IP地址莫名其妙变为0.0.0.0

2007.02.17更新:

这个watchclient.exe可能有点特殊.最终经过证实.此文件确为北信源 的某款ip-mac类监控软件进程.分析原因可能是该软件对ip监控造成的.虽然如此,本文的解决步骤还是有一定意义的.

 

 

 

 

本文是一个比较郁闷的病毒    的后续文章，重新组织一下，偏于骗分。

    故障：一内网机器突然无法上网，CMD下ipconfig/all常规检查时，发现地址为0.0.0.0/255.0.0.0；而在tcp/ip属性中则显示为192.168.0.2/255.255.255.0（假设为分配地址），当光标点中ip地址框内准备重新输入ip时，系统提示“指定了一个无效的ip地址”（大概就是这个意思了）。把TCP/IP协议删除重装并填入正确的ip地址信息后，机器上网正常。

            正准备收工闪人时，机器又无法上网了，ipconfig/all显示地址仍为0.0.0.0/255.0.0.0。

    分析：因在现场时未带任何工具，于是运行msconfig，发现启动项中加载了不少可疑进程。初步判断为病毒，但印象中好象没有类似的病毒现象啊！！（至今没有找到相关的个例，希望有这方面经验的朋友能给俺解惑）

    处理一：将机器带回后从光驱引导winxpe光盘杀毒.病毒n，重起后无效。

    处理二：看来病毒是加了壳啦！！只能手工查杀。

这里推荐

Process Explorer10.2. ：查看启动项、进程、服务

 

 

 

icesword：比pe功能更多，比如定位删除文件等，国产

 

 

KillBox：删除顽固文件，支持延迟删除

 

 

 

 

     通过PE10。2，发现了一个名为“watchclient.exe”的进程，此前的杀毒过程中我没考虑这个进程，因为这个进程对应了系统服务中一个名为“VRVWATCHSERVER”的服务。本机中还有vrvedp_m.exe、vrvsafec.exe、vrvrf-c.exe等进程，当时想当然的把vrvwatchserver服务和后3个进程视作同一个软件；而后2个进程是 北信源  公司的一款内网监控软件驻留内存的程序。

    经网上搜索，得知watchclient.exe文件可能是灰鸽子的服务端。

需要注意的是，vrvwatchserver服务无法在正常模式下手动停止，我是用pe10。2停止的。然后使用killbox删除watchclient.exe，最后删除HK_LOCAL_MACHINE_MACHINE\SYSTEM\CURRENT CONTROLSET\SERVICES下残留的“vrvwatchserver服务”项。

    另外，在c盘还有个隐藏文件为"vrvreg.log",用记事本打开后，发现为灰鸽子的运行日志，记载了watchclient.exe运行后自动从某处下载2个文件（记不清楚了），使用killbox删除。

 

重起后，机器测试正常。