阻击 瑞星 和 雅虎助手 的 SVOHOST.exe(第2版)
endurer 原创
2006-08-24 第2版 补充瑞星的反应。
2006-08-23 第1版
有网友反映,他电脑上的瑞星实时监控小伞突然消失,手动启动实时监控也不显示;启动瑞星杀毒程序时窗口无显示,只显示瑞星杀毒助手;瑞星文件的属性窗口一显示就自动关闭。
通过QQ远程协助,到 http://endurer.ys168.com 下载 HijackThis 和 ProcView。
用HijackThis 扫描 log,发现几个可疑项:
/------------
HijackThis_zww汉化版扫描日志 V1.99.1
保存于 13:59:39, 日期 2006-8-23
操作系统:Windows 2000 SP4 (WinNT 5.00.2195)
浏览器:Internet Explorer v6.00 SP1 (6.00.2800.1106)
C:/WINNT/system32/SVOHOST.exe
C:/WINNT/system32/net.exe
C:/WINNT/system32/net1.exe
F2 - REG:system.ini: UserInit=userinit.exe,
O4 - 启动项HKLM//Run: [SoundMam] C:/WINNT/system32/SVOHOST.exe
------------/
另外发现了雅虎助手这个流氓软件,到控制面板的“添加删除程序”里卸载,结果卸载窗口一显示就自动关闭。晕!
用 WinRAR 检查 C:/WINNT/system32,发现:
/--------
Directory of C:/WINNT/system32
2006-07-31 08:21 47,235 SVOHOST.exe
2006-08-23 13:54 33,280 winscok.dll
--------/
这两个文件具有 系统(S) 和 隐藏(H)隐藏属性:
/--------
C:/WINNT/system32>attrib svohost.exe
SH C:/WINNT/system32/SVOHOST.exe
C:/WINNT/system32>attrib winscok.dll
SH C:/WINNT/system32/winscok.dll
--------/
所以在“我的电脑”或“资源管理器”中可能看不到这两个文件。
用 ProcView 导出系统进程列表,可以发现 winscok.dll 注入了几个进程:
/--------
*您正在使用的是Windows 2000 (5.0.2195 Service Pack 4)
2006-8-23 13:57:46 进程列表
[System Process]
C:/WINNT/system32/winscok.dll
C:/WINNT/Explorer.EXE
winscok.dll
C:/WINNT/system32/internat.exe
winscok.dll
D:/Program Files/GreenBrowserGB2.2/GreenBrowser.exe
winscok.dll
d:/Program Files/PPStream/PPStream.exe
winscok.dll
C:/WINNT/system32/conime.exe
winscok.dll
C:/WINNT/system32/SVOHOST.exe
winscok.dll
--------/
终止 进程 C:/WINNT/system32/SVOHOST.exe 后,瑞星实时监控可以启动了,不过实时监控小伞是红色的,手动可以打开所有监控。
也顺利地把雅虎助手卸掉了。
重启电脑到安全模式,把
/--------
C:/WINNT/system32/SVOHOST.exe
C:/WINNT/system32/winscok.dll
--------/
打包备份后删除。
用HijackThis修复:
/------------
F2 - REG:system.ini: UserInit=userinit.exe,
O4 - 启动项HKLM//Run: [SoundMam] C:/WINNT/system32/SVOHOST.exe
------------/
SVOHOST.exe Kapsersky 报为 Trojan-PSW.Win32.QQPass.jg,Dr.Web 报为 Trojan.PWS.Qqpass.117,瑞星报为 Trojan.PSW.QQPass.poz。
winscok.dll Dr.Web 报为 Trojan.PWS.Qqpass.102,瑞星报为 Trojan.PSW.QQPass.poz。
阻击 瑞星 和 雅虎助手 的 SVOHOST.exe(第2版)相关推荐
- 瑞星杀毒助手 升级到 0.1.0020版
更新: 日期 版本 说明 2006.01.01 0.1.0020 (14,336字节) 1.添加右键调用系统关联菜单,支持病毒文件打包 2.修正前一版本右键显示属性的1个bug 详情请参阅: 瑞星杀毒 ...
- 清除SVOHOST.EXE的方法
如果你打开进程管理器,发现进程中有SVOHOST.EXE进程,那你的电脑中了被称为"qq通行证"及其变种的病毒,通常情况下,SYSTEM32下会出现SVOHOST.EXE,WINS ...
- 全面剖析雅虎助手以及网络实名的流氓行径(6)
10.后台运行的消息钩子 有兴趣的人可以看看图中的钩子类型,看看雅虎助手利用的大量钩子函数在干些什么.(图20) 11.植入浏览器右键菜单的"雅虎搜索"菜单项 12.雅虎助手yas ...
- 我DIY的“瑞星杀毒助手”
免费软件"瑞星杀毒助手"说明和下载 简介: 瑞星是我最信赖的国产杀毒软件,在使用瑞星杀毒软件的过程中,感觉有些地方操作不便:另外,手工清除病毒.木马等程序也需要一定的知识和技术.因 ...
- 瑞星杀毒助手 for win 2000/xp升级到0.1.0020版
免费软件"瑞星杀毒助手"说明和下载 简介: 瑞星是我最信赖的国产杀毒软件,在使用瑞星杀毒软件的过程中,感觉有些地方操作不便:另外,手工清除病毒.木马等程序也需要一定的知识和技术.因 ...
- 免费软件“瑞星杀毒助手”说明和下载(0.1.0030)
免费软件"瑞星杀毒助手"说明和下载 简介: 瑞星是我最信赖的国产杀毒软件,在使用瑞星杀毒软件的过程中,感觉有些地方操作不便:另外,手工清除病毒.木马等程序也需要一定的知识和技术.因 ...
- 无法显示 隐藏文件 无法启动 杀毒软件 svohost exe CheckedValue Dword
分享一下我老师大神的人工智能教程!零基础,通俗易懂!http://blog.csdn.net/jiangjunshow 也欢迎大家转载本篇文章.分享知识,造福人民,实现我们中华民族伟大复兴! 无法显示 ...
- 无法显示 隐藏文件 无法启动 杀毒软件 svohost.exe CheckedValue Dword
无法显示 隐藏文件 无法启动 杀毒软件 svohost.exe CheckedValue Dword u盘带毒 exe文件关联 exe文件打不开 可能出现的症状: 1 .无法查看隐藏的文件;(在文件 ...
- 基于PyQt5的图形化界面开发——Windows内存资源监视助手[附带编译exe教程]
基于PyQt5的图形化界面开发--Windows内存资源监视助手[附带编译exe教程] 0. 前言 1. 资源信息获取函数--monitor.py 2. UI界面--listen.py 3. main ...
- 甜椒刷机助手(安卓一键刷机助手) v3.5.1.1 电脑版
甜椒刷机助手(安卓一键刷机助手) v3.5.1.1 电脑版 软件大小:15.8MB 软件语言:简体中文 软件性质:常用软件 软件授权:官方版 更新时间:2014-02-26 应用平台:/WinXP/| ...
最新文章
- vivo系统如何没root激活Xposed框架的经验
- EyeDropper 开发实践
- **Java有哪些悲观锁的实现_阿里秋招Java研发工程师岗:来自校友的面试还原(已拿Offer)...
- 使用VC++输出调幅波的数值和波形
- 乐橙本地录像回放不了_本地工具访问:安全、高效、合规的IT资源远程访问
- (LeetCode 141/142)Linked List Cycle
- linux 临时文件 锁,linux – 无法使用文件描述符flock锁定文件
- Josephus问题的Java解决方法
- python 共享内存_37. Python 多进程锁 多进程共享内存
- asp.net core 系列 5 MVC框架路由(上)
- 重启共享文件服务器,windows server 2008 文件服务器不定期出现大量CLOSE_WAIT状态的连接,必须重启服务器,客户端才能访问共享。...
- 【PX4 飞控剖析】05 PIX4 连接QGC 可以烧录固件但是连接不上
- canvas-绘制背景
- HackTheBox –Craft实战
- c++ 关于heap的STL用法
- python遍历是什么意思_在Python中遍历列表的方法有哪些
- 嵌入式必备技能---git与github
- 神经网络算法对车牌价格的预测
- 中国电动汽车换电行业需求现状及未来发展规划报告2022-2028年版
- 前端入门学习:Vue学习笔记(二)