Service0.exe分析及清除方法提供
主要行为:
1、 释放文件:
C:\WINDOWS\Fonts\Service0.jpg 640106 字节(备份文件)
C:\WINDOWS\system32\Service0.exe 640106 字节
C:\WINDOWS\system32\Service0.dll 134656 字节
2、 注册为系统服务:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gressep0
(注册表值) DisplayName = REG_SZ, "gressep0"
(注册表值) ErrorControl = REG_DWORD, 1
(注册表值) ImagePath = REG_EXPAND_SZ, "C:\windows\system32\Service0.exe"
(注册表值) ObjectName = REG_SZ, "LocalSystem"
(注册表值) Start = REG_DWORD, 2
(注册表值) Type = REG_DWORD, 272
3、 记录键盘等操作。
4、 Service0.dll注入IEXPLORE.EXE,反向连接wshk***.vicp.net。
解决方法:
1.下载SREng(可到down.45it.com下载)。后断开网络连接。
2.结束IE进程。并用SREng删除服务项:gressep0
3.重启计算机,删除文件:
C:\WINDOWS\Fonts\Service0.jpg 640106 字节(备份文件)
C:\WINDOWS\system32\Service0.exe 640106 字节
C:\WINDOWS\system32\Service0.dll 134656 字节
相关推荐
-
Service0.exe分析及清除方法提供
主要行为: 1. 释放文件: C:\WINDOWS\Fonts\Service0.jpg 640106 字节(备份文件) C:\WINDOWS\system32\Service0.exe 640106 字节 C:\WINDOWS\system32\Service0.dll 134656 字节 2. 注册为系统服务: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gressep0 (注册表值) DisplayName = REG
-
SysLoad3.exe木马病毒的分析及清除方法
使用前,请先断网,删除系统目录下的SysLoad3.exe以及1.exe,2.exe,...,7.exe,用IceSword删除临时目录下的那几个动态库.当任务管理器里没有iexplore.exe和notepad.exe的进程时,就可以运行这个恢复程序了. 特别注意:运行过程中,不要去运行其他程序,有可能你运行的那个程序就是带毒的!! [b]二:以下是分析和手动清除方法: 昨天下午加班回来,发现本本的行为相当诡异.看了看任务管理器,有几个Ie的进程和几个Notepad的进程有些可疑.然后看了看注
-
关于木马群cmdbcs.exe,wsttrs.exe,msccrt.exe,winform.exe,upxdnd.exe等的清除方法第1/2页
关于木马群cmdbcs.exe,wsttrs.exe,msccrt.exe,winform.exe,upxdnd.exe等的清除Trojan.PSW.OnlineGames.XX相关病毒 最近很多人中了木马群cmdbcs.exe,wsttrs.exe,msccrt.exe,winform.exe,upxdnd.exe等 这个应该是通过木马下载器下载所致 这些基本上都是些盗号木马 一般sreng日志表现如下: 启动项目里 (不一定全) <wsttrs><C:\windows\wsttrs.
-
cdsdf.exe,kl.exe,explorcr.exe等病毒清除方法
一:问题和症状: 中病毒,其它的病毒文件都好杀.就C:\WINDOWS\system32\cdsdf.exe杀毒软件杀不掉.用PowerRmv杀灭后抑制再生成也没有用.请帮忙解决 二:分析解决: 1. 杀毒前关闭系统还原(Win2000系统可以忽略): 右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可. 清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点"删除文件"按钮 ,将 删除所有脱机内容 打勾,点确定删除
-
发现ravmsmon.exe病毒的清除方法
具体问题具体分析,非本问题的提问者参照时请对比清除. 进入安全模式下操作(重启系统长按F8直到出现提示,然后选择进入安全模式): 解决思路参考: 1.删除以下文件 可借助powerRMV 或者 Xdelbox C:\Program Files\NetMeeting\ravmsmon.exe C:\Program Files\common Files\Microsoft Shared\MSINFO\System6.ins C:\Program Files\Internet Explorer\PLU
-
开机CPU就是100%cmd.exe病毒进程清除方法
发布时间:2007-02-09 中毒症状: 开机CPU就是100%,查进程,原来是cmd.exe 占用了绝大部分的CPU.关闭cmd.exe后,CPU实用率恢复正常.但是再次开机的时候,CPU又是100%,cmd.exe 依然占用了绝大部分的CPU. 1.装了ewido 查杀木马,查出了几个感染目标,已删除.但是今 天早上开机,CPU又是100%,cmd.exe 依然占用了绝大部分的CPU. 2.再装"木马清除专家2006",查杀,结果没有发现木马. 3.查system 3
-
conime.exe是什么附conime.exe病毒的清除方法
非常郁闷的事情,最近conime.exe好像又红火起来了,早在2005年就有很多人问conime.exe是什么进程,是病毒吗? 1.conime.exe不一定是病毒,conime.exe是输入法编辑器,允许用户使用标准键盘就能输入复杂的字符与符号.但也不排除是bfghost1.0远程控制后门程序(伪装成conime.exe输入法进程).此程序允许攻击者访问你的计算机,窃取密码和个人数据.建议立即删除此进程. 2.这里我们介绍下正常conime.exe进程的进程信息: 出品者: 微软 属于: Mi
-
microsoft.exe病毒与清除方法
最近用超级兔子检测出可疑程序microsoft.exe,位于C:\WINDOWS\system32下,在进程里关了 后又出现在进程里,在安全模式下删了后,重起又有了!~~请问这个是病毒吗?microsoft - microsoft.exe - 进程信息 进程文件: microsoft 或者 microsoft.exe 进程名称: GAOBOT Virus www.sstorm.cn我们的永久域名! 进程名称: microsoft.exe是高波GAOBOT病毒相关程序.该病毒利用Windows
-
推荐Searchnet.exe (trojan-spy.agent.iw) 清除方法 (有更新)
[原创]Searchnet.exe (trojan-spy.agent.iw) 清除方法 (有更新) 最近霏凡论坛出现了一些网友反映电脑有一个叫Searchnet.exe的文件被杀软报毒但是无法清除(Kaspersky定名为trojan-spy.agent.iw).该程序位于C:\Program Files\Searchnet文件夹,里面有Searchnet.exe ServerHost.exe serveup.exe srvnet32.dll等文件(某些变种的Searchnet.exe是在C:
-
chenzi.exe的分析及解决方法
File size: 18593 bytes MD5: c595bc161e1d64b4d8f4d84139ef02b0 SHA1: 100e8a9ae7034b41443e4ddaa46f175adb70eb06 病毒名称:未知 测试时间:2007-3-10 更新时间:明晚将更新此分析日志, 运行后病毒样本,自动删除病毒本身,自动释放病毒到%system%目录下 %system%\del.bat %system%\msgcom.dll %system%\1.exe %system%\2.
随机推荐
- 使用regini.exe修改注册表命令
- 基于JAVA的短信验证码api调用代码实例
- js实现鼠标悬浮给图片加边框的方法
- c++连接mysql数据库的两种方法(ADO连接和mysql api连接)
- 分析10个ASP.NET控件最有用的属性详解
- PHP资源管理框架Assetic简介
- Python selenium 三种等待方式详解(必会)
- 对MySQL中字符集的相关设置操作的基本教程
- php引用传值实例详解学习
- php实现登录tplink WR882N获取IP和重启的方法
- Jquery:ajax实现翻页无刷新功能代码
- jquery实现折叠菜单效果【推荐】
- Struts2学习笔记(4)-通配符的使用
- Java 泛型总结及详解
- Android多渠道打包的方法步骤
- 秋防感冒“十字歌”
- Linux环境下使用glog日志库的方法
- Laravel框架文件上传功能实现方法示例
- js图片无缝滚动插件使用详解
- 对TypeScript库进行单元测试的方法