本文目录一览:
- 1、求助:SAP窗口自动关闭!!!
- 2、打不开SAP,请高手帮忙
- 3、木马名称:Trojan.Generic 用360杀了后,双击桌面上的我的电脑需要打开方式。。。我该怎么办?
- 4、svchost.exe 病毒问题?
- 5、快进~~可怕的病毒 万分火急~~
求助:SAP窗口自动关闭!!!
您好,我是SAP BASIS,这种情况你应该询问你们的系统管理员。
不用担心,你也不用重新安装GUI,跟你自己的电脑没有半点关系。应该只有一个可能:系统负载过大,你操作的业务占用过大的内存,系统管理员将你踢出。
这个问题你最好还是直接询问你们的basis,很简答的问题,可以直接解决。
打不开SAP,请高手帮忙
应该是有病毒在你的PC里面,杀完毒之后你再试试。
如果有可能做个TRACER跟踪。
木马名称:Trojan.Generic 用360杀了后,双击桌面上的我的电脑需要打开方式。。。我该怎么办?
首先
很不幸
这个木马中了最好还是格盘。。。
因为网上给的都不很好。。。
以下为百度知道的介绍
trojan.generic百科名片
trojan.generic,计算机木马名称,启动后会从体内资源部分释放出病毒文件,有些在WINDOWS下的木马程序会绑定一个文件,将病毒程序和正常的应用程序捆绑成一个程序,释放出病毒程序和正常的程序,用正常的程序来掩盖病毒。病毒在电脑的后台运行,并发送给病毒制造者。这些病毒除有正常的危害外,还会造成主流杀毒软件和个人防火墙无法打开,甚至导致杀毒时系统出现“蓝屏”、自动重启、死机等状况。
[编辑本段]病毒描述
名称:trojan.generic
病毒中文名:病毒木马
病毒类型:木马
影响平台:Win 9x/ME,Win 2000/NT,Win XP,Win 2003,Win7
杀毒软件查出的trojan.generic有时并非真正木马,只是行为可疑。现知红警破解版中RA310.exe查出病毒trojan.generic 2614210为误杀。
[编辑本段]杀毒方法
[2]
首先建议使用最新的专业杀毒软件和木马专杀工具AVG和卡巴斯基等进行处理,如遇杀毒软件被禁用或杀毒失败或一开机就重新出现的情况,再试试以下方法:
1.打开windows任务管理器,察看是否有可疑的进程(可以根据杀毒软件的报告或者在网上搜索相关信息来判定)在运行,如果有把它结束。注意在system32目录下的Rundll32.exe本身不是病毒,有可能一个dll文件在运行,他才可能是病毒或恶意程序之类的东西。由于windows任务管理器不能显示进程的路径,因此建议使用杀毒软件自带的进程察看和管理工具来查找并中止可疑进程。然后设法找到病毒程序文件(主要是你所中止的病毒进程文件,另外先在资源管理器的文件夹选项中,设置显示所有文件和文件夹、显示受保护的文件,再察看如system32文件夹中是否有不明dll或exe文件,C:\Program Files C:\Documents and Settings\user\Local Settings\Temporary Internet Files C:\Documents and Settings\user\Local Settings\Temp 等处是否有不明文件或病毒程序文件),然后删去,搞清楚是否是系统文件再动手。
2.如果病毒进程终止不了,提示“拒绝访问”,或者出现“屡禁不止”的情况。根据我的经验,有三种办法供尝试:
A.可能是某些木马病毒、流氓软件等注册为系统服务了。办法是:察看控制面板〉管理工具〉服务,看有没有与之相关的服务(特别是“描述”为空的)在运行,把它停止。再试着中止病毒进程并删除。
B.你可以尝试安全模式下(开机后按F8选安全模式)用其他杀毒软件处理,,,,
C.(慎用)使用冰刃等工具,察看病毒进程的线程信息和模块信息,尝试结束线程和解除模块,再试着删除病毒进程文件和相应的模块.
3.如果稍微懂得注册表使用的,可以再把相关的注册表键值删除。一般方法:开始〉运行,输入regedit,确定,打开注册表编辑器。编辑〉查找,查找目标为病毒进程名,在搜索结果中将与之有关的键值删除。有时这样做不能遏止病毒,还应尝试使用步骤2中方法.
4.某些病毒会劫持IE浏览器,导致乱弹网页的状况.建议用金山毒霸的金山反间谍 2006 360安全卫士等修复工具.看浏览器辅助对象BHO是否有可疑项目.有就修复它.
5.其他提示:为了更好的操作,请先用优化大师或超级兔子清理所有临时文件和上网时的缓存文件,一般病毒往往在临时文件夹Temp中,这样做可以帮你更快找到病毒文件。
开始〉运行,输入msconfig,确定,可以打开“系统配置实用程序”。选择“启动”,察看开机时加载的程序,如果在其中发现病毒程序,可以禁止它在开机时加载。不过此法治标不治本,甚至对某些程序来说无效.
手动删除方法
按照以下步骤即可删除Trojan.Generic病毒。请先先备份您的注册表和系统,并设置一个还原点,防止发生错误。
Trojan.Generic病毒清除第一步:停止运行进程(利用任务管理器停止以下运行进程)
bcmsn.exe
bbsdf.exe
bdsmss.exe
belly.exe
beird.exe
bbabc835.exe
batura03.exe avupdate.exe
aug.exe
bar.exe
avgcc32.exe
au1g.exe
等等
Trojan.Generic病毒清除第二步:撤消 DLL 的注册
使用 Regsvr32 撤销以下 DLLs 的注册,然后重启:
aig.dll
abc2.dll
a0002875.dll
7_1,0,0,3_mslagent.dll
8_1,0,0,1_mslagent.dll
7_1,0,0,2_mslagent.dll
7_1,0,0,1_mslagent.dll
53n4nojted.dll
65.dll
4b_1,0,1,0_mslagent.dll
4a_1,0,2,6_mslagent.dll
3_1,0,1,4_mslagent.dll
3_1,0,1,3_mslagent.dll
3_1,0,1,1_mslagent.dll
3_1,0,1,0_mslagent.dll
2_mslagent.dll
~dpb1f1.dll
bcnhhaa.dll
bbnnha32.dll
bhcimhjn.dll
_kwuiex.dll
_kwui.dll
Trojan.Generic病毒清除第三步:删除文件
使用资源管理器删除以下文件(如果存在):
#.exe
$temp$.exe
+g-?+_-d.exe
___synmgr.exe
_kwui.dll
123_2.exe
附:目前的杀毒软件更新病毒库后基本都可自行查杀Trojan.Generic病毒。
以下为
冠群金辰
的介绍
类别
Trojan : 有隐藏意图的任何程序。 特洛伊木马程序是侵入计算机的主要方式之一。 如果您的程序在访问聊天室、新的小组或阅读未经请求的邮件后被破坏,则该程序可能感染了具有某种破坏目的的特洛伊木马程序。 单词 Trojan(特洛伊)可以用作动词:要 trojan 一个程序意即向现有的程序添加破坏性功能。 例如,被 trojan 了的登录程序可能会被编程为接受某个不限定用户的特定密码,这样骇客就可以在任何时间使用该密码登录回系统。 Rootkit 经常包含像这样被 trojan 了的程序组。
发源
发源日期
各种版本从1998年8月到2005年7月
检测和删除
手工删除
按照以下步骤从您的机器删除Trojan.Generic。先备份您的注册表和系统,并设置一个还原点,防止发生错误。
停止运行进程:
利用任务管理器停止以下运行进程:
___synmgr.exe
+g-¦+_-d.exe
$temp$.exe
#.exe
199a96c4.exe
bbgerencia.exe
bcmsn.exe
bbsdf.exe
bdsmss.exe
belly.exe
beird.exe
bbabc835.exe
batura03.exe
avupdate.exe
aug.exe
bar.exe
avgcc32.exe
au1g.exe
assassin-254.exe
askjhfs3.exe
asia.exe
arssetup.exe
arsetup.exe
arquivo3.exe
aonmkqph.exe
aokcs.exe
amxp.exe
allforwinxp.exe
aldsas.exe
030458.exe
01.exe
1000[1].exe
1-chapel-short-file-ra.exe
091cfb0e.exe
2.exe
2.00.24.exe
123_2.exe
111.exe
123.exe
10970741092662864484.a7409340.exe
1.exe
200102004.exe
2k.exe
22.exe
3.exe
333.exe
3635e743.exe
352335.exe
4.exe
4w64lz577k.exe
68.exe
855.exe
a.exe
9r2.exe
a0002876.exe
a0012154.exe
a0012026.exe
a36e8bc1.exe
a0019716.exe
a0016358.exe
ajdnjhfo.exe
agov.exe
add.exe
adm.exe
ad.exe
active.exe
撤消 DLL 的注册:
使用 Regsvr32 撤销以下 DLLs 的注册,然后重启:
aig.dll
abc2.dll
a0002875.dll
7_1,0,0,3_mslagent.dll
8_1,0,0,1_mslagent.dll
7_1,0,0,2_mslagent.dll
7_1,0,0,1_mslagent.dll
53n4nojted.dll
65.dll
4b_1,0,1,0_mslagent.dll
4a_1,0,2,6_mslagent.dll
3_1,0,1,4_mslagent.dll
3_1,0,1,3_mslagent.dll
3_1,0,1,1_mslagent.dll
3_1,0,1,0_mslagent.dll
2_mslagent.dll
~dpb1f1.dll
bcnhhaa.dll
bbnnha32.dll
bhcimhjn.dll
_kwuiex.dll
_kwui.dll
删除文件:
使用资源管理器删除以下文件(如果存在):
#.exe
$temp$.exe
+g-¦+_-d.exe
___synmgr.exe
_kwui.dll
123_2.exe
1291143
1339402
1339404
1339405
1419893
1510606
1516049
1551989
1566714
1570126
1607167
1608580
1661014
1708769
1709136
1716135
1718512
1718829
1722945
1730974
1731245
1749434
1749435
1758391
1772871
1777587
1777812
1791231
1797180
1802035
1802036
1802037
1802038
1802039
1802040
1802041
1804829
1814611
1817793
1817794
1823534
1834038
1836117
1852138
1852139
1852140
1852141
1852180
1854792
1865059
bhcimhjn.dll
belly.exe
bestfriends.scr
beyond.cla10
beyond.cla11
beyond.clas2
beyond.clas4
beyond.clas5
beyond.clas6
beyond.clas7
beyond.class
ajdnjhfo.exe
aldsas.exe
allforwinxp.exe
amizade.scr
amx
amxp.exe
anz.html
anz01.html
aokcs.exe
aonmkqph.exe
apollo.jpg
arquivo3.exe
arsetup.exe
arssetup.exe
asasi__q.chm
asia.exe
askjhfs3.exe
assassin-254.exe
atualizanorton.scr
aug.exe
auk.ex0
aur.bat
avupdate.exe
b.bat
b.dat
b.jpg
ba.class
bad.bak
bancb-ah.pe1
bancb-ah.pee
bancosap.pee
au1g.exe
avgcc32.exe
bar.exe
batura03.exe
bbabc835.exe
bbgerencia.exe
bbnnha32.dll
bbsdf.exe
bcmsn.exe
bcnhhaa.dll
bdsmss.exe
beird.exe
_kwuiex.dll
~8880846983.tmp
~9183877286.tmp
~dpb1f1.dll
01.exe
030458.exe
091cfb0e.exe
1.exe
1.htm
1.jpg
1-chapel-short-file-ra.exe
1000[1].exe
1016893
111.exe
112.chm
1139497
1180743
10970741092662864484.a7409340.exe
123.exe
199a96c4.exe
2.00.24.exe
2.exe
2.jpg
2_mslagent.dll
200102004.exe
22.exe
2479.tmp
2k.exe
3
3.exe
3_1,0,1,0_mslagent.dll
3_1,0,1,1_mslagent.dll
3_1,0,1,3_mslagent.dll
3_1,0,1,4_mslagent.dll
333.exe
352335.exe
3635e743.exe
3857356.tmp
4.exe
489433
4a_1,0,2,6_mslagent.dll
4b_1,0,1,0_mslagent.dll
53n4nojted.dll
631525
63780007.vbs
4w64lz577k.exe
528465
65.dll
674.htm
68.exe
68.exe#
7_1,0,0,1_mslagent.dll
7_1,0,0,3_mslagent.dll
708072
8
855.exe
861.reg
887112
962595
986583
986584
9d3b0003.htm
9d3b0011.htm
7_1,0,0,2_mslagent.dll
8_1,0,0,1_mslagent.dll
835586
9r2.exe
9r2wjcc4thi.tlb
a.bat
a.exe
a0000314.cpy
a0002875.dll
a0002876.exe
a0012026.exe
a0012154.exe
a0016358.exe
a0019716.exe
a36e8bc1.exe
aa.class
abc2.dll
active.exe
add.exe
add.html
adine.bat
ad.exe
adm.exe
adv50.php
agov.exe
agreement.pif
aig.dll
svchost.exe 病毒问题?
.利用假冒Svchost.exe名称的病毒程序 这种方式运行的病毒并没有直接利用真正的Svchost.exe进程,而是启动了另外一个名称同样是Svchost.exe的病毒进程,由于这个假冒的病毒进程并没有加载系统服务,它和真正的Svchost.exe进程是不同的,只需在命令行窗口中运行一下“Tasklist /svc”,如果看到哪个Svchost.exe进程后面提示的服务信息是“暂缺”,而不是一个具体的服务名,那么它就是病毒进程了,记下这个病毒进程对应的PID数值(进程标识符),即可在任务管理器的进程列表中找到它,结束进程后,在C盘搜索Svchost.exe文件,也可以用第三方进程工具直接查看该进程的路径,正常的Svchost.exe文件是位于%systemroot%\System32目录中的,而假冒的Svchost.exe病毒或木马文件则会在其他目录,例如“w32.welchina.worm”病毒假冒的Svchost.exe就隐藏在Windows\System32\Wins目录中,将其删除,并彻底清除病毒的其他数据即可。 2:一些高级病毒则采用类似系统服务启动的方式,通过真正的Svchost.exe进程加载病毒程序,而Svchost.exe是通过注册表数据来决定要装载的服务列表的,所以病毒通常会在注册表中采用以下方法进行加载: 添加一个新的服务组,在组里添加病毒服务名在现有的服务组里直接添加病毒服务名 修改现有服务组里的现有服务属性,修改其“ServiceDll”键值指向病毒程序判断方法:病毒程序要通过真正的Svchost.exe进程加载,就必须要修改相关的注册表数据,可以打开[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\
CurrentVersion\Svchost],观察有没有增加新的服务组,同时要留意服务组中的服务列表,观察有没有可疑的服务名称,通常来说,病毒不会在只有一个服务名称的组中添加,往往会选择LocalService和netsvcs这两个加载服务较多的组,以干扰分析,还有通过修改服务属性指向病毒程序的,通过注册表判断起来都比较困难,这时可以利用前面介绍的服务管理专家,分别打开LocalService和netsvcs分支,逐个检查右边服务列表中的服务属性,尤其要注意服务描述信息全部为英文的,很可能是第三方安装的服务,同时要结合它的文件描述、版本、公司等相关信息,进行综合判断。例如这个名为PortLess BackDoor的木马程序,在服务列表中可以看到它的服务描述为“Intranet Services”,而它的文件版本、公司、描述信息更全部为空,如果是微软的系统服务程序是绝对不可能出现这种现象的。从启动信息“C:\WINDOWS\System32\svchost.exe -k netsvcs”中可以看出这是一款典型的利用Svchost.exe进程加载运行的木马,知道了其原理,清除方法也很简单了:先用服务管理专家停止该服务的运行,然后运行regedit.exe打开“注册表编辑器”,删除[HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\IPRIP]主键,重新启动计算机,再删除%systemroot%\System32目录中的木马源程序“svchostdll.dll”,通过按时间排序,又发现了时间完全相同的木马安装程序“PortlessInst.exe”,一并删除即可。 svchost.exe是nt核心系统的非常重要的进程,对于2000、xp来说,不可或缺。很多病毒、木马也会调用它。所以,深入了解这个程序,是玩电脑的必修课之一。 大家对windows操作系统一定不陌生,但你是否注意到系统中“svchost.exe”这个文件呢?细心的朋友会发现windows中存在多个 “svchost”进程(通过“ctrl+alt+del”键打开任务管理器,这里的“进程”标签中就可看到了),为什么会这样呢?下面就来揭开它神秘的面纱。发现 在基于nt内核的windows操作系统家族中,不同版本的windows系统,存在不同数量的“svchost”进程,用户使用“任务管理器”可查看其进程数目。一般来说,win2000有两个svchost进程,winxp中则有四个或四个以上的svchost进程(以后看到系统中有多个这种进程,千万别立即判定系统有病毒了哟),而win2003 server中则更多。这些svchost进程提供很多系统服务,如:rpcss服务(remote procedure call)、dmserver服务(logical disk manager)、dhcp服务(dhcp client)等。 如果要了解每个svchost进程到底提供了多少系统服务,可以在win2000的命令提示符窗口中输入“tlist -s”命令来查看,该命令是win2000 support tools提供的。在winxp则使用“tasklist /svc”命令。 svchost中可以包含多个服务深入 windows系统进程分为独立进程和共享进程两种,“svchost.exe”文件存在于“%systemroot% system32”目录下,它属于共享进程。随着windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由 svchost.exe进程来启动。但svchost进程只作为服务宿主,并不能实现任何服务功能,即它只能提供条件让其他服务在这里被启动,而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢? 原来这些系统服务是以动态链接库(dll)形式实现的,它们把可执行程序指向 svchost,由svchost调用相应服务的动态链接库来启动服务。那svchost又怎么知道某个系统服务该调用哪个动态链接库呢?这是通过系统服务在注册表中设置的参数来实现。下面就以rpcss(remote procedure call)服务为例,进行讲解。 从启动参数中可见服务是靠svchost来启动的。实例 以windows xp为例,点击“开始”/“运行”,输入“services.msc”命令,弹出服务对话框,然后打开“remote procedure call”属性对话框,可以看到rpcss服务的可执行文件的路径为“c:\windows\system32\svchost -k rpcss”,这说明rpcss服务是依靠svchost调用“rpcss”参数来实现的,而参数的内容则是存放在系统注册表中的。 在运行对话框中输入“regedit.exe”后回车,打开注册表编辑器,找到[hkey_local_machine systemcurrentcontrolsetservicesrpcss]项,找到类型为“reg_expand_sz”的键“magepath”,其键值为“%systemroot%system32svchost -k rpcss”(这就是在服务窗口中看到的服务启动命令),另外在“parameters”子项中有个名为“servicedll”的键,其值为“% systemroot%system32rpcss.dll”,其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样 svchost进程通过读取“rpcss”服务注册表信息,就能启动该服务了。解惑 因为svchost进程启动各种服务,所以病毒、木马也想尽办法来利用它,企图利用它的特性来迷惑用户,达到感染、入侵、破坏的目的(如冲击波变种病毒“w32.welchia.worm”)。但windows系统存在多个svchost进程是很正常的,在受感染的机器中到底哪个是病毒进程呢?这里仅举一例来说明。 假设windows xp系统被“w32.welchia.worm”感染了。正常的svchost文件存在于“c:\windows\system32”目录下,如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:\windows\system32wins”目录中,因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。windows系统自带的任务管理器不能够查看进程的路径,可以使用第三方进程管理软件,如“windows优化大师”进程管理器,通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径,一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。 由于篇幅的关系,不能对svchost全部功能进行详细介绍,这是一个windows中的一个特殊进程,有兴趣的可参考有关技术资料进一步去了解它。大家都要知道Svchost.exe,是系统必不可少的一个进程,很多服务都会多多少少用到它, 但是我想大家也知道,由于它本身特殊性,高明的"黑客们"肯定是不会放过的,前段时间的Svchost.exe木马风波,大家应该是记忆犹新吧,而且现在还是有很多机器里都藏有此木马,因为它伪装和系统进程Svchost.exe一样,所以很多人分不清,那个是进程,那个是木马.... 好的,还是让我们详尽了解一下Svchost.exe进程吧 1.多个服务共享一个 Svchost.exe进程利与弊 windows 系统服务分为独立进程和共享进程两种,在windows NT时只有服务器管理器SCM(Services.exe)有多个共享服务,随着系统内置服务的增加,在windows 2000中ms又把很多服务做成共享方式,由svchost.exe启动。windows 2000一般有2个svchost进程,一个是RPCSS(Remote Procedure Call)服务进程,另外一个则是由很多服务共享的一个svchost.exe。而在windows XP中,则一般有4个以上的svchost.exe服务进程,windows 2003 server中则更多,可以看出把更多的系统内置服务以共享进程方式由svchost启动是ms的一个趋势。这样做在一定程度上减少了系统资源的消耗,不过也带来一定的不稳定因素,因为任何一个共享进程的服务因为错误退出进程就会导致整个进程中的所有服务都退出。另外就是有一点安全隐患,首先要介绍一下svchost.exe的实现机制。 2. Svchost原理 Svchost本身只是作为服务宿主,并不实现任何服务功能,需要Svchost启动的服务以动态链接库形式实现,在安装这些服务时,把服务的可执行程序指向svchost,启动这些服务时由svchost调用相应服务的动态链接库来启动服务。 那么svchost如何知道某一服务是由哪个动态链接库负责呢?这不是由服务的可执行程序路径中的参数部分提供的,而是服务在注册表中的参数设置的,注册表中服务下边有一个Parameters子键其中的ServiceDll表明该服务由哪个动态链接库负责。并且所有这些服务动态链接库都必须要导出一个ServiceMain()函数,用来处理服务任务。 例如rpcss(Remote Procedure Call)在注册表中的位置是 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcSs,它的参数子键Parameters里有这样一项: "ServiceDll"=REG_EXPAND_SZ:"%SystemRoot%system32 pcss.dll" 当启动rpcss服务时,svchost就会调用rpcss.dll,并且执行其ServiceMain()函数执行具体服务。 既然这些服务是使用共享进程方式由svchost启动的,为什么系统中会有多个svchost进程呢?ms把这些服务分为几组,同组服务共享一个svchost进程,不同组服务使用多个svchost进程,组的区别是由服务的可执行程序后边的参数决定的。 例如rpcss在注册表中 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcSs 有这样一项: "ImagePath"=REG_EXPAND_SZ:"%SystemRoot%system32svchost -k rpcss" 因此rpcss就属于rpcss组,这在服务管理控制台也可以看到。 svchost的所有组和组内的所有服务都在注册表的如下位置: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost,例如windows 2000共有4组rpcss、netsvcs、wugroup、BITSgroup,其中最多的就是netsvcs=REG_MULTI_SZ:EventSystem.Ias.Iprip.Irmon.Netman. Nwsapagent.Rasauto.Rasman.Remoteaccess.SENS.
Sharedaccess.Tapisrv.Ntmssvc.wzcsvc..
在启动一个svchost.exe负责的服务时,服务管理器如果遇到可执行程序内容ImagePath已经存在于服务管理器的映象库中,就不在启动第2个进程svchost,而是直接启动服务。这样就实现了多个服务共享一个svchost进程。 3. Svchost代码 现在我们基本清楚svchost的原理了,但是要自己写一个DLL形式的服务,由svchost来启动,仅有上边的信息还有些问题不是很清楚。比如我们在导出的ServiceMain()函数中接收的参数是ANSI还是Unicode?我们是否需要调用RegisterServiceCtrlHandler和StartServiceCtrlDispatcher来注册服务控制及调度函数? 这些问题要通过查看svchost代码获得。下边的代码是windows 2000+ service pack 4 的svchost反汇编片段,可以看出svchost程序还是很简单的。 主函数首先调用ProcCommandLine()对命令行进行分析,获得要启动的服务组,然后调用SvcHostOptions()查询该服务组的选项和服务组的所有服务,并使用一个数据结构 svcTable 来保存这些服务及其服务的DLL,然后调用PrepareSvcTable() 函数创建 SERVICE_TABLE_ENTRY 结构,把所有处理函数SERVICE_MAIN_FUNCTION 指向自己的一个函数FuncServiceMain(),最后调用API StartServiceCtrlDispatcher() 注册这些服务的调度函数。 ; =============================== Main Funcion =======================================
.text:010010B8 public start .text:010010B8 start proc near .text:010010B8 push esi .text:010010B9 push edi .text:010010BA push offset sub_1001EBA ; lpTopLevelExceptionFilter .text:010010BF xor edi, edi .text:010010C1 call ds:SetUnhandledExceptionFilter .text:010010C7 push 1 ; uMode .text:010010C9 call ds:SetErrorMode .text:010010CF call ds:GetProcessHeap .text:010010D5 push eax .text:010010D6 call sub_1001142 .text:010010DB mov eax, offset dword_1003018 .text:010010E0 push offset unk_1003000 ; lpCriticalSection .text:010010E5 mov dword_100301C, eax .text:010010EA mov dword_1003018, eax .text:010010EF call ds:InitializeCriticalSection .text:010010F5 call ds:GetCommandLineW .text:010010FB push eax ; lpString .text:010010FC call ProcCommandLine .text:01001101 mov esi, eax .text:01001103 test esi, esi .text:01001105 jz short lab_doservice .text:01001107 push esi .text:01001108 call SvcHostOptions .text:0100110D call PrepareSvcTable .text:01001112 mov edi, eax ; SERVICE_TABLE_ENTRY returned .text:01001114 test edi, edi .text:01001116 jz short loc_1001128 .text:01001118 mov eax, [esi+10h] .text:0100111B test eax, eax .text:0100111D jz short loc_1001128 .text:0100111F push dword ptr [esi+14h] ; dwCapabilities .text:01001122 push eax ; int .text:01001123 call InitializeSecurity .text:01001128 .text:01001128 loc_1001128: ; CODE XREF: start+5Ej .text:01001128 ; start+65j .text:01001128 push esi ; lpMem .text:01001129 call HeapFreeMem .text:0100112E .text:0100112E lab_doservice: ; CODE XREF: start+4Dj .text:0100112E test edi, edi .text:01001130 jz ExitProgram .text:01001136 push edi ; lpServiceStartTable .text:01001137 call ds:StartServiceCtrlDispatcherW .text:0100113D jmp ExitProgram .text:0100113D start endp ; =============================== Main Funcion end =========================================== 由于svchost为该组的所有服务都注册了svchost中的一个处理函数,因此每次启动任何一个服务时,服务管理器SCM都会调用FuncServiceMain() 这个函数。这个函数使用 svcTable 查询要启动的服务使用的DLL,调用DLL导出的ServiceMain()函数来启动服务,然后返回。 ; ============================== FuncServiceMain() ===========================================
.text:01001504 FuncServiceMain proc near ; DATA XREF: PrepareSvcTable+44o .text:01001504 .text:01001504 arg_0 = dword ptr 8 .text:01001504 arg_4 = dword ptr 0Ch .text:01001504 .text:01001504 push ecx .text:01001505 mov eax, [esp+arg_4] .text:01001509 push ebx .text:0100150A push ebp .text:0100150B push esi .text:0100150C mov ebx, offset unk_1003000 .text:01001511 push edi .text:01001512 mov edi, [eax] .text:01001514 push ebx .text:01001515 xor ebp, ebp .text:01001517 call ds:EnterCriticalSection .text:0100151D xor esi, esi .text:0100151F cmp dwGroupSize, esi .text:01001525 jbe short loc_1001566 .text:01001527 and [esp+10h], esi .text:0100152B .text:0100152B loc_100152B: ; CODE XREF: FuncServiceMain+4Aj .text:0100152B mov eax, svcTable .text:01001530 mov ecx, [esp+10h] .text:01001534 push dword ptr [eax+ecx] .text:01001537 push edi .text:01001538 call ds:lstrcmpiW .text:0100153E test eax, eax .text:01001540 jz short StartThis .text:01001542 add dword ptr [esp+10h], 0Ch .text:01001547 inc esi .text:01001548 cmp esi, dwGroupSize .text:0100154E jb short loc_100152B .text:01001550 jmp short loc_1001566 .text:01001552 ; =================================================
.text:01001552 .text:01001552 StartThis: ; CODE XREF: FuncServiceMain+3Cj .text:01001552 mov ecx, svcTable .text:01001558 lea eax, [esi+esi*2] .text:0100155B lea eax, [ecx+eax*4] .text:0100155E push eax .text:0100155F call GetDLLServiceMain .text:01001564 mov ebp, eax ; dll ServiceMain Function address .text:01001566 .text:01001566 loc_1001566: ; CODE XREF: FuncServiceMain+21j .text:01001566 ; FuncServiceMain+4Cj .text:01001566 push ebx .text:01001567 call ds:LeaveCriticalSection .text:0100156D test ebp, ebp .text:0100156F jz short loc_100157B .text:01001571 push [esp+10h+arg_4] .text:01001575 push [esp+14h+arg_0] .text:01001579 call ebp .text:0100157B .text:0100157B loc_100157B: ; CODE XREF: FuncServiceMain+6Bj .text:0100157B pop edi .text:0100157C pop esi .text:0100157D pop ebp .text:0100157E pop ebx .text:0100157F pop ecx .text:01001580 retn 8 .text:01001580 FuncServiceMain endp ; sp = -8 ; ============================== FuncServiceMain() end ======================================== 由于svchost已经调用了StartServiceCtrlDispatcher来服务调度函数,因此我们在实现DLL实现时就不用了,这主要是因为一个进程只能调用一次StartServiceCtrlDispatcher API。但是需要用 RegisterServiceCtrlHandler 来注册响应控制请求的函数。最后我们的DLL接收的都是unicode字符串。 由于这种服务启动后由svchost加载,不增加新的进程,只是svchost的一个DLL,而且一般进行审计时都不会去HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost 检查服务组是否变化,就算去检查,也不一定能发现异常,因此如果添加一个这样的DLL后门,伪装的好,是比较隐蔽的。 4. 安装服务与设置 要通过svchost调用来启动的服务,就一定要在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost下有该服务名,这可以通过如下方式来实现: 1) 添加一个新的服务组,在组里添加服务名 2) 在现有组里添加服务名 3) 直接使用现有服务组里的一个服务名,但本机没有安装的服务 4) 修改现有服务组里的现有服务,把它的ServiceDll指向自己 其中前两种可以被正常服务使用,如使用第1种方式,启动其服务要创建新的svchost进程;第2种方式如果该组服务已经运行,安装后不能立刻启动服务,因为svchost启动后已经把该组信息保存在内存里,并调用API StartServiceCtrlDispatcher() 为该组所有服务注册了调度处理函数,新增加的服务不能再注册调度处理函数,需要重起计算机或者该组的svchost进程。而后两种可能被后门使用,尤其是最后一种,没有添加服务,只是改了注册表里一项设置,从服务管理控制台又看不出来,如果作为后门还是很隐蔽的。比如EventSystem服务,缺省是指向es.dll,如果把ServiceDll改为EventSystem.dll就很难发现。 因此服务的安装除了调用CreateService()创建服务之外,还需要设置服务的ServiceDll,如果使用前2种还要设置svchost的注册表选项,在卸载时也最好删除增加的部分。 注: ImagePath 和ServiceDll 是ExpandString不是普通字符串。因此如果使用.reg文件安装时要注意。 5. DLL服务实现 DLL程序的编写比较简单,只要实现一个ServiceMain()函数和一个服务控制程序,在ServiceMain()函数里用RegisterServiceCtrlHandler()注册服务控制程序,并设置服务的运行状态就可以了。 另外,因为此种服务的安装除了正常的CreateService()之外,还要进行其他设置,因此最好实现安装和卸载函数。 为了方便安装,实现的代码提供了InstallService()函数进行安装,这个函数可以接收服务名作为参数(如果不提供参数,就使用缺省的iprip),如果要安装的服务不在svchost的netsvcs组里安装就会失败;如果要安装的服务已经存在,安装也会失败;安装成功后程序会配置服务的ServiceDll为当前Dll。提供的UninstallService()函数,可以删除任何函数而没有进行任何检查。 为了方便使用rundll32.exe进行安装,还提供了RundllInstallA()和RundllUninstallA()分别调用InstallService()及UninstallService()。因为rundll32.exe使用的函数原型是: void CALLBACK FunctionName( HWND hwnd, // handle to owner window HINSTANCE hinst, // instance handle for the DLL LPTSTR lpCmdLine, // string the DLL will parse int nCmdShow // show state ); 对应的命令行是rundll32 DllName,FunctionName [Arguments] DLL服务本身只是创建一个进程,该程序命令行就是启动服务时提供的第一个参数,如果未指定就使用缺省的svchostdll.exe。启动服务时如果提供第二个参数,创建的进程就是和桌面交互的。干掉Svchost.exe进程! 1.错误的解决方法描述 当我们按下Alt+Ctrl+Del打开任务管理器,发现进程中出现多个Svchost.exe,则表明系统中毒,我们首先将所有的Svchost结束掉,然后使用相关的杀毒工具查杀病毒。 注: 2003年的夏天,“冲击波”病毒横行的时候有一种说法就是Svchost.exe都是病毒,一看到就要删除。这种说法让电脑用户人心惶惶,因为每个使用 Windows XP系统的用户在按照文章中介绍的检查有无Svchost.exe的方法都可以找到几个Svchost.exe进程。 有关Svchost.exe详见: ;artid=6087605 2.方案由来及后果 在很多人的印象中,每个应用程序一般只对应一个进程,如QQ对应QQ.EXE进程、记事本对应notepad.exe进程等。所以当看到系统有多个同样名字的进程时,总是会将其联想为病毒或者木马程序在作怪。如果不加思索,野蛮的将其中的某些Svchost.exe进程结束掉,会让系统的运行变得不稳定。 3.正确的解决办法 Windows 进程分为独立进程和共享进程两种,Svchost.exe属于后者。Windows XP为了节约系统资源,将很多个系统服务做为共享方式由Svchost.exe来启动。Svchost本身只是作为服务宿主,并不能实现任何服务功能, svchost通过调用相应服务的动态链接库(DLL)来启动该服务,而Windows将这些服务分为几个组,同组的服务共享一个Svchost进程,不同的组所指向的Svchost不同。通常情况下,Windows XP有4个由Svchost启动的服务组,也就是说Windows XP系统一般有4个Svchost.exe进程。当然某些应用程序或服务也有可能会调用Svchost,所以当你看到系统中有多余4个的 Svchost.exe进程,也不要盲目判断系统中了病毒。实际上Svchost.exe进程的个数跟是否中毒无直接关系。 小提示: ★ 笔者做了下面一个非常有趣的测试:打开任务管理器,切换到“进程”选项卡,首先手动结束掉由上到下的第三个Svchost.exe进程,结束完后系统会马上重新建立该进程,接下来我们手动结束掉由上到下的最后一个Svchost.exe进程,系统会出现一个类似中了冲击波病毒的对话窗口,并倒计时关机,这是由于该Svchost.exe进程引导RPC服务,终止该进程则导致RPC服务中断,系统自然会重新启动了。 ★Windows 2000中一般有两个Svchost.exe进程,Windows Server 2003则非常多,一般有6个。 既然系统中Svchost.exe进程数与是否中毒无关,我们究竟如何区别正常的和病毒伪造的Svchost进程呢? 我们可以使用下面两种方法来鉴别: 方法一: 在系统所在分区进行搜索,如果发现多个Svchost.exe文件,则系统很有可能中毒。正常的Svchost.exe位于%windir%\\ system32目录下,如果发现其它目录中有Svchost.exe文件,你就要小心了。例如冲击波的变种Win32.Welchia.Worm会在% windir%\\system32\\wins目录种下Svchost.exe文件。 方法二: 察看Svchost.exe进程对应文件的路径。 Windows XP自带的任务管理器中无法察看,我们需要借助第三方工具,例如Windows优化大师自带的进程管理工具,运行它后定位到Svchost.exe进程,可以看到它对应的运行文件的真实路径。 小提示: ★不少木马程序会采用将自己伪装成跟常见进程相似的文件名或者相同的文件名但扩展名不相同,如果你在任务管理器中看到Scvhost.exe、Svch0st.exe等进程,肯定有木马已经植入你的系统。 ★ 很多朋友在查看CPU占用率时,一个叫做“System Idle Process”的进程常常会显示为90-99%。不必担心,实际上恰恰相反的是这里的90-99%是CPU资源空闲了出来的资源。这里的数字越
快进~~可怕的病毒 万分火急~~
关于svchost.exe
svchost.exe是系统正常的进程,除非svchost里面的o是0(零),那就绝对是病毒了
SVCHOST1.EXE
症状:双击盘符,打不开,资源管理器可以打开,右键菜单中有“自动播放”一项。
开始:
文件夹选项—显示隐藏文件
根目录下有这两个文件,属性为“隐藏”、“存档”
autorun.inf
SVCHOST1.EXE
1、Kill进程中的SVCHOST1.EXE
2、在注册表中删除该文件
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\(Default)SUCCESS"C:\Program Files\Internet Explorer\SVCHOST1.EXE"
搜索注册表SVCHOST1.EXE,把与该盘符相关的子项目(如有autorun.inf的子项)也一并删除
3、删除以下两个文件:
C:\Program Files\Internet Explorer\autorun.inf
C:\Program Files\Internet Explorer\SVCHOST1.EXE
4、删除根目录下文件
5、Over
这个是我在网上找到的,我手头的资料中介绍了2种和你说的svchost比较接近的木马
svchosts.exe | Troj/Sdbot-N木马。该木马允许攻击者访问您的计算机,窃取密码和个人数据。该木马在命名上模仿了系统进程svchost.exe。
svshost.exe | Worm.P2P.Spybot.gen病毒。该木马通过P2P文件共享工具和网络共享传播。该木马在命名上模仿了系统进程svchost.exe。
但是你说的C盘满然后D盘和其他盘满估计不是木马的问题了。应该是中了其他的病毒了。
抱歉从你说的内容我还不能完全了解具体是什么病毒,,