Làm thế nào tôi phân tích vấn đề sử dụng CPU cao của Svchost [đóng]

8

Máy của tôi đã bị tấn công bởi một trojan tự thể hiện là một dịch vụ trong quy trình Svchost của Netsvcs. Quá trình này có thể được xác định bằng cách sử dụng Process Explorer dưới dạng 'svchost -k Netsvcs'.

Các triệu chứng tôi đã chỉ ra rằng máy của tôi đã bị nhiễm bệnh là:

    1. Sử dụng ethereal Tôi có thể thấy lưu lượng HTTP không ngừng từ máy của mình đến các trang web khác nhau như ESPN và các bộ truyền phát nhạc trực tuyến.
    2. Thông thường trong vòng 10 đến 15 phút, Tiến sĩ Watson sẽ đưa ra một hộp thoại cho biết Quá trình lưu trữ chung đã thất bại.
    3. Process Explorer chỉ ra quá trình 'svchost -k Netsvcs' đang chiếm 100% CPU.
    4. Các tệp trong C: \ Tài liệu và Cài đặt \ NetworkService \ Cài đặt cục bộ \ Tệp Internet tạm thời \ Content.IE5 đã bị khóa bởi quy trình 'svchost -k Netsvcs'.

Đây là những gì tôi đã làm để xác định chính xác mà bảy mươi là thủ phạm.

Danh sách các dịch vụ mà Windows sẽ chạy khi khởi động trong bộ chứa Svchost của Netsvcs có thể được lấy tại vị trí đăng ký này: HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Svchost \ Netsvcs . Mỗi chuỗi trong giá trị MULTI_REG_SZ là tên của một dịch vụ được đặt tại: HKLM \ HỆ THỐNG \ CurrentControlset \ Services .

Đối với mỗi dịch vụ được liệt kê trong Netsvcs, tôi đã tạo một mục riêng biệt trong Svchost và sau đó cập nhật ImagePath của dịch vụ để cho biết dịch vụ nào sẽ được chạy theo dịch vụ này.

Ví dụ: để chạy dịch vụ AppMgmt theo chính Svchost của chúng tôi, chúng tôi sẽ làm như sau:

    1. Trong Svchost, tạo một giá trị Đa chuỗi mới có tên 'appmgmt' với giá trị 'AppMgmt'.
    2. Trong Svchost, hãy tạo một khóa mới có tên 'appmgmt' với các giá trị giống hệt như các giá trị trong 'Netsvcs' (thường là REG_DWORD: xác thựcCapabilities = 12320 và REG_DWORD: CoInitializeSecurityParam = 1).
    3. Trong CurrentControl \ Services \ AppMgmt sửa đổi ImagePath thành% SystemRoot% \ system32 \ svchost.exe -k appmgmt.

Tôi đã thực hiện các thủ tục trên trên tất cả ba mươi dịch vụ chạy dưới Netsvcs. Điều này cho phép tôi xác định chính xác dịch vụ nào chịu trách nhiệm cho các triệu chứng được liệt kê ở trên. Biết được dịch vụ sau đó thật dễ dàng bằng cách sử dụng Process Explorer để xác định tệp nào dịch vụ bị khóa và tải và mục đăng ký nào được sử dụng. Có tất cả dữ liệu đó là một bước đơn giản để xóa dịch vụ khỏi mmachine của tôi.

Tôi hy vọng bài đăng này hữu ích cho người khác bị ảnh hưởng bởi quá trình svchost bị nhiễm bệnh.

windows  services  cpu  virus  trojan 
người dùng64842
nguồn
Bạn đã tìm ra phần mềm độc hại là gì?
Ciaran
Tôi không biết tên của phần mềm độc hại. Các dll và đăng ký mà tôi cần để xóa dường như được tạo ngẫu nhiên (ví dụ fgtyu.dll trong system32).
dùng64842
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.