阻击 瑞星 和 雅虎助手 的 SVOHOST.exe(第2版)

endurer　原创

2006-08-24 第2版 补充瑞星的反应。
2006-08-23 第1版

有网友反映，他电脑上的瑞星实时监控小伞突然消失，手动启动实时监控也不显示；启动瑞星杀毒程序时窗口无显示，只显示瑞星杀毒助手；瑞星文件的属性窗口一显示就自动关闭。

通过QQ远程协助，到 http://endurer.ys168.com 下载 HijackThis 和 ProcView。

用HijackThis 扫描 log，发现几个可疑项：
/------------
HijackThis_zww汉化版扫描日志 V1.99.1
保存于 13:59:39, 日期 2006-8-23
操作系统：Windows 2000 SP4 (WinNT 5.00.2195)
浏览器：Internet Explorer v6.00 SP1 (6.00.2800.1106)

C:/WINNT/system32/SVOHOST.exe
C:/WINNT/system32/net.exe
C:/WINNT/system32/net1.exe

F2 - REG:system.ini: UserInit=userinit.exe,

O4 - 启动项HKLM//Run: [SoundMam] C:/WINNT/system32/SVOHOST.exe
------------/

另外发现了雅虎助手这个流氓软件，到控制面板的“添加删除程序”里卸载，结果卸载窗口一显示就自动关闭。晕！

用 WinRAR 检查 C:/WINNT/system32，发现：
/--------
Directory of C:/WINNT/system32
2006-07-31 08:21 47,235 SVOHOST.exe
2006-08-23 13:54 33,280 winscok.dll
--------/

这两个文件具有 系统（S） 和 隐藏（H）隐藏属性：
/--------
C:/WINNT/system32>attrib svohost.exe
SH C:/WINNT/system32/SVOHOST.exe

C:/WINNT/system32>attrib winscok.dll
SH C:/WINNT/system32/winscok.dll
--------/

所以在“我的电脑”或“资源管理器”中可能看不到这两个文件。

用 ProcView 导出系统进程列表，可以发现 winscok.dll 注入了几个进程：
/--------
*您正在使用的是Windows 2000 (5.0.2195 Service Pack 4)
2006-8-23 13:57:46 进程列表
[System Process]
C:/WINNT/system32/winscok.dll

C:/WINNT/Explorer.EXE
winscok.dll

C:/WINNT/system32/internat.exe
winscok.dll

D:/Program Files/GreenBrowserGB2.2/GreenBrowser.exe
winscok.dll

d:/Program Files/PPStream/PPStream.exe
winscok.dll

C:/WINNT/system32/conime.exe
winscok.dll

C:/WINNT/system32/SVOHOST.exe
winscok.dll
--------/

终止 进程 C:/WINNT/system32/SVOHOST.exe 后，瑞星实时监控可以启动了，不过实时监控小伞是红色的，手动可以打开所有监控。

也顺利地把雅虎助手卸掉了。

重启电脑到安全模式，把
/--------
C:/WINNT/system32/SVOHOST.exe
C:/WINNT/system32/winscok.dll
--------/
打包备份后删除。

用HijackThis修复：

/------------
F2 - REG:system.ini: UserInit=userinit.exe,
O4 - 启动项HKLM//Run: [SoundMam] C:/WINNT/system32/SVOHOST.exe
------------/

SVOHOST.exe Kapsersky 报为 Trojan-PSW.Win32.QQPass.jg，Dr.Web 报为 Trojan.PWS.Qqpass.117，瑞星报为 Trojan.PSW.QQPass.poz。
winscok.dllDr.Web 报为 Trojan.PWS.Qqpass.102，瑞星报为 Trojan.PSW.QQPass.poz。