[分享]关于svchost这种病毒，完全共享的方法

小宫

单位弱智多，没办法，才想出这种恶心的方法。
领导一定要网上邻居完全共享，虽然我大学里是学行政管理的，但目前还是一个搞技术的。
不论winxp还是98系统，只要网上邻居完全共享，就会被自动复制一种svchost.exe和testfile文件，杀病毒软件一杀到，就警告病毒，烦。防火墙我尝试过了，没办法。
怎样才能二全齐美？当然，对聪明人来说，什么事都是没问题的。
我照样完全共享，然后，在完全共享的目录中，随便搞个小一点的可执行文件.exe，改名为svchost.exe，然后，还要设置为只读。这样，目前就可以抵挡一阵了，nnd

小宫

随后又发现这个病毒自动改名为svchoxst.exe，继续测试，增加一个svchoxst.exe文件，看它还能变出什么来。

小宫

今天测试到此，，如果还能变的话，，只有加密完全共享了，，可惜领导嫌烦。
目前多了svchoxst.exe和svchoxst.exe后，没有动静

6618

下面引用由小宫在 2005/05/16 04:20pm 发表的内容：
单位弱智多，没办法，才想出这种恶心的方法。
领导一定要网上邻居完全共享，虽然我大学里是学行政管理的，但目前还是一个搞技术的。
不论winxp还是98系统，只要网上邻居完全共享，就会被自动复制一种svchost.exe和testfile文件，杀病毒软件一杀到，就警告病毒，烦。防火墙我尝试过了，没办法。
怎样才能二全齐美？当然，对聪明人来说，什么事都是没问题的。
我照样完全共享，然后，在完全共享的目录中，随便搞个小一点的可执行文件.exe，改名为svchost.exe，然后，还要设置为只读。这样，目前就可以抵挡一阵了，nnd

按你这样说，svchost.exe应该不是病毒了，而是杀毒软件误报了。
随便搞个小一点的可执行文件.exe，改名为svchost.exe，然后，还要设置为只读。这样，目前就可以抵挡一阵了。
不太明白你怎么搞？你是否把svchost.exe删了再自己做一个svchost.exe呢？比如说用记事本做一个svchost.txt，再改名为svchost.exe，这样杀毒软件就不会误报了？这样能用吗？
  可以简单说说怎么搞吗？——要不绝大部分朋友都弄不明白，这一贴也就失去了意义！

小宫

完全共享，svchost.exe病毒就自动复制进来了。
既想完全共享，又不想svchost.exe病毒自动复制进来，就自己做一个不是病毒，但名字相同的svchost.exe，并设为只读。
但该病毒很狡猾，会自动改名为svchoxst.exe再次复制进来，所以.....
继续测试，明天答案即可揭晓

6618

[这个贴子最后由6618在 2005/05/16 05:34pm 第 1 次编辑]

下面引用由小宫在 2005/05/16 05:11pm 发表的内容：
完全共享，svchost.exe病毒就自动复制进来了。
既想完全共享，又不想svchost.exe病毒自动复制进来，就自己做一个不是病毒，但名字相同的svchost.exe，并设为只读。
但该病毒很狡猾，会自动改名为svchoxst.exe再　...

哈哈，原来如此，小宫用的是电脑的同一位置中，每一个文件名都是唯一的这一特性，先病毒做了一个svchost.exe，病毒就不能再使用svchost.exe这一文件名了，没想到病毒又生成了另一个svchoxst.exe的文件，于是小宫又先做了一个svchoxst.exe，病毒又不能再用svchoxst.exe这一文件名了，病毒还会不会生成别的文件名呢？
                           我们拭目以待！

6618

6618个人意见：只要行之有效办法就是一种好办法，先向小宫学习学习。
建议小宫找到病毒的根源，杀之！
如果找不到，XP打上到现在为止的所安全补丁，病毒也只能望“晕到死”晕到死了。
至于98也打上所有的安全补丁（98能打上安全补丁吗？6618已说不清楚了，因我的单位早已淘汰了98，用得都是2000和XP），病毒也只能望“晕到死”晕到死了。

小宫

首先，我当然要说的简单点，否则别人嫌烦。
其次，我要说的复杂点，否则说不清楚。
最后，我要说的仔细点，否则会产生误解。
xp2全部补丁，单位全部打好了，windows内置防火墙开启着，并安装有天网防火墙。诺顿杀毒，病毒库都是最新的。可一完全共享，svchost文件就进来了。
然而，仅有一台机器，是作为上传和备份资料用的，全都完全共享，却从未中过svchost.exe病毒，真的很怪事。其他机器，只要一完全共享就中。
这台资料备份机器，是2002年联想出厂后安装的xp1，我后来打的xp2，并把它作为备份机器的。而其他的机器，比如2005年新来的hp，别人装机，都用的是ghostxp安装，而且安装的还是xp1版本，随后我打上了xp2，结果，只要完全共享就中svchost
简单言之：绝对不要买品牌机，买来后，这个白痴装机人用的软件，都是淘汰的，最后倒霉的还是你。关键我是教育单位，没办法。
其次，我的机器总有人在攻击，我的内置windows防火墙总是在第二天被人关闭。补丁绝对打齐。有异常情况，第一想到的，就是拔网线。
最后，一个人实在忙不过来，能解决的事情就解决一下，不想解决，就让它去，这样真的会培养点人才的哦。

小宫

下面引用由6618在 2005/05/16 05:21pm 发表的内容：
哈哈，原来如此，小宫用的是电脑的同一位置中，每一个文件名都是唯一的这一特性，先病毒做了一个svchost.exe，病毒就不能再使用svchost.exe这一文件名了，没想到病毒又生成了另一个svchoxst.exe的文件，于是小宫 ...

6618，你好去当解说员了，哈哈。

6618

下面引用由小宫在 2005/05/16 06:12pm 发表的内容：
6618，你好去当解说员了，哈哈。

哈哈，据说解说员的工资挺高的，我真得想去当当的，6618拭目以待病毒会不会再生成别的名字，哈哈，待期再生成别的名字，让它和你捉迷藏去——嘿嘿——

小宫

6618，很不幸，你没有说中。这个病毒没有再生成别的名字。经过1小时，我能肯定判断下来了。
svchost.exe改名为svchoxst.exe后，如果还要改名，该病毒就必须在设计时，加入随机取名的代码，这样就增加程序的大小和复杂度了，而且也不够隐秘哦。
这下，我们可以完全共享啦啦啦，抵挡一阵再说

6618

下面引用由小宫在 2005/05/16 06:07pm 发表的内容：
简单言之：绝对不要买品牌机，买来后，这个白痴装机人用的软件，都是淘汰的，最后倒霉的还是你。关键我是教育单位，没办法。
其次，我的机器总有人在攻击，我的内置windows防火墙总是在第二天被人关闭。补丁绝对打齐。有异常情况，第一想到的，就是拔网线。

首先把你自己电脑的问题解决掉，估计svchost.exe是利用系统漏洞攻击你的，病毒正躲在暗处盯着你呢。火防墙和杀毒软件都治标都治标不治本，找出病毒，杀掉病毒，打上补丁，看它怎样攻击！

小宫

我们教育单位有几百所，我这里忙完了，还要跑其他单位啊。教育单位都是同一网段。反正很烦的，不过我这里已经解决了，没问题了。

wang6071

这样也能防毒，没理由的。一般的病毒都会生xxx+数字.exe,你那个病毒也太弱智了。
还是6618说得对：病毒正躲在暗处盯着你呢。
赶快杀掉才是上策。

小宫

先检讨：只要打全xp2补丁，就算完全共享，这个病毒也无法进入。
其次，98就算打全补丁，完全共享照样会进来。
我的方法是有效的，反正我的单位里现在没事情了。
全杀过了。这种病毒，杀了又进，进了又杀，挡不住。除非教育单位都换xp

c383

XP系统的“windows任务管理器”里有几个“svchost.exe”？
我的系统“windows任务管理器”里有5个“svchost.exe”！
1.用户名：LOCAL SERVICE,使用内存6784K;
2.用户名：NETWORK SERVICE,使用内存5120K;
3.用户名：SYSTEM,使用内存24988K;
4.用户名：NETWORK SERVICE,使用内存6140;
5.用户名：SYSTEM,使用内存6628K.

wang6071

仔细看看你的机子吧!
病毒类型  Win32.Troj.ADro2cn
该病毒有三个部分
%Windir%/ SvcHost.exe
%Windir%System32/ SServer.exe
%Windir%System32/ Usign.Dll
他会下载并生成一个svchost.exe的文件,并修改C:\autoexec.bat,生成cserver.exe,并修改你的主页,还会修改注册表里的run项,每次启动时病毒就会启动!
下载KingSoft的Trojan清理工具，可以清理本病毒，工具会先清理内存中的SvcHost.exe,SServer.exe
但是杀毒的时候不要开IE，因为USign.dll依附在IE进程中监视其他两个进程。
工具会提示Sign.Dll被占用，无法清理，等扫描完毕后重新启动计算机，Sign.DLL就可以被删除了。此时再删除另外两个exe，并且在注册表中搜索相关项，删除。

c383

我的正版瑞星没有报告啊！用Trojan清理工具（不是KingSoft的）也没有发现。？？？？？？？？？

c383

下面引用由6618在 2005/05/16 05:30pm 发表的内容：
6618个人意见：只要行之有效办法就是一种好办法，先向小宫学习学习。
建议小宫找到病毒的根源，杀之！
如果找不到，XP打上到现在为止的所安全补丁，病毒也只能望“晕到死”晕到死了。
至于98也打上所有的安全补　...

病毒也只能望“晕到死”晕到死了？？？？？？
它占用内存和加长启动时间！

c383

下面引用由小宫在 2005/05/16 07:50pm 发表的内容：
先检讨：只要打全xp2补丁，就算完全共享，这个病毒也无法进入。
其次，98就算打全补丁，完全共享照样会进来。
我的方法是有效的，反正我的单位里现在没事情了。
全杀过了。这种病毒，杀了又进，进了又杀，挡不住 ...

我的可是XP和打全xp2补丁啊！

wang6071

c383:
  你的机子没有病毒,你的是正常的winxp进程svchost.exe,病毒名与它的差别仅仅是一个是字母O,一个是数字0,注意分辨一下.
  另外,据说瑞星是查不出来的.

nnb

看不懂

zxplhzlt

不知道哪码对哪码.

ywladd

下面引用由c383在 2005/05/17 09:05pm 发表的内容：
XP系统的“windows任务管理器”里有几个“svchost.exe”？
我的系统“windows任务管理器”里有5个“svchost.exe”！
1.用户名：LOCAL SERVICE,使用内存6784K;
2.用户名：NETWORK SERVICE,使用内存5120K;
...

我的是win2003，现在有五个“svchost.exe”，有没有问题呀？

ywladd

  
下面引用由c383在 2005/05/17 09:05pm 发表的内容：
XP系统的“windows任务管理器”里有几个“svchost.exe”？
我的系统“windows任务管理器”里有5个“svchost.exe”！
1.用户名：LOCAL SERVICE,使用内存6784K;
2.用户名：NETWORK SERVICE,使用内存5120K;
...




我的是win2003，现在有8个“svchost.exe”，有没有问题？
  

小宫

肯定都有点问题，就是我这里现在还能抵挡，嘻嘻

9059591

    svchost.exe是nt核心系统的非常重要的进程，对于2000、xp来说，不可或缺。很多病毒、木马也会调用它!在基于nt内核的windows操作系统家族中，不同版本的windows系统，存在不同数量的“svchost”进程，用户使用“任务管理器”可查看其进程数目。一般来说，win2000有两个svchost进程，winxp中则有四个或四个以上的svchost进程（以后看到系统中有多个这种进程，千万别立即判定系统有病毒了哟），而win2003 server中则更多。这些svchost进程提供很多系统服务，如：rpcss服务（remote procedure call）、dmserver服务（logical disk manager）、dhcp服务（dhcp client）等。
    因为svchost进程启动各种服务，所以病毒、木马也想尽办法来利用它，企图利用它的特性来迷惑用户，达到感染、入侵、破坏的目的（如冲击波变种病毒“w32.welchia.worm”）。但windows系统存在多个svchost进程是很正常的