【問題】移除不良服務後造成firewall/ICS無法啟動

[orea2004]

最近公司有部分電腦被植入不明的系統服務，會癱瘓電腦本身的網路。
在以instsrv servicename remove移除該服務後，雖然網路恢復正常。
但是後來發現該電腦的firewall/ics無法啟動，
而ics依存的WMI跟network connections也是無法啟動。
兩者依存的RPC是有啟動的。

那個不明服務的名稱都是無意義的隨機字串(每台電腦不同)，
啟動路徑為：C:\WINDOWS\System32\svchost.exe -k netsvcs。
請問哪位前輩有方法可以解決這個問題。

[Squ]

引用:

作者: orea2004

最近公司有部分電腦被植入不明的系統服務，會癱瘓電腦本身的網路。
在以instsrv servicename remove移除該服務後，雖然網路恢復正常。
但是後來發現該電腦的firewall/ics無法啟動，
而ics依存的WMI跟network connections也是無法啟動。
兩者依存的RPC是有啟動的。

那個不明服務的名稱都是無意義的隨機字串(每台電腦不同)，
啟動路徑為：C:\WINDOWS\System32\svchost.exe -k netsvcs。
請問哪位前輩有方法可以解決這個問題。

1. 將不明服務改為手動、或停用，重新啟動主機
2. 在HKLM\SYSTEM\CurrentControlSet\Services 中找到該服務名稱
3. 檢查 Parameters 機碼下的 ServiceDLL 名稱，其值就是病毒檔案，手動刪除
4. 刪除 HKLM\SYSTEM\CurrentControlSet\Services 下的隨機字串服務
5. 將作業系統更新至最新的更新