servet.exe

王朝百科·作者佚名 2010-03-08

宽屏版字体: 小 | 中 | 大 | 超大

servet - servet.exe - 进程信息

进程文件： servet 或者 servet.exe

进程名称：未知N/A

描述：

servet.exe 和多种病毒相关程序。木马允许攻击者访问你的计算机，窃取密码和个人数据。

出品者：未知N/A

属于：未知N/A

系统进程：否

后台程序：是

使用网络：是

硬件相关：否

常见错误：未知N/A

内存使用：未知N/A

间谍软件：否

广告软件：否

病毒：是

最近电脑突然卡，发现进程了多了很多个servet.exe

感觉不对，马上用在线杀毒http://www.antidu.cn/board/online/ 查杀

瑞星报毒！！！

文件名称：servet.exe

AV命名：Trojan.DL.Win32.Autorun.ytn (RS)

病毒类型：U盘病毒、下载者

行为分析：

1、释放病毒副本：%Systemroot%system32servet.exe

2、遍历可用的磁盘，在其目录生成：Autorun.inf和Servet.exe。

并每隔一段时间检测是否有移动盘介入。

3、注册为系统服务，开机自启，服务名为Performance Logs and Ale，指向Servet.exe。

4、查找“IE执行保护”、“瑞星卡卡上网安全助手 - IE防漏墙允许”的窗口，并获得其类名，点“允许”或“允许执行”后选“确定”。绕过瑞星与卡卡助手的截杀。

5、每隔15秒访问系统drivers目录，查找klif.sys驱动，若有，则删除。

可能导致卡吧无法正常运行。

6、修改注册表“自动播放”键值，以保证U盘的自动运行性能。

7、反弹连接61.177.95.1**下载木马，包括梦幻、魔兽、QQ等的盗号木马。

解决方法：

1、http://www.antidu.cn/board/helpst/ 下载：PowerRmv、SREng。

2、打开PowerRmv，选上“抑制对象再次生成”填入：

C:AutoRun.inf

C:servet.exe

D:AutoRun.inf

D:servet.exe

E:AutoRun.inf

E:servet.exe

F:AutoRun.inf

F:servet.exe

C:Windowssystem32servet.exe

C:Program FilesInternet ExplorerPLUGINSSysWin64.Jmp

C:Program FilesInternet ExplorerPLUGINSWinSys64.Sys

C:Program FilesNetMeeting

avytmon.cfg

C:Program FilesNetMeeting

avytmon.dat

C:Program FilesNetMeeting

avytmon.exe

C:Program FilesNetMeeting

avzxmon.cfg

C:Program FilesNetMeeting

avzxmon.dat

C:Program FilesNetMeeting

avzxmon.exe

C:WindowsDiskMan32.exe

C:WindowsNVDispDrv.exe

C:Windowssystem327.exe

C:Windowssystem328.exe

C:Windowssystem329.exe

C:Windowssystem32avpms.cfg

C:Windowssystem32avpms.dll

C:Windowssystem32avpqqsg.cfg

C:Windowssystem32avpqqsg.dll

C:Windowssystem32DiskMan32.dll

C:Windowssystem32msavp.dll

C:Windowssystem32mscomm.dll

C:Windowssystem32NVDispDrv.dll

C:Windowssystem32TesSafe.sys

C:Windowssystem32xyupri0.dll

3、打开SREng，删除：

注册表

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

{DiskMan32}{C:winntDiskMan32.exe} []

{NVDispDrv}{C:winntNVDispDrv.exe} []

{ravytmon}{C:Program FilesNetMeeting

avytmon.exe} []

{ravzxmon}{C:Program FilesNetMeeting

avzxmon.exe} []

{WinSysM}{C:winntIGM.exe} [N/A]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer

ShellExecuteHooks]

{{E3F426F6-8634-42A5-A29E-BC694A88FB7D}}{C:winntsystem32xyupri0.dll} []

{{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}}{C:Program FilesInternet ExplorerPLUGINSWinSys64.Sys} []

服务

[Performance Logs and Ale / Windows][Stopped/Auto Start]

{C:winntsystem32servet.exe}{N/A}

4、重启电脑，修改QQ、邮箱、网游等木马。