史萊姆論壇 - 查看單個文章 - 多出的系統服務 Universal Disk Manager、NTService、Network System

psac · 2006-02-21, 11:23 PM

多出的系統服務 Universal Disk Manager、NTService、Network System

本人在安裝了「MTV下載精靈」（此軟體有惡意元件服務了3個以上的流氓軟體：CNNIC、劃詞搜尋、網路豬。。。）後注意到系統啟動時會跳出訊息框讓我檢視【事件檢視器】，其中的系統項裡有一個服務出現錯誤，名為 NTservice（系統服務中有多個服務是歸為 NT 服務的，但是並沒有特別一項名為 NTservice 的服務，所以這個服務很可疑。不知道是不是這個軟體惡意元件服務的其他軟體，暫且不論，清除要緊啊；本人系統為 windows 2003 server ----- 還是 server 版的安全性高啊，哈哈）

cnnic 只是卸載了之後還在啟動項裡載入，清除方法也比較簡單：終止工作，移除相關文件和資料夾，去掉相關啟動項。

但是這裡還有其他多出來的系統服務：
NTservice 服務，使用 C:\windows\system32\ntservice.exe（flash 的圖示）
NetWork System 服務，使用 C:\Program Files\Common Files\COMM\network.exe（同時多出非即插即用設備 Universal Disk Manager ----- 無法移除或卸載。。。）

方法：

首先當然是終止工作

用 srvinstw.exe 和 srvany.exe 給 windows 2k/xp 增加移除服務

需要用到兩個工具，分別是「Srvinstw.exe」和「Srvany.exe」，這兩個工具都能夠在 Windows 2000 的資源工具包中找到。

http://mooncat.51.net/ls/fu/srvinstw.rar

可以用 Srvinstw.exe 這個工具來 remove service（移除上面的兩個非系統原有的的服務）

至於那個非即插即用設備 Universal Disk Manager

在系統服務中多了一個「Universal Disk Manager」→啟動檔案類型為「自動」；
　　該服務的描述是：「監測和監視新的通用磁碟機並向邏輯磁牒管理器管理服務傳送磁碟區的訊息以便組態。如果此服務被終止，動態磁牒狀態和配置資訊會過時。如果此服務被禁用，任何依賴它的服務將無法啟動。」
　　說明「Universal Disk Manager」服務非系統原有的的。

「Universal Disk Manager」服務所在的註冊表位置

我的電腦\HKEY_LOCAK_MACHINE\SYSTEM\ControlSet001\Services\Universal Disk Manager
我的電腦\HKEY_LOCAK_MACHINE\SYSTEM\ControlSet003\Services\Universal Disk Manager
我的電腦\HKEY_LOCAK_MACHINE\SYSTEM\CurrentControlSet\Services\Universal Disk Manager
我的電腦\HKEY_LOCAK_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\Universal Disk Manager
我的電腦\HKEY_LOCAK_MACHINE\SYSTEM\ControlSet002\Services\Eventlog\Application\Universal Disk Manager
我的電腦\HKEY_LOCAK_MACHINE\SYSTEM\ControlSet003\Services\Eventlog\Application\Universal Disk Manager

特別說明：下列鍵值在 windows「註冊表編輯器」中無法直接移除，因為它被系統列為「非即插即用驅動程式」，在「裝置管理員」中通過「檢視」功能表→選「顯示隱藏的設備」→在顯示區內多出一項「非即插即用驅動程式」，其內就有「Universal Disk Manager」，對其進行卸載，若成功，重啟 PC 後在註冊表中應該沒有下列鍵值；否則只能使用「冰刃 IceSword」這個軟體才能移除。

我的電腦\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_Universal Disk Manager
我的電腦\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_Universal Disk Manager
我的電腦\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_Universal Disk Manager
我的電腦\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Universal Disk Manager

附：冰刃下載
冰刃 IceSword v1.12 點擊下載

（上面連接不行的話，可以進入下載頁面 http://soft.hackbase.com/50/20050916/7680.html）

軟體檔案類型: 安全防禦/安全工具

軟體大小: 4MB

更新日期: 2005-9-16 1:58:54

軟體簡介:
冰刃 IceSword v1.12，08月29日發佈，這是一斬斷黑手的利刃，它適用於Windows 2000/XP/2003 操作系統，其內部功能是十分強大，用於查探系統中的幕後黑手-木馬後門，並作出處理。

用冰刃移除 Universal Disk Manager 的方法是：
用 regedit 搜尋上面的字元串或者在上面提到的註冊表位置搜尋，再在冰刃的註冊表編輯器中將之移除（Windows 原有的的 Regedit 不讓移除的）

最後就是把 C 碟上的相關文件和資料夾全部移除！！

希望對大家有用∼∼！也提醒大家不僅僅 msconfig 的啟動項裡可以載入，系統服務和非即插即用設備驅動更隱蔽，更容易中招

2006-02-21, 11:23 PM	#1
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	多出的系統服務 Universal Disk Manager、NTService、Network System 多出的系統服務 Universal Disk Manager、NTService、Network System 本人在安裝了「MTV下載精靈」（此軟體有惡意元件服務了3個以上的流氓軟體：CNNIC、劃詞搜尋、網路豬。。。）後注意到系統啟動時會跳出訊息框讓我檢視【事件檢視器】，其中的系統項裡有一個服務出現錯誤，名為 NTservice（系統服務中有多個服務是歸為 NT 服務的，但是並沒有特別一項名為 NTservice 的服務，所以這個服務很可疑。不知道是不是這個軟體惡意元件服務的其他軟體，暫且不論，清除要緊啊；本人系統為 windows 2003 server ----- 還是 server 版的安全性高啊，哈哈） cnnic 只是卸載了之後還在啟動項裡載入，清除方法也比較簡單：終止工作，移除相關文件和資料夾，去掉相關啟動項。但是這裡還有其他多出來的系統服務： NTservice 服務，使用 C:\windows\system32\ntservice.exe（flash 的圖示） NetWork System 服務，使用 C:\Program Files\Common Files\COMM\network.exe（同時多出非即插即用設備 Universal Disk Manager ----- 無法移除或卸載。。。）方法：首先當然是終止工作用 srvinstw.exe 和 srvany.exe 給 windows 2k/xp 增加移除服務需要用到兩個工具，分別是「Srvinstw.exe」和「Srvany.exe」，這兩個工具都能夠在 Windows 2000 的資源工具包中找到。 http://mooncat.51.net/ls/fu/srvinstw.rar 可以用 Srvinstw.exe 這個工具來 remove service（移除上面的兩個非系統原有的的服務）至於那個非即插即用設備 Universal Disk Manager 在系統服務中多了一個「Universal Disk Manager」→啟動檔案類型為「自動」；　　該服務的描述是：「監測和監視新的通用磁碟機並向邏輯磁牒管理器管理服務傳送磁碟區的訊息以便組態。如果此服務被終止，動態磁牒狀態和配置資訊會過時。如果此服務被禁用，任何依賴它的服務將無法啟動。」　　說明「Universal Disk Manager」服務非系統原有的的。「Universal Disk Manager」服務所在的註冊表位置我的電腦\HKEY_LOCAK_MACHINE\SYSTEM\ControlSet001\Services\Universal Disk Manager 我的電腦\HKEY_LOCAK_MACHINE\SYSTEM\ControlSet003\Services\Universal Disk Manager 我的電腦\HKEY_LOCAK_MACHINE\SYSTEM\CurrentControlSet\Services\Universal Disk Manager 我的電腦\HKEY_LOCAK_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\Universal Disk Manager 我的電腦\HKEY_LOCAK_MACHINE\SYSTEM\ControlSet002\Services\Eventlog\Application\Universal Disk Manager 我的電腦\HKEY_LOCAK_MACHINE\SYSTEM\ControlSet003\Services\Eventlog\Application\Universal Disk Manager 特別說明：下列鍵值在 windows「註冊表編輯器」中無法直接移除，因為它被系統列為「非即插即用驅動程式」，在「裝置管理員」中通過「檢視」功能表→選「顯示隱藏的設備」→在顯示區內多出一項「非即插即用驅動程式」，其內就有「Universal Disk Manager」，對其進行卸載，若成功，重啟 PC 後在註冊表中應該沒有下列鍵值；否則只能使用「冰刃 IceSword」這個軟體才能移除。我的電腦\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_Universal Disk Manager 我的電腦\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_Universal Disk Manager 我的電腦\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_Universal Disk Manager 我的電腦\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Universal Disk Manager 附：冰刃下載冰刃 IceSword v1.12 點擊下載（上面連接不行的話，可以進入下載頁面 http://soft.hackbase.com/50/20050916/7680.html）軟體檔案類型: 安全防禦/安全工具軟體大小: 4MB 更新日期: 2005-9-16 1:58:54 軟體簡介: 冰刃 IceSword v1.12，08月29日發佈，這是一斬斷黑手的利刃，它適用於Windows 2000/XP/2003 操作系統，其內部功能是十分強大，用於查探系統中的幕後黑手-木馬後門，並作出處理。用冰刃移除 Universal Disk Manager 的方法是：用 regedit 搜尋上面的字元串或者在上面提到的註冊表位置搜尋，再在冰刃的註冊表編輯器中將之移除（Windows 原有的的 Regedit 不讓移除的）最後就是把 C 碟上的相關文件和資料夾全部移除！！希望對大家有用∼∼！也提醒大家不僅僅 msconfig 的啟動項裡可以載入，系統服務和非即插即用設備驅動更隱蔽，更容易中招
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次