मेरी मशीन पर एक ट्रोजन द्वारा हमला किया गया था जो खुद को नेटवेस्क svchost प्रक्रिया में एक सेवा के रूप में प्रकट करता था। इस प्रक्रिया को प्रोसेस एक्सप्लोरर का उपयोग करके 'svchost -k netsvcs' के रूप में पहचाना जा सकता है।
जिन लक्षणों से मैं संकेत कर रहा था कि मेरी मशीन संक्रमित थी, वे थे:
-
1. ईथर का उपयोग करके मैं अपनी मशीन से ईएसपीएन और ऑनलाइन म्यूजिक स्ट्रीमर जैसी विभिन्न वेबसाइटों पर गैर-रोक HTTP ट्रैफ़िक देख सकता था।
-
2. आमतौर पर 10 से 15 मिनट के भीतर डॉ। वाटसन एक डायलॉग बॉक्स फेंक देते हैं, जो बताता है कि जेनेरिक होस्ट प्रक्रिया विफल हो गई थी।
-
3. प्रोसेस एक्सप्लोरर ने संकेत दिया कि 'svchost -k netsvcs' 100% CPU ले रहा था।
-
4. C: \ Documents and Settings \ NetworkService \ Local Settings \ Temporary Internet Files \ Content.IE5 में फ़ाइलें 'svchost -k netsvcs' प्रक्रिया द्वारा लॉक की गईं।
यहाँ मैंने वही किया है जो बिल्कुल सही है जो दोषी था।
सेवाओं की सूची जो Windows netsvcs svchost कंटेनर में स्टार्टअप पर चलेगी, इस प्रतिगामी स्थान पर प्राप्त की जा सकती है: HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ SvcHost \ netsvcs । MULTI_REG_SZ मान में प्रत्येक स्ट्रिंग, स्थित सेवा का नाम है: HKLM \ SYSTEM \ CurrentControlSet \ Services ।
Netsvcs में सूचीबद्ध प्रत्येक सेवा के लिए मैंने SvcHost में एक अलग प्रविष्टि बनाई और फिर सेवा के ImagePath को अपडेट करने के लिए संकेत दिया कि svchost को अब किस सेवा के तहत चलाया जाना चाहिए।
एक उदाहरण के रूप में - सेवा चलाने के लिए AppMgmt के तहत यह स्वयं svchost है जो हम निम्नलिखित करेंगे:
-
1. SvcHost के तहत 'Appmgmt' नाम का एक नया मल्टी-स्ट्रिंग मूल्य बनाएं, जिसका मूल्य 'AppMgmt' है।
-
2. SvcHost के तहत 'netsvcs' (आमतौर पर REG_DWORD: AuthenticationCapabilities = 12320 और REG_DWORD: CoInviseSecurityParam = 1) के तहत समान मानों के साथ 'appmgmt' नामक एक नई कुंजी बनाएं।
-
3. CurrentControl \ Services \ AppMgmt के तहत ImagePath को% SystemRoot% \ system32 \ svchost.exe -k appmgmt में बदलें।
मैं netsvcs के तहत चलने वाली सभी तीस-कुछ सेवाओं पर उपरोक्त प्रक्रिया से गुजरा। इसने मुझे ठीक से इंगित करने की अनुमति दी कि ऊपर सूचीबद्ध लक्षणों के लिए कौन सी सेवा जिम्मेदार थी। सेवा को जानने के बाद प्रक्रिया एक्सप्लोरर का उपयोग करके यह निर्धारित करना आसान था कि कौन सी सेवा लॉक की गई और भरी हुई है और कौन सी रजिस्ट्री प्रविष्टियों का उपयोग किया गया है। उस डेटा के सभी होने के नाते यह मेरे mmachine से सेवा को हटाने के लिए एक सरल कदम था।
मुझे उम्मीद है कि यह पोस्ट एक संक्रमित svchost प्रक्रिया से प्रभावित किसी और के लिए उपयोगी है।