Service0.exe分析及清除方法提供_病毒查杀

主要行为:

1、  释放文件:

C:\WINDOWS\Fonts\Service0.jpg  640106 字节(备份文件)

C:\WINDOWS\system32\Service0.exe  640106 字节

C:\WINDOWS\system32\Service0.dll  134656 字节

2、  注册为系统服务:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gressep0

(注册表值) DisplayName = REG_SZ, "gressep0"

(注册表值) ErrorControl = REG_DWORD, 1

(注册表值) ImagePath = REG_EXPAND_SZ, "C:\windows\system32\Service0.exe"

(注册表值) ObjectName = REG_SZ, "LocalSystem"

(注册表值) Start = REG_DWORD, 2

(注册表值) Type = REG_DWORD, 272

3、  记录键盘等操作。

4、  Service0.dll注入IEXPLORE.EXE,反向连接wshk***.vicp.net。

解决方法:

1.下载SREng(可到down.45it.com下载)。后断开网络连接。

2.结束IE进程。并用SREng删除服务项:gressep0

3.重启计算机,删除文件:

C:\WINDOWS\Fonts\Service0.jpg  640106 字节(备份文件)

C:\WINDOWS\system32\Service0.exe  640106 字节

C:\WINDOWS\system32\Service0.dll  134656 字节

时间: 2024-09-21 20:17:11

Service0.exe分析及清除方法提供_病毒查杀的相关文章

威金logo1_.exe完全清除技巧[原创]_病毒查杀

最近电脑中了logo1_.exe文件先运行下面的这个文件 复制代码 代码如下: @echo offif exist %windir%\rundl132.exe echo 发现威金!pause  taskkill /f /im rundl132.exe  taskkill /f /im logo_1.exe  taskkill /f /im logo1_.exe  taskkill /f /im Ravmon.exe  taskkill /f /im Eghost.exe  taskkill /f

mdesvc.exe后门查杀方法图文_病毒查杀

病毒简介:      病毒名称:mdesvc.exe\Backdoor.Win32.IRCBot 中文别名:MSN蠕虫 文件长度:10752 byte 文件MD5:633fc2332287108885ba0633efd81601 依赖平台:Win 9X/ME/NT/2K/XP/2K3 病毒分析: 1.释放病毒副本: %Systemroot%\system32\mdesvc.exe 10752 字节 2.添加注册表,开机启动: HKEY_LOCAL_MACHINE\SOFTWARE\Microso

比较不错的木马查找清除攻略_病毒查杀

一.学伯乐 认马识马 木马这东西从本质上说,就是一种远程控制软件.不过远程控制软件也分正规部队和山间土匪.正规部队顾名思义就是名正言顺的帮你远程管理和设置电脑的软件,如Windows XP自带的远程协助功能,一般这类软件在运行时,都会在系统任务栏中出现,明确的告诉用户当前系统处于被控制状态:而木马则属于山间土匪,他们会偷偷潜入你的电脑进行破坏,并通过修改注册表.捆绑在正常程序上的方式运行,使你难觅其踪迹. 木马与普通远程控制软件另外一个不同点在于,木马实现的远程控制功能更为丰富,其不仅能够实现一

主页被改为ww.94ak.com的手动解决方法参考_病毒查杀

使用费尔木马强力清除助手(可到down.45it.com下载)删除以下文件: c:\program files\internet explorer\iexplore32.sys c:\program files\internet explorer\plugins\wn_sys8x.sys c:\windows\downloaded program files\ichatx.dll 2.删除后,使用SREng(可到down.45it.com下载)修复下面各项: 系统修复-- 浏览器加载项之如下项删

ARP病毒杀除方法总结_病毒查杀

方法一: 1.删除 "病毒组件释放者"程序: "%windows%\System32\LOADHW.EXE" (window xp 系统目录为:"C:\WINDOWS\System32\LOADHW.EXE" ) 2.删除 "发ARP欺骗包的驱动程序" (兼 "病毒守护程序"): "%windows%\System32\drivers\npf.sys" (window xp 系统目录为:

非常不错的一招防止exe文件被感染的办法_病毒查杀

思路:新建一个程序文件类型,扩展名为EEE 修改需要防护的文件名字的扩展名为eee. 方法:复制下面代码为reg文件,导入注册表: Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\.eee] @="eeefile" [HKEY_CLASSES_ROOT\eeefile] @="应用程序" "EditFlags"=hex:38,07,00,00 [HKEY_CLASSES_ROOT\e

提供一个可以将DocX转为doc的文档转换器 地址_病毒查杀

文档转换器 地址_病毒查杀-docx转doc转换器下载">而DocX Convert为这兼容性问题提供了一个非常方便的解决方法,它可以把 .docx文档转换成文本格式,虽然有可能会丢弃原来的文档排版格式,但它至少可以保证在没有MS office 2007的情况下还可以读取里面的内容,以便急需之用. 真是佩服老外的创造能力,连这个转换都做成了网站,再想想国内呢?成天都为流氓软件提心吊胆的.微软也是的,没事儿弄什么新的格式多了个x,07较之以外的版本有着很大的变化,估计还得适应一段时间才能上手

桌面不显示图标的盗号木马清除方法_病毒查杀

上周,金山反病毒中心截获一个以盗取"魔域"."完美世界"和"浩方游戏平台"为目的的木马病毒,该病毒名为Win32.Troj.OnlineGames.ms.18432,自上周四出现以来已经衍生多个变种.金山客服中心接到大量用户投诉,反映系统重启无法显示桌面.金山毒霸(病毒库版本2007.04.07.16)已经可以查杀该病毒目前所有变种. 病毒分析报告: 这是一个盗取"魔域"."完美世界"和"浩方游戏

sxs.exe 病毒专杀工具 最近更新_病毒查杀

关于sxs.exe 病毒查杀文章请看下面的链接 http://www.jztop.com/net/bdzq/du/20060813/26006.html 杀毒前请先断开网络连接,运行专杀工具完以后重启电脑 下载地址: 下载sxs.exe病毒专杀工具 *************************************** 前些天电脑中了"sxs.exe病毒",后来整理了一篇"sxs.exe病毒手动删除方法",没想到短短几天时间,通过搜索找过来的朋友就突破800