আমার মেশিনটি এমন একটি ট্রোজান দ্বারা আক্রান্ত হয়েছিল যা নেটস্কেভিএস এসভিচোস্ট প্রক্রিয়াতে নিজেকে একটি পরিষেবা হিসাবে প্রকাশ করেছিল। এই প্রক্রিয়াটি প্রক্রিয়া এক্সপ্লোরারকে 'এসভিচোস্ট-কে নেটস্কেভিএস' হিসাবে চিহ্নিত করা যায়।
আমার মেশিনে আক্রান্ত হওয়া লক্ষণগুলি হ'ল:
-
1. ইথেরিয়াল ব্যবহার করে আমি আমার মেশিন থেকে ইএসপিএন এবং অনলাইন সঙ্গীত স্ট্রিমারগুলির মতো বিভিন্ন ওয়েবসাইটে নন-স্টপ এইচটিটিপি ট্র্যাফিক দেখতে পাচ্ছি।
-
২. সাধারণত 10 থেকে 15 মিনিটের মধ্যে ডঃ ওয়াটসন একটি ডায়ালগ বক্স ফেলেন যা জেনেরিক হোস্ট প্রক্রিয়াটি ব্যর্থ হয়েছিল তা নির্দেশ করে।
-
৩. প্রক্রিয়া এক্সপ্লোরার ইঙ্গিত করে যে 'svchost -k netsvcs' প্রক্রিয়াটি 100% সিপিইউ নিচ্ছে।
-
৪. সি ফাইল: Files ডকুমেন্টস এবং সেটিংস \ নেটওয়ার্ক সার্ভিস \ স্থানীয় সেটিংস \ অস্থায়ী ইন্টারনেট ফাইলসমূহ \ Content.IE5 'svchost -k netsvcs' প্রক্রিয়াটি দ্বারা লক করা হয়েছিল।
এই যে আমি কোন সিভিলকে অপরাধী বলেছিলাম তা খালি করার জন্য আমি এখানে যা করেছি।
নেটসভিসিএস এসভিচোস্ট কনটেইনার প্রারম্ভকালে উইন্ডোজ যে পরিষেবাগুলির চালনা করবে সেগুলির তালিকা এই রেজিস্ট্রি অবস্থানে পাওয়া যাবে: এইচকেএলএম OF সফটওয়্যার \ মাইক্রোসফ্ট, উইন্ডোজ এনটি \ কারেন্ট ভার্সন \ এসভিসিহোস্ট \ নেটসভিসি । MULTI_REG_SZ মানের প্রতিটি স্ট্রিং এ অবস্থিত একটি পরিষেবার নাম: HKLM Y SYSTEM \ কারেন্টকন্ট্রোলসেট \ পরিষেবাদি ।
নেটস্কেভিএসে তালিকাভুক্ত প্রতিটি সেবার জন্য আমি এসভিসি হোস্টে একটি স্বতন্ত্র এন্ট্রি তৈরি করেছি এবং তারপরে পরিষেবাটি কোন স্ভিচোস্টের অধীনে চালিত হওয়া উচিত তা নির্দেশ করার জন্য পরিষেবাটির ইমেজপ্যাথ আপডেট করেছি।
উদাহরণ হিসাবে - অ্যাপ্লিকেশনটি নিজস্ব অ্যাপ্লিকেশন এর অধীনে অ্যাপমজিএমটি চালাতে আমরা নিম্নলিখিতটি করবো:
-
১. এসভিসি হোস্টের অধীনে 'অ্যাপমজিএমটি' নামের একটি নতুন মাল্টি-স্ট্রিং মান তৈরি করুন App
-
২. এসভিসিহস্টের অধীনে 'নেটসভ্যাকস' এর অধীনে অভিন্ন মানগুলির সাথে 'অ্যাপমজিএমটি' নামে একটি নতুন কী তৈরি করুন (সাধারণত REG_DWORD: AuthenticationCapables = 12320 এবং REG_DWORD: CoInitializeSecurityParam = 1)।
-
৩. কারেন্টকন্ট্রোল \ পরিষেবাদিগুলির অধীনে M
নেটস্কেভিসিসের অধীনে চলমান তিরিশটি পরিষেবাতে আমি উপরোক্ত পদ্ধতিটি দিয়েছিলাম। এটি আমাকে উপরে তালিকাভুক্ত লক্ষণগুলির জন্য ঠিক কোন পরিষেবা দায়ী ছিল তা চিহ্নিত করার অনুমতি দিয়েছে। কোন পরিষেবাটি লকড এবং লোড হয়েছে এবং কোন রেজিস্ট্রি এটি ব্যবহার করেছে তা নির্ধারণ করতে প্রক্রিয়া এক্সপ্লোরার ব্যবহার করে পরিষেবাটি জেনে রাখা সহজ ছিল। সেই সমস্ত ডেটা থাকা আমার মাইমাচাইন থেকে পরিষেবাটি মুছে ফেলার একটি সহজ পদক্ষেপ ছিল।
আমি আশা করি এই পোস্টটি সংক্রামিত svchost প্রক্রিয়া দ্বারা প্রভাবিত অন্য কারও পক্ষে সহায়ক।