论坛: 病毒专区 标题: 谁知道这是什么毒?怎么杀? 复制本贴地址    
作者: xiean [xiean]    论坛用户   登录
今天遇到一种病毒,先说说症状
系统:win2k server sp3,无iis
症状:绝大部分第三方程序无法运行(Photoshop, Corel Draw, QQ...),双击后,mouse有等待提示,一秒左右后无反应。查看驻留内存程序,发现N个 svh0st.exe 进程,查找后得到所属目录 c:\winnt\system32,用 Norton AV 8.0企业版、金山2003、瑞星三种,使用最新病毒库,无法查出,更别提清除病毒。。。。。。光盘引导,dos模式下手工删除 svh0st.exe后启动,上述无反应的第三方及部分M$程序(包括 IE,word)均弹出窗口说该程序动态链接库错误。比较无毒程序,发现这台机上的所有执行文件均增加不等字节。。。。。谁知道这是啥毒?有什么办法可以清除?

发给 norton 的病毒文件还没回信。。。哎。。。为什么都杀不了呢。。。不会我是世界上第一个中的吧。。。。。。

地主 发表时间: 01/22 03:19

回复: fqjpower [fqjpower]   论坛用户   登录
你所遇到的问题可能是由于两方面的原因产生的:
    1.系统中有病毒,既然你用最新的防病毒软件不能查出。说明这个可能性不是很大,而且就算是病毒也不会部分第三方程序不能运行。
    2.系统程序间出现错误,由于你所安装的软件间冲突或是系统文件定位出现错误,某些程序运行时所需的动态链接文件无法连接,造成软件无响应。
    看看下面关于Svchost.exe的详细说明,说不定对你有所帮助!更正:不是“svh0st.exe”而是“svchost.exe”

Svchost.exe进程详细说明:
Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的%systemroot%\system32文件夹下。在启动的时候,Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务,以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。

Svchost.exe 组是用下面的注册表值来识别。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
每个在这个键下的值代表一个独立的Svchost组,并且当你正在看活动的进程时,它显示作为一个单独的例子。每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。每个Svchost组都包含一个或多个从注册表值中选取的服务名,这个服务的参数值包含了一个ServiceDLL值。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service

更多的信息
为了能看到正在运行在Svchost列表中的服务。
开始-运行-敲入cmd
然后在敲入 tlist -s (tlist 应该是win2k工具箱里的冬冬)
Tlist 显示一个活动进程的列表。开关 -s 显示在每个进程中的活动服务列表。如果想知道更多的关于进程的信息,可以敲 tlist pid。

Tlist 显示Svchost.exe运行的两个例子。
0 System Process
8 System
132 smss.exe
160 csrss.exe Title:
180 winlogon.exe Title: NetDDE Agent
208services.exe
Svcs: AppMgmt, Browser, Dhcp, dmserver, Dnscache, Eventlog, lanmanserver, LanmanWorkstation, LmHosts, Messenger, PlugPlay, ProtectedStorage, seclogon, TrkWks, W32Time, Wmi
220 lsass.exe Svcs: Netlogon,PolicyAgent,SamSs
404 svchost.exe Svcs: RpcSs
452 spoolsv.exe Svcs: Spooler
544 cisvc.exe Svcs: cisvc
556 svchost.exe Svcs: EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv
580 regsvc.exe Svcs: RemoteRegistry
596 mstask.exe Svcs: Schedule
660 snmp.exe Svcs: SNMP
728 winmgmt.exe Svcs: WinMgmt
852 cidaemon.exe Title: OleMainThreadWndName
812 explorer.exe Title: Program Manager
1032 OSA.EXE Title: Reminder
1300 cmd.exe Title: D:\WINNT5\System32\cmd.exe - tlist -s
1080 MAPISP32.EXE Title: WMS Idle
1264 rundll32.exe Title:
1000 mmc.exe Title: Device Manager
1144 tlist.exe
在这个例子中注册表设置了两个组。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost:
netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
rpcss :Reg_Multi_SZ: RpcSs

另外你可以参见我们网站中的技术文章:《常见windows 2000系统进程描述》http://www.20cn.net/ns/wz/sys/data/20021129024318.htm


[此贴被 如风(fqjpower) 在 01月23日10时08分 编辑过]

B1层 发表时间: 2003-01-23 10:58:08

回复: xiean [xiean]   论坛用户   登录
你说的大部分没错,可是,我不认为我会把 svchost.exe 写成了 svh0st.exe(记住,svh0st.exe 里的 0 是零,不是O,这点我可以确定,还有问题吗?)

另外,
>>更正:不是“svh0st.exe”而是“svhost.exe”
你能找到 svhost.exe 么。。。。

svchost.exe 我相信我还知道它是做什么的。。我想我写一个文件名不会错了两个地方吧。。。。

[此贴被 邪・安(xiean) 在 01月22日20时06分 编辑过]

B2层 发表时间: 2003-01-22 20:48:06

回复: free [free]   论坛用户   登录
小弟也遇到过类似问题。是一个在网吧上网的朋友,在QQ上打开了别人发给的一个链接,QQ和UC(也是一个即时通讯工具)同时关闭。双击后,mouse有等待提示,一秒左右后无反应。别的可执行文件没有反常现象。恢复注册表后一切正常。有哪位告知是何原理的病毒?

B3层 发表时间: 01/23 00:43

回复: fqjpower [fqjpower]   论坛用户   登录
不好意思,我想是我搞错了,另:〔更正:不是“svh0st.exe”而是“svhost.exe”〕是我疏忽写错了,应是“svchost.exe"。
不知道“ 邪・安 ”能不能将那个可疑文件发给我呢?我想自己观察一下,还有就是楼上的朋友可以把那个链接地址给我吗?

mail:fqjpower@163.com

B4层 发表时间: 01/23 11:38

回复: gefujian [gefujian]   论坛用户   登录
学习中.......







(注:这种讨论对学习非常有益,请继续,最好把结果贴出来)

B5层 发表时间: 01/23 13:37

回复: free [free]   论坛用户   登录
很抱歉,我也没记住。

B6层 发表时间: 01/23 15:26

回复: junjuntop [junjuntop]   论坛用户   登录
我看症状很像前一段时间我朋友中的一个变种儒虫(我这样叫)

用杀毒软件无效。

重装系统后无效

最后觉得硬盘里没什么重要东西,低格了一下

装系统,再没有出问题

至今我也不知道怎么回事!!!!!!!!!

B7层 发表时间: 01/23 15:36

回复: CyberSpy [cyberspy]   论坛用户   登录
  木马病毒“QQ密码记录器”

 

B8层 发表时间: 01/24 06:04

回复: xiean [xiean]   论坛用户   登录
谢谢,我想应该就是这玩意了,这下不用重装系统了

B9层 发表时间: 01/25 00:06

回复: Tim [gdtim991]   论坛用户   登录
呵呵。我也受过那东西之苦啊!

B10层 发表时间: 01/26 12:41

回复: adam92013 [adam92013]   论坛用户   登录
那是木马吧

B11层 发表时间: 01/27 21:04

回复: DarK-Z [bridex]   论坛用户   登录
到底那病毒叫啥名啊?

B12层 发表时间: 09-08-10 12:12

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号