Jak przeanalizowałem problem wysokiego wykorzystania procesora przez svchost [zamknięte]

8

Mój komputer został zaatakowany przez trojana, który przejawił się jako usługa w procesie svchost netsvcs. Ten proces można zidentyfikować za pomocą Eksploratora procesów jako „svchost -k netsvcs”.

Objawy, które wskazałem, że moja maszyna została zainfekowana to:

    1. Korzystając z eteru, widziałem nieprzerwany ruch HTTP z mojego komputera do różnych stron internetowych, takich jak ESPN i streamery muzyki online.
    2. Zazwyczaj w ciągu 10–15 minut dr Watson wyświetla okno dialogowe wskazujące, że ogólny proces hosta nie powiódł się.
    3. Process Explorer wskazał, że proces „svchost -k netsvcs” zajmuje 100% procesora.
    4. Pliki w C: \ Documents and Settings \ NetworkService \ Local Settings \ Temporary Internet Files \ Content.IE5 zostały zablokowane przez proces 'svchost -k netsvcs'.

Oto, co zrobiłem, aby dokładnie ustalić, która z nich była winowajcą.

Listę usług, które system Windows uruchomi podczas uruchamiania w kontenerze svchost netsvcs, można uzyskać w tej lokalizacji rejestracji: HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ SvcHost \ netsvcs . Każdy ciąg w wartości MULTI_REG_SZ jest nazwą usługi znajdującej się w: HKLM \ SYSTEM \ CurrentControlSet \ Services .

Dla każdej usługi wymienionej w netsvcs utworzyłem osobny wpis w SvcHost, a następnie zaktualizowałem ImagePath usługi, aby wskazać, pod którą svchost usługa powinna być teraz uruchomiona.

Na przykład - aby uruchomić usługę AppMgmt pod własnym svchost, wykonajmy następujące czynności:

    1. W SvcHost utwórz nową wartość Multi-String o nazwie „appmgmt” o wartości „AppMgmt”.
    2. W SvcHost utwórz nowy klucz o nazwie „appmgmt” o identycznych wartościach jak w „netsvcs” (zazwyczaj REG_DWORD: AuthenticationCapabilities = 12320 i REG_DWORD: CoInitializeSecurityParam = 1).
    3. W obszarze CurrentControl \ Services \ AppMgmt zmień ImagePath na% SystemRoot% \ system32 \ svchost.exe -k appmgmt.

Przeszedłem powyższą procedurę na wszystkich trzydziestu kilku usługach uruchomionych pod netsvcs. To pozwoliło mi dokładnie wskazać, która usługa była odpowiedzialna za wymienione powyżej objawy. Znając usługę, łatwo było wtedy za pomocą Process Explorera ustalić, które pliki usługa została zablokowana i załadowana, a także jakich wpisów rejestru użyła. Posiadanie wszystkich tych danych było prostym krokiem do usunięcia usługi z mojego mmachine.

Mam nadzieję, że ten post pomoże komuś innemu dotkniętemu zainfekowanym procesem svchost.

użytkownik64842
źródło
Czy dowiedziałeś się, jakie było złośliwe oprogramowanie?
Ciaran
Nie znam nazwy złośliwego oprogramowania. Wydaje się, że dll i rejestr, które musiałem usunąć, zostały wygenerowane losowo (tj. Fgtyu.dll w systemie32).
user64842