问题描述:
我是维护员 发现大量电脑出这个问题 重装是来不及的 公司用的杀毒软件是趋势科技
解析:
病毒特征:
1.d,e,f,g盘不能双击打开,硬盘驱动器根目录下存在Autorun.inf
2.在每个硬盘驱动器根目录下存在很多.zip和.rar压缩文件,文件名多为pass,work,inst
a
ll,letter,大小约为126K
3.在每个硬盘驱动器根目录下存在COMMAND.EXE
4.hxdef.exe、IEXPLORE.EXE、NetManager.exe、NetMeeting.exe、WinHelp.exe等进程占
用了cpu。
5有可能出现rpc关闭也倒计时重启的现象
6.瑞星杀毒后出现Windows无法找到COMMAND.EXE文件,要求定位该文件。
7.在任务管理器上看到多个cmd.exe进程.
病毒技术:
I-Worm.supnot.w分析报告
作者:北信源咨讯 来自:北信源 时间:2004-4-8
一、[病毒特征]:
1、病毒英文名:I-Worm.supnot.w
2、病毒中文名:爱情后门
3、病毒 大小 :125K
二、[病毒分析]:
该病毒为爱情后门病毒的最新变种。大小约为125K,采用ASPACK2.12压缩。
病毒被执行以后在system目录下生成了以下文件
hxdef.exe
ravmond.exe
iexplore.exe
kernel66.dll
odbc16.dll
msjdbc11.dll
MSSIGN30.DLL
spollsv.exe
NetMeeting.exe
在windows目录下生成:
SYSTRA.EXE
在每个分区根根目录下生成以下文件:
bak.rar
bak.zip
install.rar
install.zip
letter.rar
letter.zip
pass.rar
pass.zip
setup.rar
setup.zip
work.rar
work.zip
autorun.inf
mand.exe
在被执行的病毒文件所在的目录下会生成以下文件:
results.txt
win2k.txt-----当当前系统是windows2000时产生
winxp.txt-----当当前系统是windows XP时产生
写以下注册表项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run]
"Hardware Profile"="%Windir%\\System32\\hxdef.exe"
"VFW Encoder/Decoder Settings"="
RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
"Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"
"Program In Windows"="%Windir%\\System32\\IEXPLORE.EXE"
"Shell Extension"="%Windir%\\System32\\spollsv.exe"
"Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\runServices]
"SystemTra"="%Windir%\\SysTra.EXE"
添加以下服务:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_reg]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
Windows Management Protocol v.0 (experimental)]
病毒自带FTP服务器端,它会在15436端口提供一个FTP服务,这样病毒就可以通过建
立一个文本方式的下载脚本文件来从被感染计算机上下载病毒可执行文件。病毒会利用共
享方式进行传播,共享传播主要通过meeting.exe来进行,它会扫描网络内的共享资源
,并尝试将自身复制到远程共享。
病毒会使用windows的程序CMD.EXE写文本文件a,内容如下:
open 127.0.0.1 15436
ftp
ftp
bin
get hxdef.exe
bye
并使用该文件来下载病毒可执行文件,病毒会不停调用cmd.exe程序,由于cmd.exe
为隐藏运行,用户可以在进程管理器中看到1个以上的cmd.exe进程。
病毒还自带SMTP引擎,它将使用该引擎向从被感染计算机上搜集到的电子邮件地址发送带
病毒附件的垃圾邮件,邮件内容如下:
发件人:从搜索到的电子邮件地址中随机获取
收件人:从搜索到的电子邮件地址中随机获取
主题:
正文:
附件:大小125K左右,扩展名为以下类型的文件:
.exe
.scr
.pif
.cmd
.bat
.zip
.rar
病毒会尝试感染网络中的共享资源(探测网络内计算机的135、139、445等端口),当
发现有可写的共享资源时,病毒会将自己的副本写入该共享,如果病毒探测到被感染计算
机的有权限用户的弱口令(使用自带的密码库),病毒会远程将病毒执行起来达到网络传
染的目的。
病毒会搜索本地除了系统盘以外的所有分区上的EXE文件并尝试将其扩展名改为.zm
x,并将属性设置为隐藏+系统,然后将病毒的副本复制到EXE文件所在目录病毒将名称改为
该EXE的名称。另外病毒也会将自身的副本随机复制到任意目录当中(名称主要有自带的列
表和从被感染计算机上搜索到的EXE文件名两种,自带的文件名列表略)。
解决方法:
建议关闭网络共享,改一个强健的管理员密码。
用专杀工具杀毒。
如果杀毒完毕存在这样的问题,是杀毒软件没有搞定,留下的后遗症:
d、e、f、g盘(如果有的话)双击不能直接打开,说Windows无法找到COMMAND.EXE文件,
要求定位该文件,定位为C:\windows\explorer之后每次打开会提示“/StartExplorer”
出错 ,然后依然能打开驱动器文件夹。
病毒在你的每个驱动器下面写入了一个AutoRun.inf文件内容为:
open="X:\mand.exe" /StartExplorer X为驱动器盘符
所以,如果你没有杀毒,每次点开/D/E/F/G盘都会激活病毒
解决方法如下(以D盘为例):
开始
运行
cmd(打开命令提示符)
D:
dir /a (没有参数A是看不到的,A是显示所有的意思)
此时你会发现一个autorun.inf文件,约49字节
attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、只读、隐藏属性,否则无法
删除
del autorun.inf
del autorun.inf
到这里还没完,因为你双击了D盘盘符没有打开却得到一个错误。要求定位mand.exe,
这个时候自动运行的信息已经加入注册表了。下面清除注册表中相关信息:
开始
运行
regedit
编辑
查找
mand.exe
找到的第一个就是D盘的自动运行,删除整个shell子键
完毕,双击D盘。
重复以上操作数次,解决其他驱动器的问题,注册表中的信息是在一起的,在删除D盘
Shell\Open\Autorun的时候顺便都删除了吧。
...的cmd.exe进程和ftp.exe进程 是什么病毒 如何清除
3.在每个硬盘驱动器根目录下存在COMMAND.EXE 4.hxdef.exe、IEXPLORE.EXE、NetManager.exe、NetMeeting.exe、WinHelp.exe等进程占 用了cpu。5有可能出现rpc关闭也倒计时重启的现象 6.瑞星杀毒后出现Windows无法找到COMMAND.EXE文件,要求定位该文件。7.在任务管理器上看到多个cmd.exe进程.病毒技术:I-Wor...
任务管理器进程太多
是否为系统进程: 是 taskmon.exe 进程文件: taskmon or taskmon.exe 进程名称: Windows Task Optimizer 描述: windows任务优化器监视你使用某个程序的频率,并且通过加载那些经常使用的程序来整理优化硬盘。 是否为系统进程: 是 tcpsvcs.exe 进程文件: tcpsvcs or tcpsvcs.exe 进程名称: TCP\/IP Services 描述: TCP...
我有好多进程不知道有什么病毒,
realsched.exe进程是RealPlayer自动升级程序realplayer automacticly update,一般来说没多大用处,删除的方法很简单。在C:\\Windows和C:\\Documents and Settings文件夹里搜索(包括隐藏文件),将找到的Realsched.exe全部改名或者删除(最好改名),这样便不会出现这个进程了,而且不影响Realplayer的使用, 最后 在启动项里把它...
★怎么清理任务管理器中的进程
允许通过 Internet 信息服务的管理单元管理 Web 和 FTP 服务。(系统服务) tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。远程安装服务的一部分。(系统服务) termsrv.exe 提供多会话环境允许客户端设备访问虚拟的 Windows 2000 Professional 桌面会话以及运行在服务器上的基 于Windows 的程序。(系统...
电脑中了LSASS.exe 病毒,怎么删都删不掉.速求一个办法删除它..谢谢...
1.结束进程:调出windows务管理器(Ctrl+Alt+Del),发现通过简单的右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;鼠标右键点击"任务栏",选择"任务管理器"。点击菜单"查看(V)"->"选择列(S)...",在弹出的对话框中选择"PID(进程标识符)",并点击"确定"。找到映象名称...
任务管理器中那些进程是不需要的
1. 理论上,基本上只有系统进程(system process)、杀毒软件和用户自行启用的软件的进程是必需的,其它的进程多是辅助性的,可以关闭。建议用户最好是用电脑管家类软件进行进程优化,它最大的好处是可以实时知道用户判断进程的性质和用途,不至于关闭不该关闭的进程导致系统问题。2. 用户也可以对照如下的常见进程,自行关闭...
如何关闭任务管理器里多余进程?
进程文件: explorer or explorer.exe 进程名称: 程序管理 描述: Windows Program Manager或者Windows Explorer用于控制Windows图形Shell,包括开始菜单、任务栏,桌面和文件管理。 介绍:这是一个用户的shell,在我们看起来就像任务条,桌面等等。或者说它就是资源管理器,不相信你在运行里执行它看看。它对windows系统的稳定性...
cmd.exe一直困扰着我!高手请帮忙解答!
出现这种情况,我来作两种分析 其一:病毒感染 据我所知的某些木马程序,通常会利用CMD.EXE这个命令行系统进行病毒加载或者是DLL插入,并且文件的大小会改变 CMD.EXE 大小:459 KB (470,016 字节)占用空间:460 KB (471,040 字节)若与该数字不太吻合,请注意,肯定是病毒感染了没错 解决办法:进入...
任务管理器中的进程都是些什么意思
在W2K\/XP中,同时按下crtl+shift+Esc键,可以打开Windows任务管理器,单击“进程”,可以看到很多正在运行的进程,仔细看看有很多奇怪的EXE文件在运行?下面这些并不是真正的服务,而是在不同情况下运行的程序或进程,很多还是必需的进程。 打开WINDOWS的任务管理器,在进程选项卡中有一大堆正在运行的进程。 但是普通人很难...
在计算机的任务管理器里,为什么会有那么多进程?
svchost.exe SPOOLSV.EXE 将文件加载到内存中以便迟后打印。(系统服务)Explorer.exe 资源管理器 internat.exe 托盘区的拼音图标 附加的系统进程(这些进程不是必要的,你可以根据需要通过服务管理器来增加或减少):mstask.exe 允许程序在指定时间运行。(系统服务)regsvc.exe 允许远程注册表操作。(系统服务)w...
