主要行为:
1、释放文件:
C:WINDOWSFontsService0.jpg640106字节(备份文件)
C:WINDOWSsystem32Service0.exe640106字节
C:WINDOWSsystem32Service0.dll134656字节
2、注册为系统服务:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesgressep0
(注册表值)DisplayName=REG_SZ,"gressep0"
(注册表值)ErrorControl=REG_DWORD,1
(注册表值)ImagePath=REG_EXPAND_SZ,"C:windowssystem32Service0.exe"
(注册表值)ObjectName=REG_SZ,"LocalSystem"
(注册表值)Start=REG_DWORD,2
(注册表值)Type=REG_DWORD,272
3、记录键盘等操作。
4、Service0.dll注入IEXPLORE.EXE,反向连接wshk***.vicp.net。
解决方法:
1.下载SREng(可到down.45it.com下载)。后断开网络连接。
2.结束IE进程。并用SREng删除服务项:gressep0
3.重启计算机,删除文件:
C:WINDOWSFontsService0.jpg640106字节(备份文件)
C:WINDOWSsystem32Service0.exe640106字节
C:WINDOWSsystem32Service0.dll134656字节
【Service0.exe分析及清除方法提供】相关文章:
★ roirpy.exe,mrnds3oy.dll,qh55i.dll等木马群手工清除解决方案
★ avwghmn.dll svchost.exe病毒删除方法
★ 推荐Searchnet.exe (trojan-spy.agent.iw) 清除方法 (有更新)