Minha máquina foi atacada por um trojan que se manifestou como um serviço no processo netsvcs svchost. Esse processo pode ser identificado usando o Process Explorer como 'svchost -k netsvcs'.
Os sintomas que eu tinha indicando que minha máquina havia sido infectada eram:
Aqui está o que eu fiz para descobrir exatamente qual sevice foi o culpado.
A lista de serviços que o Windows executará na inicialização do contêiner netsvcs svchost pode ser obtida neste local de registro: Http://www.windowservice.microsoft.com/windowsservices/services/services/services/services/services/services/services/services/services/services Cada string no valor MULTI_REG_SZ é o nome de um serviço localizado em: HKLM \ SYSTEM \ CurrentControlSet \ Services .
Para cada serviço listado em netsvcs, criei uma entrada distinta no SvcHost e, em seguida, atualizei o ImagePath do serviço para indicar em qual servidor svchost o serviço deve ser executado agora.
Como exemplo - para executar o serviço AppMgmt em seu próprio svchost, faríamos o seguinte:
Eu passei pelo procedimento acima em todos os serviços de trinta e poucos anos executados sob netsvcs. Isso me permitiu identificar exatamente qual serviço era responsável pelos sintomas listados acima. Conhecendo o serviço, era fácil usar o Process Explorer para determinar quais arquivos o serviço bloqueava e carregava e quais entradas de registro ele usava. Tendo todos esses dados, foi um simples passo para excluir o serviço do meu computador.
Espero que este post seja útil para alguém afetado por um processo svchost infectado.