

发表于： 2006-01-28 16:45 | 短消息资料

字号：小中大 4楼

引用:

【baohe的贴子】【回复“天天泡泡”的帖子】
这东东还不算太恶。今天卸载了卡巴，正是用瑞星2006了。没想到——上来就来这么一出！汗！
...........................

为什么给你寄光盘了，没有给我啊

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-01-28 16:48 \| 只看楼主短消息资料字号：小中大 5楼【回复“天天泡泡”的帖子】我以前回帖，经常大喊——我没有瑞星！这个毒不知道瑞星报什么名字。可能是因为这个？
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

漂亮妹妹1989 叱咤花甲狮帖子:3159 注册: 2005-10-01 来自:	发表于： 2006-01-28 16:49 \| 短消息资料字号：小中大 6楼吓我一跳我进程里也有这个services 仔细一看，原来路径不对我的是在system32下呵呵～～
漂亮妹妹1989 叱咤花甲狮帖子:3159 注册: 2005-10-01 来自:

卡卡技术团队

帖子:17486
注册: 2004-01-21
来自:安徽安庆

发表于： 2006-01-28 16:52 | 短消息资料

字号：小中大 7楼

引用:

【baohe的贴子】【回复“天天泡泡”的帖子】
我以前回帖，经常大喊——我没有瑞星！这个毒不知道瑞星报什么名字。
可能是因为这个？
...........................

那下次我直接叫，给我瑞星，我来告诉你这玩意叫什么！

自由被绑架初生襁褓狮帖子:303 注册: 2005-10-06 来自:	发表于： 2006-01-28 18:01 \| 短消息资料字号：小中大 8楼受益
自由被绑架初生襁褓狮帖子:303 注册: 2005-10-06 来自:

mmtt 强壮不惑狮帖子:852 注册: 2005-08-22 来自:	发表于： 2006-01-28 18:03 \| 短消息资料字号：小中大 9楼这个，，还算不错，，并不很恶毒的．．．．．．．．我遇到过．．．．．．．．．．．．．．．
mmtt 强壮不惑狮帖子:852 注册: 2005-08-22 来自:

<<上一主题|下一主题>>

1 / 1 页

跳转页

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-01-28 16:30 \| 只看楼主短消息资料字号：小中大 1楼瑞星不报的一个木马——services.exe 刚开邮箱，收到一个网友发的样本services.exe。瑞星今天的病毒库不报。不知道叫什么名字。一、services.exe感染系统后的表现： 1、在C:\windows\下释放services.exe。进程列表中可见services.exe进程（路径C:\windows\services.exe）。services.exe有进程守护功能，须用IceSword禁止进程创建，才能将其结束。 2、注册表改动：（1）在HKEY_CLASSES_ROOT\分支添加： .key（键值@="regfile"）（2）在HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Winlogon分支添加： "ParseAutoexec"="1" （3）先在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions分支添加：\12，后又将其删除（汗！）。（4）将HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile分支的"EnableFirewall"=dword:00000001改为"EnableFirewall"=dword:00000000。（5）将HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile分支的"EnableFirewall"=dword:00000001改为"EnableFirewall"=dword:00000000。（6）将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc分支的"Start"=dword:00000002改为"Start"=dword:00000004。（7）将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa分支的"restrictanonymous"=dword:00000000改为"restrictanonymous"=dword:00000001。（8）将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole分支的"EnableDCOM"="Y"改为"EnableDCOM"="N"。（9）将HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate分支的"DoNotAllowXPSP2"=dword:00000000改为"DoNotAllowXPSP2"=dword:00000001。（10）在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\分支添加： Windows Helpfile（指向：C:\windows\services.exe）。二、services.exe的手工查杀流程： 1、用IceSwordIceSword禁止进程创建，结束services.exe进程（路径C:\windows\services.exe）。 2、删除C:\windows\services.exe。 3、清理注册表（参照上述“注册表改动”）。 2006-01-28 18:03:16
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 瑞星不报的一个木马——services.exe

瑞星不报的一个木马——services.exe

瑞星不报的一个木马——services.exe

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛瑞星不报的一个木马——services.exe