Service0.exe分析及清除方法提供

更新時間：2008年02月29日 23:24:37 作者：

文件名稱：Service0.exe 文件大?。?40106 byte AV命名：Trojan.Win32.FlyStudio.bi(卡巴斯基) Trojan.KeyLogger.1620 （Dr.web）加殼方式：UPX 編寫語言：VC＋E語言文件MD5：cddd00711f5f9f42e14b0870d22472fe

主要行為：

1、  釋放文件：

C:\WINDOWS\Fonts\Service0.jpg  640106 字節(jié)（備份文件）

C:\WINDOWS\system32\Service0.exe  640106 字節(jié)

C:\WINDOWS\system32\Service0.dll  134656 字節(jié)

2、  注冊為系統(tǒng)服務：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gressep0

(注冊表值) DisplayName = REG_SZ, "gressep0"

(注冊表值) ErrorControl = REG_DWORD, 1

(注冊表值) ImagePath = REG_EXPAND_SZ, "C:\windows\system32\Service0.exe"

(注冊表值) ObjectName = REG_SZ, "LocalSystem"

(注冊表值) Start = REG_DWORD, 2

(注冊表值) Type = REG_DWORD, 272

3、  記錄鍵盤等操作。

4、  Service0.dll注入IEXPLORE.EXE，反向連接wshk***.vicp.net。

解決方法：

1.下載SREng(可到down.45it.com下載)。后斷開網絡連接。

2.結束IE進程。并用SREng刪除服務項：gressep0

3．重啟計算機，刪除文件：

C:\WINDOWS\Fonts\Service0.jpg  640106 字節(jié)（備份文件）

C:\WINDOWS\system32\Service0.exe  640106 字節(jié)

C:\WINDOWS\system32\Service0.dll  134656 字節(jié)