Mesin saya diserang oleh trojan yang memanifestasikan dirinya sebagai layanan dalam proses svchost netsvcs. Proses ini dapat diidentifikasi menggunakan Process Explorer sebagai 'svchost -k netsvcs'.
Gejala yang saya tunjukkan bahwa mesin saya telah terinfeksi adalah:
-
1. Menggunakan ethereal, saya bisa melihat lalu lintas HTTP non-stop dari mesin saya ke situs web yang berbeda seperti ESPN dan streamer musik online.
-
2. Biasanya dalam 10 hingga 15 menit Dr. Watson akan memunculkan kotak dialog yang menunjukkan Proses Host Generik telah gagal.
-
3. Process Explorer menunjukkan proses 'svchost -k netsvcs' menghabiskan 100% CPU.
-
4. File dalam C: \ Documents and Settings \ NetworkService \ Local Settings \ Temporary Internet Files \ Content.IE5 dikunci oleh proses 'svchost -k netsvcs'.
Inilah yang saya lakukan untuk menentukan siapa saja yang menjadi pelakunya.
Daftar layanan yang Windows akan jalankan saat startup di netsvcs svchost container dapat diperoleh di lokasi registy ini: HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ SvcHost \ netsvcs . Setiap string dalam nilai MULTI_REG_SZ adalah nama layanan yang terletak di: HKLM \ SYSTEM \ CurrentControlSet \ Services .
Untuk setiap layanan yang terdaftar di netsvcs saya membuat entri yang berbeda di SvcHost dan kemudian memperbarui ImagePath layanan untuk menunjukkan svchost mana layanan sekarang harus dijalankan.
Sebagai contoh - untuk menjalankan layanan AppMgmt di bawah svchost itu sendiri, kami akan melakukan hal berikut:
-
1. Di bawah SvcHost, buat nilai Multi-String baru bernama 'appmgmt' dengan nilai 'AppMgmt'.
-
2. Di bawah SvcHost, buat kunci baru bernama 'appmgmt' dengan nilai yang sama dengan yang di bawah 'netsvcs' (biasanya REG_DWORD: AuthenticationCapabilities = 12320 dan REG_DWORD: CoInitializeSecurityParam = 1).
-
3. Di bawah CurrentControl \ Services \ AppMgmt, ubah ImagePath menjadi% SystemRoot% \ system32 \ svchost.exe -k appmgmt.
Saya pergi melalui prosedur di atas pada semua layanan tiga puluh sesuatu yang dijalankan di bawah netsvcs. Ini memungkinkan saya untuk menentukan dengan tepat layanan mana yang bertanggung jawab atas gejala yang tercantum di atas. Mengetahui layanan itu kemudian mudah dengan menggunakan Process Explorer untuk menentukan file mana layanan terkunci dan dimuat dan entri registri mana yang digunakan. Memiliki semua data itu adalah langkah mudah untuk menghapus layanan dari mmachine saya.
Saya harap posting ini bermanfaat bagi orang lain yang terpengaruh oleh proses svchost yang terinfeksi.