servet.exe 和多種病毒相關程式。木馬允許攻擊者訪問你的計算機,竊取密碼和個人數據。
servet - servet.exe - 進程信息
進程檔案: servet 或者 servet.exe
進程名稱: 未知N/A
出品者: 未知N/A
屬於: 未知N/A
系統進程: 否
後台程式: 是
使用網路: 是
硬體相關: 否
常見錯誤: 未知N/A
記憶體使用: 未知N/A
間諜軟體: 否
廣告軟體: 否
病毒: 是
最近電腦突然卡,發現進程了多了很多個servet.exe
感覺不對,馬上用線上防毒http://www.antidu.cn/board/online/ 查殺
瑞星報毒!!!
檔案名稱稱:servet.exe
AV命名:Trojan.DL.Win32.Autorun.ytn (RS)
病毒類型:隨身碟病毒、下載者
行為分析:
1、釋放病毒副本:%Systemroot%\system32\servet.exe
2、遍歷可用的磁碟,在其目錄生成:Autorun.inf和Servet.exe。
並每隔一段時間檢測是否有移動盤介入。
3、註冊為系統服務,開機自啟,服務名為Performance Logs and Ale,指向Servet.exe。
4、查找“IE執行保護”、“瑞星卡卡上網安全助手 - IE防漏牆允許”的視窗,並獲得其類名,點“允許”或“允許執行”後選“確定”。繞過瑞星與卡卡助手的截殺。
5、每隔15秒訪問系統drivers目錄,查找klif.sys驅動,若有,則刪除。
可能導致卡吧無法正常運行。
6、修改註冊表“自動播放”鍵值,以保證隨身碟的自動運行性能。
7、反彈連線61.177.95.1**下載木馬,包括夢幻、魔獸、QQ等的盜號木馬。
解決方法:
1、http://www.antidu.cn/board/helpst/ 下載:PowerRmv、SREng。
2、打開PowerRmv,選上“抑制對象再次生成”填入:
C:\AutoRun.inf
C:\servet.exe
D:\AutoRun.inf
D:\servet.exe
E:\AutoRun.inf
E:\servet.exe
F:\AutoRun.inf
F:\servet.exe
C:\Windows\system32\servet.exe
C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Jmp
C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys
C:\Program Files\NetMeeting\ravytmon.cfg
C:\Program Files\NetMeeting\ravytmon.dat
C:\Program Files\NetMeeting\ravytmon.exe
C:\Program Files\NetMeeting\ravzxmon.cfg
C:\Program Files\NetMeeting\ravzxmon.dat
C:\Program Files\NetMeeting\ravzxmon.exe
C:\Windows\DiskMan32.exe
C:\Windows\NVDispDrv.exe
C:\Windows\system32\7.exe
C:\Windows\system32\8.exe
C:\Windows\system32\9.exe
C:\Windows\system32\avpms.cfg
C:\Windows\system32\avpms.dll
C:\Windows\system32\avpqqsg.cfg
C:\Windows\system32\avpqqsg.dll
C:\Windows\system32\DiskMan32.dll
C:\Windows\system32\msavp.dll
C:\Windows\system32\mscomm.dll
C:\Windows\system32\NVDispDrv.dll
C:\Windows\system32\TesSafe.sys
C:\Windows\system32\xyupri0.dll
3、打開SREng,刪除:
註冊表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
{DiskMan32}{C:\winnt\DiskMan32.exe} []
{NVDispDrv}{C:\winnt\NVDispDrv.exe} []
{ravytmon}{C:\Program Files\NetMeeting\ravytmon.exe} []
{ravzxmon}{C:\Program Files\NetMeeting\ravzxmon.exe} []
{WinSysM}{C:\winnt\IGM.exe} [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks]
{{E3F426F6-8634-42A5-A29E-BC694A88FB7D}}{C:\winnt\system32\xyupri0.dll} []
{{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}}{C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys} []
服務
[Performance Logs and Ale / Windows][Stopped/Auto Start]
{C:\winnt\system32\servet.exe}{N/A}
4、重啟電腦,修改QQ、信箱、網遊等木馬。
