내 컴퓨터는 netsvcs svchost 프로세스에서 서비스로 표시되는 트로이 목마의 공격을 받았습니다. 이 프로세스는 프로세스 탐색기를 사용하여 'svchost -k netsvcs'로 식별 할 수 있습니다.
내 컴퓨터가 감염되었음을 나타내는 증상은 다음과 같습니다.
-
1. 미묘한 사용 내 컴퓨터에서 ESPN 및 온라인 음악 스 트리머와 같은 다른 웹 사이트로의 지속적인 HTTP 트래픽을 볼 수있었습니다.
-
2. 일반적으로 10-15 분 내에 Watson 박사는 Generic Host Process가 실패했음을 나타내는 대화 상자를 표시합니다.
-
3. 프로세스 탐색기는 'svchost -k netsvcs'프로세스가 100 % CPU를 차지하고 있음을 나타냅니다.
-
4. C : \ Documents and Settings \ NetworkService \ Local Settings \ Temporary Internet Files \ Content.IE5의 파일이 'svchost -k netsvcs'프로세스에 의해 잠겼습니다.
다음은 내가 어떤 서비스가 범인인지 정확히 파악하기 위해 수행 한 작업입니다.
Windows가 netsvcs의 Svchost 용기에 시작시 실행되도록 서비스의 목록은이 registy 위치에서 얻을 수 있습니다 : HKLM \ SOFTWARE \ 마이크로 소프트 \ 윈도우 NT를 \ CurrentVersion \의 Svchost \ netsvcs . MULTI_REG_SZ 값의 각 문자열은 HKLM \ SYSTEM \ CurrentControlSet \ Services 에있는 서비스 이름입니다 .
netsvcs에 나열된 각 서비스에 대해 SvcHost에서 고유 한 항목을 만든 다음 서비스의 ImagePath를 업데이트하여 서비스를 실행할 svchost를 나타냅니다.
예를 들어-자체 svchost에서 AppMgmt 서비스를 실행하려면 다음을 수행하십시오.
-
1. SvcHost에서 값이 'AppMgmt'인 이름이 'appmgmt'인 새 다중 문자열 값을 작성하십시오.
-
2. SvcHost에서 'netsvcs'와 동일한 값 (일반적으로 REG_DWORD : AuthenticationCapabilities = 12320 및 REG_DWORD : CoInitializeSecurityParam = 1)으로 'appmgmt'라는 새 키를 만듭니다.
-
3. CurrentControl \ Services \ AppMgmt에서 ImagePath를 % SystemRoot % \ system32 \ svchost.exe -k appmgmt로 수정하십시오.
netsvcs에서 실행되는 모든 30 가지 서비스에 대해 위의 절차를 거쳤습니다. 이를 통해 위에 나열된 증상을 담당 한 서비스를 정확하게 찾아 낼 수있었습니다. 서비스를 알면 프로세스 탐색기를 사용하여 서비스가 잠그고로드 한 파일과 사용한 레지스트리 항목을 쉽게 파악할 수있었습니다. 해당 데이터를 모두 가지고 있으면 내 mmachine에서 서비스를 삭제하는 간단한 단계였습니다.
이 게시물이 감염된 svchost 프로세스의 영향을받는 다른 사람에게 도움이되기를 바랍니다.