Service0.exe分析及清除方法提供

文件名稱：Service0.exe 文件大小：640106 byte AV命名：Trojan.Win32.FlyStudio.bi(卡巴斯基) Trojan.KeyLogger.1620 （Dr.web） 加殼方式：UPX 編寫語言：VC＋E語言 文件MD5：cddd00711f5f9f42e14b0870d22472fe 主要行爲：


1、  釋放文件：


C:\WINDOWS\Fonts\Service0.jpg  640106 字節（備份文件）

C:\WINDOWS\system32\Service0.exe  640106 字節

C:\WINDOWS\system32\Service0.dll  134656 字節


2、  註冊爲系統服務：


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gressep0

(註冊表值) DisplayName = REG_SZ, "gressep0"

(註冊表值) ErrorControl = REG_DWORD, 1

(註冊表值) ImagePath = REG_EXPAND_SZ, "C:\windows\system32\Service0.exe"

(註冊表值) ObjectName = REG_SZ, "LocalSystem"

(註冊表值) Start = REG_DWORD, 2

(註冊表值) Type = REG_DWORD, 272


3、  記錄鍵盤等操作。


4、  Service0.dll注入IEXPLORE.EXE，反向連接wshk***.vicp.net。


解決方法：


1.下載SREng(可到down.45it.com下載)。後斷開網絡連接。


2.結束IE進程。並用SREng刪除服務項：gressep0


3．重啓計算機，刪除文件：


C:\WINDOWS\Fonts\Service0.jpg  640106 字節（備份文件）

C:\WINDOWS\system32\Service0.exe  640106 字節

C:\WINDOWS\system32\Service0.dll  134656 字節