主要行为:
1、释放文件:
C:WINDOWSFontsService0.jpg640106字节(备份文件)
C:WINDOWSsystem32Service0.exe640106字节
C:WINDOWSsystem32Service0.dll134656字节
2、注册为系统服务:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesgressep0
(注册表值)DisplayName=REG_SZ,"gressep0"
(注册表值)ErrorControl=REG_DWORD,1
(注册表值)ImagePath=REG_EXPAND_SZ,"C:windowssystem32Service0.exe"
(注册表值)ObjectName=REG_SZ,"LocalSystem"
(注册表值)Start=REG_DWORD,2
(注册表值)Type=REG_DWORD,272
3、记录键盘等操作。
4、Service0.dll注入IEXPLORE.EXE,反向连接wshk***.vicp.net。
解决方法:
1.下载SREng(可到down.45it.com下载)。后断开网络连接。
2.结束IE进程。并用SREng删除服务项:gressep0
3.重启计算机,删除文件:
C:WINDOWSFontsService0.jpg640106字节(备份文件)
C:WINDOWSsystem32Service0.exe640106字节
C:WINDOWSsystem32Service0.dll134656字节
【Service0.exe分析及清除方法提供】相关文章:
★ conime.exe是什么附conime.exe病毒的清除方法
★ 手动清除rundll2kxp.exe病毒的方法,无需专杀
★ msnet.sys、jet300.dll的简单分析与清除办法