Как я проанализировал проблему с высокой загрузкой процессора в svchost [закрыто]

8

Моя машина была атакована трояном, который проявил себя как сервис в процессе netsvcs svchost. Этот процесс можно определить с помощью Process Explorer как svchost -k netsvcs.

Симптомы, которые у меня были, указывают, что моя машина была заражена:

    1. Используя ethereal, я мог видеть непрерывный HTTP-трафик с моей машины на разные веб-сайты, такие как ESPN и онлайн-стримеры.
    2. Обычно в течение 10-15 минут доктор Уотсон выводит диалоговое окно, указывающее на сбой общего хост-процесса.
    3. Process Explorer указал, что процесс 'svchost -k netsvcs' занимает 100% ЦП.
    4. Файлы в C: \ Documents and Settings \ NetworkService \ Local Settings \ Временные интернет-файлы \ Content.IE5 были заблокированы процессом 'svchost -k netsvcs'.

Вот что я сделал, чтобы точно определить, какая служба была виновником.

Список сервисов, которые Windows будет запускать при запуске в контейнере stsvcs netsvcs, можно получить по следующему адресу реестра: HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ SvcHost \ netsvcs . Каждая строка в значении MULTI_REG_SZ является именем службы, расположенной по адресу: HKLM \ SYSTEM \ CurrentControlSet \ Services .

Для каждой службы, перечисленной в netsvcs, я создал отдельную запись в SvcHost, а затем обновил ImagePath службы, чтобы указать, под какой svchost теперь должна быть запущена служба.

В качестве примера - чтобы запустить сервис AppMgmt под собственным svchost, мы бы сделали следующее:

    1. В SvcHost создайте новое значение Multi-String с именем appmgmt и значением AppMgmt.
    2. В SvcHost создайте новый ключ с именем «appmgmt» с такими же значениями, что и в «netsvcs» (обычно REG_DWORD: AuthenticationCapabilities = 12320 и REG_DWORD: CoInitializeSecurityParam = 1).
    3. В CurrentControl \ Services \ AppMgmt измените ImagePath на% SystemRoot% \ system32 \ svchost.exe -k appmgmt.

Я прошел вышеописанную процедуру на всех тридцати с чем-то сервисах, запущенных под netsvcs. Это позволило мне точно определить, какая служба ответственна за симптомы, перечисленные выше. Зная службу, стало проще с помощью Process Explorer определить, какие файлы служба заблокировала и загрузила, а также какие записи реестра она использовала. Имея все эти данные, это был простой шаг, чтобы удалить сервис из моей машины.

Я надеюсь, что этот пост будет полезен кому-то другому, затронутому зараженным процессом svchost.

user64842
источник
Вы узнали, что это за вредоносная программа?
Кьяран
Я не знаю название вредоносной программы. DLL и реестр, которые мне нужно было удалить, казались случайно сгенерированными (т.е. fgtyu.dll в system32).
user64842