文件名稱:Service0.exe
文件大小:640106 byte
AV命名:Trojan.Win32.FlyStudio.bi(卡巴斯基) Trojan.KeyLogger.1620 (Dr.web)
加殼方式:UPX
編寫語言:VC+E語言
文件MD5:cddd00711f5f9f42e14b0870d22472fe
主要行爲:
1、 釋放文件:
C:\WINDOWS\Fonts\Service0.jpg 640106 字節(備份文件)
C:\WINDOWS\system32\Service0.exe 640106 字節
C:\WINDOWS\system32\Service0.dll 134656 字節
2、 註冊爲系統服務:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gressep0
(註冊表值) DisplayName = REG_SZ, "gressep0"
(註冊表值) ErrorControl = REG_DWORD, 1
(註冊表值) ImagePath = REG_EXPAND_SZ, "C:\windows\system32\Service0.exe"
(註冊表值) ObjectName = REG_SZ, "LocalSystem"
(註冊表值) Start = REG_DWORD, 2
(註冊表值) Type = REG_DWORD, 272
3、 記錄鍵盤等操作。
4、 Service0.dll注入IEXPLORE.EXE,反向連接wshk***.vicp.net。
解決方法:
1.下載SREng(可到down.45it.com下載)。後斷開網絡連接。
2.結束IE進程。並用SREng刪除服務項:gressep0
3.重啓計算機,刪除文件:
C:\WINDOWS\Fonts\Service0.jpg 640106 字節(備份文件)
C:\WINDOWS\system32\Service0.exe 640106 字節
C:\WINDOWS\system32\Service0.dll 134656 字節
Service0.exe分析及清除方法提供
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章
svn在eclipse中報錯:Attempted to lock an already-locked dir的解決辦法
明月夜不夜
2019-02-22 20:43:54
DLL後門清除完全篇
andmeng
2019-02-22 20:13:46
對數組中的元素進行查找,清除
lj420033275
2019-02-22 19:33:26
CentOS清除用戶登錄記錄和命令歷史方法
sandshell
2019-02-22 18:37:48
手動清除電腦痕跡
xeonline80s
2019-02-22 16:54:56
CentOS清除用戶登錄記錄和命令歷史方法
sandshell
2018-12-28 13:55:44
Rootkit病毒的解決辦法
forbide
2018-11-21 01:39:44
1sass.exe,winnet.sys,2pwsdor.sys,k87wovjoq.sys病毒清除
神馬文庫
2018-10-25 21:57:54
與流氓的較量 清除autorun.inf第1/2頁
神馬文庫
2018-10-25 21:57:03
用註冊表清除3389登陸記錄的方法
神馬文庫
2018-10-25 21:53:59