windows系统进程漫谈

刚刚装完系统时,打开任务管理器你会发现进程数并不多(我的干净的无任何驱动windows 2000在18个左右).可过一段时间你会发现进程数莫名增加,下决心清理一下,结果机器挂了,看来只是胆子大是不行的.正所谓知己知彼百战不殆,所以还是先了解一下这些进程吧!

iexplore

iexplore.exe进程是Microsoft Internet Explorer的主要程序。这个微软Windows应用程序让你在网上冲浪,与访问本地Interanet相网络。它并不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。iexplore.exe进程同时也是Avant网络浏览器的一个部分,这是一个免费的基于Internet Explorer的浏览器。注意iexplore.exe进程也有可能是Trojan.KillAV.B病毒,该病毒会终止你的反病毒软件,和一些Windows系统工具,该进程的安全等级是建议删除
这个东西可以说是病毒,也可以说不是病毒。
因为微软的浏览器就是IEXPLORE.EXE,但是它一般情况随系统被安装在C:/Program Files/Internet Explorer下面。那么,如果发现这个文件是在这个目录下面的,一般情况不是病毒,当然,不包括已经被感染了的情况;还有一种情况,就是IEXPLORE.EXE在C:/WINDOWS/system32/下面,那么这个十有八九都是病毒。
如果你没开IE,一般不会出现iexplore.exe 的,如果有90%中招了~~~
中毒情况如下:浏览器被劫持了,或者病毒名为:IEXPL0RE.EXE,注意,这里是0,不是O
如果是病毒名为IEXPL0RE.EXE,进入安全模式或DOS,最新病毒库查杀,前提是杀毒软件不要太次。
如果是浏览器被劫持,在注册表里搜索所有RUN项,看看是否有可疑文件启动路径,还有搜索IEXPLORE.EXE,看看启动项后面是否有尾巴,也就是有跟随IEXPLORE.EXE启动的项目(例如IE后面跟随 C://windows//system32//***.exe或者.dll)。

iexplore.exe进程--病毒
系统进程--伪装的病毒iexplore.exe
Trojan.PowerSpider.ac破坏方法:密码解霸V8.10。又称“密码结巴”
偷用户各种密码,包含:游戏密码、局域网密码、腾讯QQ账号和密码、POP3密码、Win9x缓存密码及拨号账号等等。这个木马所偷密码的范围很广,对广大互联网用户的潜在威胁也巨大。
现象:
1.系统进程中有iexplore.exe运行,注意,是小写字母
2.搜索该程序iexplore.exe,不是位于C盘下的PROGRAMME文件夹,而是WINDOWS32文件夹。
解决办法:
1.到C://WINDOWS//system32下找到iexplore.exe和psinthk.dll完全删除之。
2.到注册表中,找到HKEY_LOCAL_MACHINE//Software//Microsoft//Windows//CurrentVersion
//Run“mssysint”=iexplore.exe,删除其键值

 

1、系统开机,没有启动IE的情况下,进程中有iexplore.exe运行,用户是:SYSTEM;

2、搜索该程序iexplore.exe,位于C:/WINDOWS/system32下面。

解决方法:

十有八九,你是中了 Trojan.PowerSpider.ac 木马病毒,它偷取用户各种密码,包含:游戏密码、局域网密码、腾讯QQ账号和密码、POP3 密码、Win9x缓存密码及拨号账号等等。

查杀方法:

1、到C:/WINDOWS/system32下找到ixplore.exe 和 psinthk.dll 完全删除之。

2、到注册表中,定位到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run“mssysint”= iexplore.exe,删除其键值。


另一种情况,开机的时候,没有开浏览器,进程管理器就有进程 IEXPLORE.EXE ,大写的,这个也是绝对的病毒。解决方法如下

一、删除以下两个文件:
c:/windows/system32/twunk32.exe
c:/Program Files/Tencent/QQ2006/TIMPlatform.exe
二、删除注册表[HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows]下面的load键。
重启OK,我就是用这个方法清除掉的。

注意要在安全模式下删除。

alg

进程文件: alg.exe
进程名称: Application Layer Gateway Service
进程类别:其他进程
英文描述:
alg.exe is a part of the Microsoft Windows operating system. It is a core process for Microsoft Windows Internet Connection sharing and Internet connection firewall. This program is important for the stable and secure running of your computer and should
中文参考:
alg.exe是微软Windows操作系统自带的程序。它用于处理微软Windows网络连接共享和网络连接防火墙。应用程序网关服务,为 Internet 连接共享和 Windows 防火墙提供第三方协议插件的支持。该进程属 Windows 系统服务。这个程序对你系统的正常运行是非常重要的。
出品者:Microsoft Corp.
属于:Microsoft Windows Operating System
如果此文件在C:/windows/alg.exe:
这是一个病毒样本eraseme_88446.exe 释放到系统中的。
C:/windows/alg.exe偷偷潜入系统后,下次开机时会遇到1-2次蓝屏重启。

特点:
1、C:/windows/alg.exe注册为系统服务,实现启动加载。
2、C:/windows/alg.exe控制winlogon.exe进程。因此,在WINDOWS下无法终止C:/windows/alg.exe进程。
3、在IceSword的“端口”列表中可见C:/windows/alg.exe打开5-6个端口访问网络。
4、C:/windows/alg.exe修改系统文件ftp.exe和tftp.exe。与原系统文件比较,病毒改动后的ftp.exe和tftp.exe文件大小不变,但MD5值均变为09d81f8dca0cbd5b110e53e6460b0d3b(见附图)。系统原有的正常文件ftp.exe和tftp.exe被改名为backup.ftp和backup.tftp,存放到C:/WINDOWS/system32/Microsoft/目录下。

手工杀毒流程:
1、清理注册表:
(1)展开:HKLM/System/CurrentControlSet/Services
删除:Application Layer Gateway Services(指向 C:/windows/alg.exe)

(2)展开:HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon
将SFCDisable的建值改为dword:00000000

(3)展开:HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon
删除:"SFCScan"=dword:00000000

(4)展开:HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Shell Extensions
删除:"v7b5x2s1i4h3"="12/15/2006, 01:26 PM"

2、重启系统。显示隐藏文件。
3、删除C:/windows/alg.exe。
4、在C:/WINDOWS/system32/Microsoft/目录下找到backup.ftp,改名为ftp.exe;找到backup.tftp,改名为tftp.exe。然后,将ftp.exe和tftp.exe拖拽到system32文件夹,覆盖被病毒改写过的ftp.exe和tftp.exe。



svchost.exe 是系统进程但也可能是W32.Welchia.Worm蠕虫病毒

svchost.exe
进程文件: svchost or svchost.exe

进程名称: Microsoft Service Host Process

进程类别:其他进程

英文描述:

svchost.exe is a system process belonging to the Microsoft Windows Operating System which handles processes executed from DLLs. This program is important for the stable and secure running of your computer and should not be terminated. Note: svchost.

中文参考:

svchost.exe是一个属于微软Windows操作系统的系统程序,用于执行DLL文件。这个程序对你系统的正常运行是非常重要的。注意:svchost.exe也有可能是W32.Welchia.Worm病毒,它利用Windows LSASS漏洞,制造缓冲区溢出,导致你计算机关机。更多详细信息参考:http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx,该进程的安全等级是建议立即删除。

出品者:Microsoft Corp.

属于:Microsoft Windows Operating System

系统进程:Yes

后台程序:Yes

网络相关:Yes

常见错误:N/A

内存使用:N/A

安全等级 (0-5): 0

间谍软件:No

广告软件:No

病毒:No

木马:No

发现

在基于nt内核的windows操作系统家族中,不同版本的windows系统,存在不同数量的“svchost”进程,用户使用“任务管理器”可查看其进程数目。一般来说,win2000有两个svchost进程,winxp中则有四个或四个以上的svchost进程(以后看到系统中有多个这种进程,千万别立即判定系统有病毒了哟),而win2003server中则更多。这些svchost进程提供很多系统服务,如:rpcss服务(remoteprocedurecall)、dmserver服务(logicaldiskmanager)、dhcp服务(dhcpclient)等。

如果要了解每个svchost进程到底提供了多少系统服务,可以在win2000的命令提示符窗口中输入“tlist-s”命令来查看,该命令是win2000supporttools提供的。在winxp则使用“tasklist/svc”命令。

svchost中可以包含多个服务

深入

windows系统进程分为独立进程和共享进程两种,“svchost.exe”文件存在于“%systemroot%system32”目录下,它属于共享进程。随着windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动。但svchost进程只作为服务宿主,并不能实现任何服务功能,即它只能提供条件让其他服务在这里被启动,而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢?

原来这些系统服务是以动态链接库(dll)形式实现的,它们把可执行程序指向svchost,由svchost调用相应服务的动态链接库来启动服务。那svchost又怎么知道某个系统服务该调用哪个动态链接库呢?这是通过系统服务在注册表中设置的参数来实现。下面就以rpcss(remoteprocedurecall)服务为例,进行讲解。

从启动参数中可见服务是靠svchost来启动的。

实例

以windowsxp为例,点击“开始”/“运行”,输入“services.msc”命令,弹出服务对话框,然后打开“remoteprocedurecall”属性对话框,可以看到rpcss服务的可执行文件的路径为“c:/windows/system32/svchost-krpcss”,这说明rpcss服务是依靠svchost调用“rpcss”参数来实现的,而参数的内容则是存放在系统注册表中的。

在运行对话框中输入“regedit.exe”后回车,打开注册表编辑器,找到[hkey_local_machinesystemcurrentcontrolsetservicesrpcss]项,找到类型为“reg_expand_sz”的键“magepath”,其键值为“%systemroot%system32svchost-krpcss”(这就是在服务窗口中看到的服务启动命令),另外在“parameters”子项中有个名为“servicedll”的键,其值为“%systemroot%system32rpcss.dll”,其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样svchost进程通过读取“rpcss”服务注册表信息,就能启动该服务了。

解惑

因为svchost进程启动各种服务,所以病毒、木马也想尽办法来利用它,企图利用它的特性来迷惑用户,达到感染、入侵、破坏的目的(如冲击波变种病毒“w32.welchia.worm”)。但windows系统存在多个svchost进程是很正常的,在受感染的机器中到底哪个是病毒进程呢?这里仅举一例来说明。

假设windowsxp系统被“w32.welchia.worm”感染了。正常的svchost文件存在于“c:/windows/system32”目录下,如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:/windows/system32wins”目录中,因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。windows系统自带的任务管理器不能够查看进程的路径,可以使用第三方进程管理软件,如“windows优化大师”进程管理器,通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径,一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
=========================================================
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Svchost.exe说明解疑对Svchost的困惑
---------------
2006年12月21日
Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的%systemroot%/system32文件夹下。在启动的时候,Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务,以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。
.
Svchost.exe 组是用下面的注册表值来识别。
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Svchost
每个在这个键下的值代表一个独立的Svchost组,并且当你正在看活动的进程时,它显示作为一个单独的例子。每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。每个Svchost组都包含一个或多个从注册表值中选取的服务名,这个服务的参数值包含了一个ServiceDLL值。
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Service
.
.
更多的信息
.
为了能看到正在运行在Svchost列表中的服务。
开始-运行-敲入cmd
然后在敲入 tlist -s (tlist 应该是win2k工具箱里的东东)
Tlist 显示一个活动进程的列表。开关 -s 显示在每个进程中的活动服务列表。如果想知道更多的关于进程的信息,可以敲 tlist pid。
Tlist 显示Svchost.exe运行的两个例子。
0 System Process
8 System
132 smss.exe
160 csrss.exe Title:
180 winlogon.exe Title: NetDDE Agent
208services.exe
Svcs: AppMgmt,Browser,Dhcp,dmserver,Dnscache,Eventlog,lanmanserver,LanmanWorkst
ation,LmHosts,Messenger,PlugPlay,ProtectedStorage,seclogon,TrkWks,W32Time,Wmi
220 lsass.exe Svcs: Netlogon,PolicyAgent,SamSs
404 svchost.exe Svcs: RpcSs
452 spoolsv.exe Svcs: Spooler
544 cisvc.exe Svcs: cisvc
556 svchost.exe Svcs: EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv
580 regsvc.exe Svcs: RemoteRegistry
596 mstask.exe Svcs: Schedule
660 snmp.exe Svcs: SNMP
728 winmgmt.exe Svcs: WinMgmt
852 cidaemon.exe Title: OleMainThreadWndName
812 explorer.exe Title: Program Manager
1032 OSA.EXE Title: Reminder
1300 cmd.exe Title: D:/WINNT5/System32/cmd.exe - tlist -s
1080 MAPISP32.EXE Title: WMS Idle
1264 rundll32.exe Title:
1000 mmc.exe Title: Device Manager
1144 tlist.exe
在这个例子中注册表设置了两个组。
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Svchost:
netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent RasautoRa
sman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
rpcss :Reg_Multi_SZ: RpcSs
smss.exe
csrss.exe
这个是用户模式Win32子系统的一部分。csrss代表客户/服务器运行子系统而且是一个基本的子系统必须一直运行。csrss 负责控制windows,创建或者删除线程和一些16位的虚拟MS-DOS环境。


病毒症状:
D盘双击打不开,出现选择程序打开方式对话框。D盘目录下有command.com和autorun.inf两个文件,删掉又会出来。

进程里面有2个lsass.exe进程,一个是system的,一个是当前用户名的(该进程为病毒).

同时修改N多注册表键值,创建N多病毒文件。


解决方法:

一、准备工作:

打开“我的电脑”——工具——文件夹选项——查看
a、把“隐藏受保护的操作系统文件(推荐)”和“隐藏已知文件类型的扩展名”前面的勾去掉;
b、勾中“显示所有文件和文件夹”

二、结束进程

点到任务管理器进程面版,点击菜单,"查看"-"选择列",在弹出的对话框中选择"PID(进程标识符)",并点击"确定"。找到映象名称为"LSASS.exe",并且用户名不是"SYSTEM"的一项,记住其PID号.点击"开始"——运行,输入"CMD",点击"确定"打开命令行控制台。

输入"ntsd –c q -p (此红色部分填写你在任务管理器里看到的LSASS.EXE的PID列的数字,是当前用户名进程的PID,)",比如我的计算机上就输入"ntsd –c q -p 1064".这样进程就结束了。(如果结束了又会出现,那么你还是用下面的方法吧)

三、删除病毒文件

删除如下几个文件:

C:/Program Files/Common Files/INTEXPLORE.pif (有的没有.pif)

C:/Program Files/Internet Explorer/INTEXPLORE.com

C:/WINDOWS/EXERT.exe

C:/WINDOWS/IO.SYS.BAK

C:/WINDOWS/LSASS.exe

C:/WINDOWS/Debug/DebugProgram.exe

C:/WINDOWS/system32/dxdiag.com

C:/WINDOWS/system32/MSCONFIG.COM

C:/WINDOWS/system32/regedit.com


在D:盘上点击鼠标右键,选择“打开”。删除掉该分区根目录下的"Autorun.inf"和"command.com"文件.


四、删除注册表中的其他垃圾信息

将C:/WINDOWS目录下的"regedit.exe"改名为"regedit.com"并运行,删除以下项目:

1、HKEY_CLASSES_ROOT/WindowFiles

2、HKEY_CURRENT_USER/Software/VB and VBA Program Settings

3、HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main 下面的 Check_Associations项

4、HKEY_LOCAL_MACHINE/SOFTWARE/Clients/StartMenuInternet/INTEXPLORE.pif

5、HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run 下面的ToP项


五、修复注册表中被篡改的键值(红色部分为需要信息)

1、将HKEY_CLASSES_ROOT/.exe的默认值修改为 "exefile"(原来是windowsfile)

2、将HKEY_CLASSES_ROOT/Applications/iexplore.exe/shell/open/command 的默认值修改为 "C:/Program Files/Internet Explorer/iexplore.exe" %1 (原来是intexplore.com)

3、将HKEY_CLASSES_ROOT/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D} /shell/OpenHomePage/Command 的默认值修改为
"C:/Program Files/Internet Explorer/IEXPLORE.EXE"(原来是INTEXPLORE.com)

4、将HKEY_CLASSES_ROOT /ftp/shell/open/command 和HKEY_CLASSES_ROOT/htmlfile/shell/opennew/command
的默认值修改为"C:/Program Files/Internet Explorer/iexplore.exe" %1 (原来的值分别是INTEXPLORE.com和INTEXPLORE.pif)

5、将HKEY_CLASSES_ROOT /htmlfile/shell/open/command 和
HKEY_CLASSES_ROOT/HTTP/shell/open/command的默认值修改为
"C:/Program Files/Internet Explorer/iexplore.exe" –nohome

6、将HKEY_LOCAL_MACHINE/SOFTWARE/Clients/StartMenuInternet 的默认值修改为"IEXPLORE.EXE".(原来是INTEXPLORE.pif)


六、收尾工作

关掉注册表编辑器

将C:/WINDOWS目录下的regedit.com改回regedit.exe


smss.exe
进程文件: smss or smss.exe
  
  进程名称: Session Manager Subsystem
  
  描  述: 该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。
  
  简  介:这是一个会话管理子系统,负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的,包括已经正在运行的Winlogon,Win32(Csrss.exe)线程和设定的系统变量作出反映。在它启动这些进程后,它等待Winlogon或者Csrss结束。如果这些过程时正常的,系统就关掉了。如果发生了什么不可预料的事情,smss.exe就会让系统停止响应(就是挂起)。


SMSS.EXE病毒处理 :

SMSS.EXE(Session Manager Subsystem),该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。它是一个会话管理子系统,负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的,包括已经正在运行的Winlogon,Win32(Csrss.exe)线程和设定的系统变量作出反映。在它启动这些进程后,它等待Winlogon或者Csrss结束。如果这些过程时正常的,系统就关掉了。如果发生了什么不可预料的事情,smss.exe就会让系统停止响应(挂起)。要注意:如果系统中出现了不只一个smss.exe进程,而且有的smss.exe路径是"%WINDIR%/SMSS.EXE",那就可以肯定是中了病毒或木马了。

清除方法:

1. 运行Procexp.exe和SREng.exe
2. 用ProceXP结束%Windows%/SMSS.EXE进程,注意路径和图标
3. 用SREng恢复EXE文件关联
1,2,3步要注意顺序,不要颠倒。

4. 可以删除文件和启动项了……

删除的启动项:

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"TProgram"="%Windows%/SMSS.EXE"

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Runservices]
"TProgram"="%Windows%/SMSS.EXE"

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]
"Shell"="Explorer.exe 1"
修改为:
"Shell"="Explorer.exe"


删除的文件就是一开始说的那些,别删错就行

5. 最后打开注册表编辑器,恢复被修改的信息:
查找“explorer.com”,把找到的“explorer.com”修改为“explorer.exe”;
查找“finder.com”、“command.pif”、“rundll32.com”,把找到的“finder.com”、“command.pif”、“rundll32.com”修改为“rundll32.exe”;
查找“iexplore.com”,把找到的“iexplore.com”修改为“iexplore.exe”;
查找“iexplore.pif”,把找到的“iexplore.pif”,连同路径一起修改为正常的IE路径和文件名,比如“C:/Program Files/Internet Explorer/iexplore.exe”。

关于SMSS.EXE进程的描述:


中文参考:

smss.exe是微软Windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个程序对你系统的正常运行是非常重要的。注意:smss.exe也可能是Win32.Ladex.a木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除。
清除的方法请见:http://www.pxue.com/Html/729.html
1. 结束病毒的进程%Windows%/smss.exe(用进程管理软件可以结束,如:Process viewer)
  
  2. 删除相关文件:
  C:/MSCONFIG.SYS
  %Windows%/1.com
  %Windows%/ExERoute.exe
  %Windows%/explorer.com
  %Windows%/finder.com
  %Windows%/smss.exe
  %Windows%/Debug/DebugProgram.exe
  %System%/command.pif
  %System%/dxdiag.com
  %System%/finder.com
  %System%/MSCONFIG.COM
  %System%/regedit.com
  %System%/rundll32.com
  %ProgramFiles%/Internet Explorer/iexplore.com
  %ProgramFiles%/Common Files/iexplore.pif
  
  3. 恢复EXE文件关联
   删除[HKEY_CLASSES_ROOT/winfiles]项
  
  4. 删除病毒启动项:
  [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
  "Torjan Program"="%Windows%/smss.exe"
   修改[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]下
  "shell"="Explorer.exe 1"
  为
  "shell"="Explorer.exe"
  
  5. 恢复病毒修改的注册表信息:
  (1)分别查找“command.pif”、“finder.com”、“rundll32.com”的信息,将“command.pif”、“finder.com”、“rundll32.com”修改为“rundll32.exe”
  
  (2)查找“explorer.com”的信息,将“explorer.com”修改为“explorer.exe”
  
  (3)查找“iexplore.com”的信息,将“iexplore.com”修改为“iexplore.exe”
  
  (4)查找“iexplore.pif”的信息,将找到的“%ProgramFiles%/Common Files/iexplore.pif”修改为“%ProgramFiles%/Internet Explorer/iexplore.exe”
  
  
 6 在command模式下写入assoc .exe=exefile
修复exe关联,这样exe文件才可以打的开


QQ尾巴,Trojan/PSW.MiFeng蜜蜂大盗等木马病毒:

进程文件: smss.exe
进程名称: PWSteal.Wowcraft.b木马病毒
英文描述: N/A
进程分析: QQ尾巴,Trojan/PSW.MiFeng蜜蜂大盗等木马病毒。主要通过浏览恶意网页传播。该病毒修改注册表创建Run/Tok-Cirrhatus项实现自启动。新变种也通过修改注册表Winlogon项下的Userinit实现自启动,并将病毒模块regsvr.dll,cn_spi.dll注入进程运行。

安全等级 (0-5): 0 (N/A无危险 5最危险)
间碟软件: 是
广告软件: 是
病毒: 是
木马: 是

系统进程: 否
应用程序: 否
后台程序: 是
使用访问: 是
访问互联网: 否

描述: 如果系统中出现了不只一个 smss.exe 进程,而且有的 smss.exe 路径位于 Windows 目录,那有可能是中了 TrojanClicker.Nogard.a 病毒,这是一种 Windows 下的 PE 病毒,它采用 VB6 编写 ,是一个自动访问某站点的木马病毒。该病毒会在注册表中多处添加自己的启动项,还会修改系统文件 WIN.INI,并在 [WINDOWS] 项中加入 "RUN" = "%WINDIR%/SMSS.EXE"。手工清除时请先结束病毒进程 smss.exe,再删除 Windows 目录下的 smss.exe 文件,然后清除它在注册表和 WIN.INI 文件中的相关项即可。

  csrss.exe
进程文件: csrss or csrss.exe

进程名称: Client/Server Runtime Server Subsystem

描 述: 客户端服务子系统,用以控制Windows图形相关子系统。

介 绍:Client/Server Runtime Server Subsystem,客户端服务子系统,用以控制 Windows 图形相关子系统。正常情况下在 Windows NT/2000/XP/2003 系统中只有一个 csrss.exe 进程,正常位于 System32 文件夹中,若以上系统中出现两个 csrss.exe 进程(其中一个位于 Windows 文件夹中),或在 Windows 9X/Me 系统中出现该进程,则是感染了病毒。

纯手工查杀木马csrss.exe

注意:csrss.exe进程属于系统进程,这里提到的木马csrss.exe是木马伪装成系统进程

前两天突然发现在C:/Program Files/下多了一个rundll32.exe文件。这个程序记得是关于登录和开关机的,不应该在这里,而且它的图标是98下notepad.exe的老记事本图标,在我的2003系统下面很扎眼。但是当时我没有在意。因为平时没有感到系统不稳定,也没有发现内存和CPU大量占用,网络流量也正常。

这两天又发现任务管理器里多了这个rundll32.exe和一个csrss.exe的进程。它和系统进程不一样的地方是用户为Administrator,就是我登录的用户名,而非system,另外它们的名字是小写的,而由SYSTEM启动的进程都是大写的RUNDLL32.EXE和CSRSS.EXE,觉得不对劲。

然后按F3用资源管理器的搜索功能找csrss.exe,果然在C:/Windows下,大小52736字节,生成时间为12月9日12:37。而真正的csrss.exe只有4k,生成时间是2003年3月27日12:00,位于C:/Windows/Syetem32下。

于是用超级无敌的UltraEdit打开它,发现里面有kavscr.exe,mailmonitor一类的字符,这些都是金山毒霸的进程名。在该字符前面几行有SelfProtect的字符。自我保护和反病毒软件有关的程序,不是病毒就是木马了。灭!

试图用任务管理器结束csrss.exe进程失败,称是系统关键进程。先进注册表删除[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]和v[Runservice]下相应值,注销重登录,该进程消失,可见它没有象3721那样加载为驱动程序。

然后要查找和它有关的文件。仍然用系统搜索功能,查找12月9日生成的所有文件,然后看到12:37分生成的有csrss.exe、rundll32.exe和kavsrc.exe,但kavsrc.exe的图标也是98下的记事本图标,它和rundll32.exe的大小都是33792字节。

此后在12:38分生成了一个tmp.dat文件,内容是

@echo off

debug C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/tmp.dat C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/tmp.out

copy C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/tmp.dat C:/WINDOWS/system32/netstart.exe>C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/tmp.out

del C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/tmp.dat >C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/tmp.out

del C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/tmp.in >C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/tmp.out

C:/WINDOWS/system32/netstart.exe

好像是用debug汇编了一段什么程序,这年头常用debug的少见,估计不是什么善茬,因为商业程序员都用Delphi、PB等大程序写软件。

汇编大约进行了1分钟,在12:39生成了netstart.exe、WinSocks.dll、netserv.exe和一个0字节的tmp.out文件。netstart.exe大小117786字节,另两个大小也是52736字节。前两个位于C:/Windows/System32下,后两个在当前用户的Temp文件夹里。

这样我就知道为什么我的系统没有感染的表现了。netstart.exe并没有一直在运行,因为我在任务管理器中没有见过它。把这些文件都删除,我的办法是用winrar压缩并选中完成后删除源文件,然后在rar文件注释中做说明,放一个文件夹里,留待以后研究。这个监狱里都是我的战利品,不过还很少。

现在木马已经清除了。使用搜索引擎查找关于csrss.exe的内容,发现结果不少,有QQ病毒,传奇盗号木马,新浪游戏病毒,但是文件大小和我中的这个都不一样。搜索netstart.exe只有一个日文网站结果,也是一个木马。

这个病毒是怎么进入我的电脑的呢?搜索时发现在12月9日12:36分生成了一个快捷方式,名为dos71cd.zip,它是我那天从某网站下载的DOS7.11版启动光盘,但是当时下载失败了。现在看来根本就不是失败,是因为这个网站的链接本来就是一段网页注入程序,点击后直接把病毒下载来了。
网上冲浪更快更爽,下载带有 Google 工具栏的 Firefox


1 services.exe - services - 进程介绍
  进程文件: services or services.exe
  进程名称: Windows Service Controller
  进程类别:其他进程

  英文描述:

services.exe is a part of the Microsoft Windows Operating System and manages the operation of starting and stopping services. This process also deals with the automatic starting of services during the computers boot-up and the stopping of servicse durin

  中文参考:

  services.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。注意:services也可能是W32.Randex.R(储存在%systemroot%/system32/目录)和Sober.P (储存在%systemroot%/Connection Wizard/Status/目录)木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除。

  出品者:Microsoft Corp.
  属于:Microsoft Windows Operating System
  系统进程:Yes
  后台程序:Yes
  网络相关:No
  常见错误:N/A
  内存使用:N/A
  安全等级 (0-5): 0
  间谍软件:No
  广告软件:No
  病毒:No
  木马:No

  这个后门还不错,也有点BT吧,共产生14个文件+3个快捷图标+2个文件夹。注册表部分,除了1个Run和System.ini,比较有特点是,非普通地利用了EXE文件关联,先修改了.exe的默认值,改.exe从默认的 exefile更改为winfiles,然后再创建winfiles键值,使EXE文件关联与木马挂钩。即为中毒后,任意一个EXE文件的属性,“应用程序”变成“EXE文件”

  当然,清除的方法也很简单,不过需要注意步骤:

  一、注册表:先使用注册表修复工具,或者直接使用regedit修正以下部分

  1.SYSTEM.INI (NT系统在注册表: HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon)
shell = Explorer.exe 1 修改为shell = Explorer.exe

  2.将 HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run下的
Torjan Program----------C:/WINNT/services.exe删除

  3. HKEY_Classes_root/.exe

默认值 winfiles 改为exefile

  4.删除以下两个键值:

HKEY_Classes_root/winfiles
HKEY_Local_machine/software/classes/winfiles

  5. 打开注册表编辑器,依此分别查找“rundll32.com”、“finder.com”、“command.pif”,把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”

  6. 查找“iexplore.com”的信息,把找到的内容里面的“iexplore.com”改为“iexplore.exe”

  7. 查找“explorer.com”的信息,把找到的内容里面的“explorer.com”改为“explorer.exe”

  8. 查找“iexplore.pif”,应该能找到类似“%ProgramFiles%/Common Files/iexplore.pif”的信息,把这内容改为“C:/Program Files/Internet Explorer/iexplore.exe”

  9. 删除病毒添加的文件关联信息和启动项:



[HKEY_CLASSES_ROOT/winfiles]

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"Torjan Program"="%Windows%/services.exe"

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices]
"Torjan Program"="%Windows%/services.exe"

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]
"Shell"="Explorer.exe 1"
改为
"Shell"="Explorer.exe"

  10. 这些是病毒释放的一个VB库文件(MSWINSCK.OCX)的相关信息,不一定要删除:

HKEY_CLASSES_ROOT/MSWinsock.Winsock
HKEY_CLASSES_ROOT/MSWinsock.Winsock.1
HKEY_CLASSES_ROOT/CLSID/{248DD896-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT/CLSID/{248DD897-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT/Interface/{248DD892-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT/Interface/{248DD893-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT/TypeLib/{248DD890-BB45-11CF-9ABC-0080C7E7B78D}

  注:因为病毒修改了很多关联信息,所以在那些病毒文件没有被删除之前,请不要做任何多余的操作,以免激活病毒

  二、然后重启系统,删除以下文件部分,注意打开各分区时,先打开“我的电脑”后请使用右键单击分区,选“打开”进入。或者直接执行附件的Kv.bat来删除以下文件

c:/antorun.inf (如果你有多个分区,请检查其他分区是否有这个文件,有也一并删除)

%programfiles%/common files/iexplore.pif
%programfiles%/Internat explorer/iexplore.com
%windir%/1.com
%windir%/exeroute.exe
%windir%/explorer.com
%windir%/finder.com
%windir%/mswinsck.ocx
%windir%/services.exe
%windir%/system32/command.pif
%windir%/system32/dxdiag.com
%windir%/system32/finder.com
%windir%/system32/msconfig.com
%windir%/system32/regedit.com
%windir%/system32/rundll32.com
删除以下文件夹:
%windir%/debug
%windir%/system32/NtmsData

 一、病毒评估

1. 病毒中文名: SCO炸弹变种N
2. 病毒英文名: Worm.Novarg.N
3. 病毒别名: Worm.Mydoom.m
4. 病毒大小: 28832字节
5. 病毒类型: 蠕虫病毒
6. 病毒危险等级: ★★★★
7. 病毒传播途径: 邮件
8. 病毒依赖系统: Windows 9X/NT/2000/XP

  二、病毒的破坏

  1. 通过电子邮件传播的蠕虫病毒,感染之后,它会先在用户本地机器上搜索电子邮件地址,向其发送病毒邮件;

  2. 利用在本机上搜索到的邮件地址的后缀当关键词,在Google、Yahoo等四个搜索引擎上搜索相关的email地址,发送病毒邮件传播自身。

  3. 大量发送的搜索请求使这四个搜索引擎的运行速度明显变慢。

  4. 感染了此病毒的机器,IE浏览器、OE软件和Outlook软件都不能正常使用。

  5. 病毒大量向外发送病毒邮件,严重消耗网络资源,可能造成局域网堵塞。

  三、技术分析

  1. 蠕虫病毒,采用Upx压缩。运行后,将自己复制到%WINDOWS%目录下,文件名为:java.exe。释放一个后门病毒在同一目录中,文件名为:services.exe。

2. 在注册表启动项“/CurrentVersion/Run”下加入这两个文件的启动键值:JavaVM和Service,实现病毒的开机自启动。

  3. 强行关闭IE浏览器、OE软件和Outlook软件,使其不能正常使用。

  4. 在本地机器上搜索电子邮件地址:从注册表中读取当前系统当前使用的wab文件名,并在其中搜索email地址;搜索internet临时目录 (Local Settings/Temporary Internet Files)中的文件,从中提取电子邮件地址;遍历盘符从C:盘到Z:的所有硬盘,并尝试从以下扩展名文件中提取email地址:.adb ,.asp ,.dbx ,.htm ,.php ,.pl ,.sht ,.tbb ,.txt ,.wab。

  5. 当病毒搜索到email地址以后,病毒以“mailto+%本地系统搜出的邮件地址%”、“reply+%本地系统搜出的邮件地址%”、 “{|contact+| |e| |-| |mail}+%本地系统搜出的邮件地址%”为关键字,利用以下四种搜索引擎进行email地址邮件搜索:search.lycos.com、 search.yahoo.com、www.altavista.com、www.google.com,利用这种手段,病毒能够搜索到非常多的可用邮件 地址。

  6. 病毒邮件的附件名称为:readme ,instruction ,transcript ,mail ,letter ,file ,text ,attachment等,病毒附件扩展名为:cmd ,bat ,com ,exe ,pif ,scr ,zip。

  四、病毒解决方案:

  1. 进行升级

  瑞星公司将于当天进行紧急升级,升级后的软件版本号为16.37.10,该版本的瑞星杀毒软件可以彻底查杀“SCO炸弹变种N”病毒,瑞星杀毒软件标准版和网络版的用户可以直接登陆瑞星网站( http://www.rising.com.cn/ )下载升级包进行升级,或者使用瑞星杀毒软件的智能升级功能。

  2. 使用专杀工具

  鉴于该病毒的特性,瑞星公司还为手中暂时没有杀毒软件的用户提供了免费的病毒专杀工具,用户可以到: http://it.rising.com.cn/service/technology/tool.htm 网址免费下载使用。

  3. 使用在线杀毒和下载版

  用户还可以使用瑞星公司的在线杀毒与下载版产品清除该病毒,这两款产品是通过手机付费使用的,用户可以登陆 http://online.rising.com.cn/ 使用在线杀毒产品,或者登陆 http://go.rising.com.cn/ 使用下载版产品。

  4. 打电话求救

  如果遇到关于该病毒的其它问题,用户可以随时拨打瑞星反病毒急救电话:010-82678800来寻求反病毒专家的帮助!

  5. 手动清除

(1)结束系统中进程名为:Services.exe和java.exe(在%windows%目录中)
(2)删除系统临时目录中的两个病毒数据文件:MLITGB.LOG和ZINCITE.LOG
(3)删除病毒键立的注册表键:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
“JavaVM”=%WINDOWS%/java.exe
和HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
“Services”=%WINDOWS%/Services.exe
  注: %WINDOWS% 是指系统的windows目录,在Windows 9X/ME/XP下默认为:
C:/WINDOWS,Win2K下默认为:C:/WINNT

  注: %WINDIR%指的是Windows系统的安装目录,在Windows 95/98/ME/XP操作系统下默认为:C:/WINDOWS目录,在WINDOWS2000操作系统下默认为:C:/WINNT目录。

  五、安全建议:

  1. 建立良好的安全习惯。 例如:对一些来历不明的邮件及附件不要打开,不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等,这些必要的习惯会使您的计算机更安全。

  2. 关闭或删除系统中不需要的服务。 默认情况下,许多操作系统会安装一些辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便,而又对用户没有太大用处,如果删除它们,就能大大减少被攻击的可能性。

  3. 经常升级安全补丁。 据统计,有80%的网络病毒是通过系统安全漏洞进行传播的,象蠕虫王、冲击波、震荡波等,所以我们应该定期到微软网站去下载最新的安全补丁,以防范未然。

  4. 使用复杂的密码。 有许多网络病毒就是通过猜测简单密码的方式攻击系统的,因此使用复杂的密码,将会大大提高计算机的安全系数。

  5. 迅速隔离受感染的计算机。 当您的计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染,或者成为传播源,再次感染其它计算机。

  6. 了解一些病毒知识。 这样就可以及时发现新病毒并采取相应措施,在关键时刻使自己的计算机免受病毒破坏。如果能了解一些注册表知识,就可以定期看一看注册表的自启动项是否有可疑键值;如果了解一些内存知识,就可以经常看看内存中是否有可疑程序。

  7. 最好安装专业的杀毒软件进行全面监控。 在病毒日益增多的今天,使用杀毒软件进行防毒,是越来越经济的选择,不过用户在安装了反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控)、内存监控等、遇到问题要上报, 这样才能真正保障计算机的安全。

  8. 用户还应该安装个人防火墙软件进行防黑。 由于网络的发展,用户电脑面临的黑客攻击问题也越来越严重,许多网络病毒都采用了黑客的方法来攻击用户电脑,因此,用户还应该安装个人防火墙软件,将安全级别设为中、高,这样才能有效地防止网络上的黑客攻击。


winlogon.exe
进程文件: winlogon or winlogon.exe
进程名称: Microsoft Windows Logon Process

描述:
Windows Logon Process,Windows NT 用户登陆程序,管理用户登录和退出。该进程的正常路径应是 C:/Windows/System32 且是以 SYSTEM 用户运行,若不是以上路径且不以 SYSTEM 用户运行,则可能是 W32.Netsky.D@mm 蠕虫病毒,该病毒通过 EMail 邮件传播,当你打开病毒发送的附件时,即会被感染。该病毒会创建 SMTP 引擎在受害者的计算机上,群发邮件进行传播。手工清除该病毒时先结束病毒进程 winlogon.exe,然后删除 C:/Windows 目录下的 winlogon.exe、winlogon.dll、winlogon_hook.dll 和 winlogonkey.dll 文件,再清除 AOL instant messenger 7.0 服务,位于注册表 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services] 下的 aol7.0 键。



出品者: Microsoft Corp.
属于: Microsoft Windows Operating System

系统进程: 是
后台程序: 是
使用网络: 否
硬件相关: 否
常见错误: 未知N/A
内存使用: 未知N/A
安全等级 (0-5): 0
间谍软件: 否
Adware: 否
病毒: 否
木马: 否

winlogon.exe病毒的查杀方法
这个进程是不是一个传奇世界程序的图标使用51破解版传家宝会生产一个WINLOGON.EXE进程
正常的winlogon系统进程,其用户名为“SYSTEM” 程序名为小写winlogon.exe。
而伪装成该进程的木马程序其用户名为当前系统用户名,且程序名为大写的WINLOGON.exe。
进程查看方式 ctrl+alt+del 然后选择进程。正常情况下有且只有一个winlogon.exe进程,其用户名为“SYSTEM”。如果出现了两个winlogon.exe,且其中一个为大写,用户名为当前系统用户的话,表明可能存在木马。这个木马非常厉害,能破坏掉木马克星,使其不能正常运行。目前我使用其他杀毒软件未能查出。
那个WINDOWS下的WINLOGON.EXE确实是病毒,但是,她不过是这个病毒中的小角色而已,大家打开D盘看看是否有一个pagefile的DOS指向文件和一个autorun.inf文件了,呵呵,当然都是隐藏的,删这几个没用的,因为她关联了很多东西,甚至在安全模式都难搞,只要运行任何程序,或者双击打开D盘,她就会重新被安装了,呵呵,这段时间很多人被盗就是因为这个破解的传家宝了,而且杀毒软件查不出来,有人叫这个病毒为 ”落雪“ 是专门盗传奇传奇世界的木马,至于会不会盗其他帐号如QQ,网银就看她高兴了,呵呵,估计也都是一并录制。不怕毒和要减少损失的最好开启防火墙阻止除了自己信任的几个常用任务出门,其他的全部阻挡,当然大家最好尽快备份,然后关门杀毒包括方新等修改过的51pywg传家宝,和他们破解的其他一切外挂,这次嫌疑最大的是51PYWG,至于其他合作网站估计也逃不了关系,特别是方新网站,已经被证实过多次在网站放木马,虽然他解释是被黑了,但是不能排除其他可能,特别小心那些启动后连接网站的外挂,不排除启动器本身就有毒,反正一句话,这种启动就连接某网站的破解软件最容易放毒,至于什么时候放,怎么方,比如一天放几个小时,都要看他怎么爽,用也尽量用那种完全本地破解验证版的,虽然挂盟现在好像还没发现被放马或者自己放,但是千万小心,,最近传奇世界传奇N多人被盗号,目标直指这些网站,以下是最近特别毒的WINLOGON.EXE盗号病毒清除方法,注意这个假的WINLOGON.EXE是在WINDOWS下,进程里头表现为当前用户或ADMINISTRATOR.另外一个 SYSTEM的winlogon.exe是正常的,那个千万不要乱删,看清楚了,前面一个是大写,后面一个是小写,而且经部分网友证实,此文件连接目的地为河南。解决“落雪”病毒的方法
症状:D盘双击打不开,里面有autorun.inf和pagefile.com文件
做这个病毒的人也太强了,在安全模式用Administrator一样解决不了!经过一个下午的奋战才算勉强解决。我没用什么查杀木马的软件,全是手动一个一个把它揪出来把他删掉的。它所关联的文件如下,绝大多数文件都是显示为系统文件和隐藏的。所以要在文件夹选项里打开显示隐藏文件。
D盘里就两个,搞得你无法双击打开D盘。C盘里盘里的就多了!
D:/autorun.inf
D:/pagefile.com
C:/Program Files/Internet Explorer/iexplore.com
C:/Program Files/Common Files/iexplore.com
C:/WINDOWS/1.com
C:/WINDOWS/iexplore.com
C:/WINDOWS/finder.com
C:/WINDOWS/Exeroud.exe(忘了是不是这个名字了,红色图标有传奇世界图标的)
C:/WINDOWS/Debug/*** Programme.exe(也是上面那个图标,名字忘了-_- 好大好明显非隐藏的)
C:/Windows/system32/command.com 这个不要轻易删,看看是不是和下面几个日期不一样而和其他文件日期一样,如果和其他文件大部分系统文件日期一样就不能删,当然系统文件肯定不是这段时间的。
C:/Windows/system32/msconfig.com
C:/Windows/system32/regedit.com
C:/Windows/system32/dxdiag.com
C:/Windows/system32/rundll32.com
C:/Windows/system32/finder.com
C:/Windows/system32/a.exe
对了,看看这些文件的日期,看看其他地方还有没有相同时间的文件还是.COM结尾的可疑文件,小心不要运行任何程序,要不就又启动了,包括双击磁盘
还有一个头号文件!WINLOGON.EXE!做了这么多工作目的就是要干掉她!!!
C:/Windows/WINLOGON.EXE
这个在进程里可以看得到,有两个,一个是真的,一个是假的。
真的是小写winlogon.exe,(不知你们的是不是),用户名是SYSTEM,
而假的是大写的WINLOGON.EXE,用户名是你自己的用户名。
这个文件在进程里是中止不了的,说是关键进程无法中止,搞得跟真的一样!就连在安全模式下它都会呆在你的进程里!我现在所知道的就这些,要是不放心,就最好看一下其中一个文件的修改日期,然后用“搜索”搜这天修改过的文件,相同时间的肯定会出来一大堆的,连系统还原夹里都有!! 这些文件会自己关联的,要是你删了一部分,不小心运行了一个,或在开始-运行里运行msocnfig,command,regedit这些命令,所有的这些文件全会自己补充回来!
知道了这些文件,首先关闭可以关闭的所有程序,打开程序附件里头的WINDOWS资源管理器,并在上面的工具里头的文件夹选项里头的查看里设置显示所有文件和文件假,取消隐藏受保护操作系统文件,然后打开开始菜单的运行,输入命令 regedit,进注册表,到
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
里面,有一个Torjan pragramme,这个明摆着“我是木马”,删!!
然后注销!重新进入系统后,打开“任务管理器”,看看有没rundll32,有的话先中止了,不知这个是真还是假,小心为好。到D盘(注意不要双击进入!否则又会激活这个病毒)右键,选“打开”,把autorun.inf和pagefile.com删掉,
然后再到C盘把上面所列出来的文件都删掉!中途注意不要双击到其中一个文件,否则所有步骤都要重新来过! 然后再注销。
我在奋战过程中,把那些文件删掉后,所有的exe文件全都打不开了,运行cmd也不行。
然后,到C:/Windows/system32 里,把cmd.exe文件复制出来,比如到桌面,改名成cmd.com 嘿嘿我也会用com文件,然后双击这个COM文件
然后行动可以进入到DOS下的命令提示符。
再打入以下的命令:
assoc .exe=exefile (assoc与.exe之间有空格)
ftype exefile="%1" %*
这样exe文件就可以运行了。如果不会打命令,只要打开CMD.COM后复制上面的两行分两次粘贴上去执行就可以了。
但我在弄完这些之后,在开机的进入用户时会有些慢,并会跳出一个警告框,说文件"1"找不到。(应该是Windows下的1.com文件。),最后用上网助手之类的软件全面修复IE设置
最后说一下怎么解决开机跳出找不到文件“1.com”的方法:
在运行程序中运行“regedit”,打开注册表,在[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon]中
把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"
若是还是无法执行.EXE文件,下面我们就来看看如何恢复被篡改后的.EXE文件修复工作吧。一定是某个软件甚至可能是病毒把扩展名为EXE的文件关联删除或修改了,因此按照前面对话框的提示从控制面板中执行“文件夹选项”命令,选择“文件类型”标签,在“已注册的文件类型”列表中找不到扩展名EXE和它的文件关联。试着按[新建]按钮,在“文件扩展名”后输入“.exe”,按[高级]按钮,系统自动将其文件类型定义为“应用程序”,按[确定]按钮后在“已注册的文件类型”列表中出现了扩展名“EXE”,选择它后按[更改]按钮,系统要求选择要使用的程序,可是到底要选择什么应用程序来打开EXE文件?看来这个方法无效,只好按[取消]按钮返回“文件夹选项”对话框。由于以前我从没听说要为扩展名为“.exe”的文件建立文件关联,所以在“已注册的文件类型”列表中选择“EXE应用程序”,并按[删除]按钮将它删除。由于所有EXE文件都不能执行,所以也无法用注册表编辑器(因为我只能运行Regedit.exe或Regedit32.exe来打开注册表编辑器)来修改注册表,看来只好重新启动计算机了。在出现“正在启动Windows…”时按[F8]键,出现“Windows 2000高级选项菜单”,选其中的“最后一次正确的配置”,进入Windows 2000时仍然报错。只好再次重新启动,这次选“安全模式”,虽然没有报错,但仍不能运行EXE文件。再试试“带命令行提示的安全模式”选项,启动成功后在命令提示符窗口的命令行输入:help| more(“|”是管道符号,在键盘上位于Backspace键左边),在系统显示的信息第一行我看到了如下信息“ASSOC Displays or modifies file extension associations”,大致意思是“ASSOC显示或修改文件扩展名关联”,按任意键继续查看,又看到了如下信息“FTYPE Displays or modifies file types usedin file extension associations.”,大意是“FTYPE显示或修改用在文件扩展名关联中的文件类型”,原来在命令提示符窗口还隐藏着这两个特殊命令,可以用来设置文件扩展名关联。于是,在命令行分别输入“help assoc”和“help ftype”两个命令获取了它们的使用方法接着通过下面的设置,终于解决了EXE文件不能运行的故障。故障解决先在命令行command输入:assoc .exe来显示EXE文件关联,系统显示“没有为扩展名.exe找到文件关联”,难怪EXE文件都不能执行。接着输入:ftype | more来分屏显示系统中所有的文件类型,其中有一行显示为“exefile="%1" %*”,难道只要将EXE文件与“exefile”关联,故障就会解决?于是在命令行输入:assoc .exe=exefile(assoc与.exe之间有一空格),屏幕显示“.exe=exefile”。现在关闭命令提示符窗口,按[Ctrl+Alt+Del]组合键调出“Windows安全”窗口,按[关机]按钮后选择“重新启动”选项,按正常模式启动Windows 2000后,所有的EXE文件都能正常运行了。另外,的利用regedit.com的方法应该是最行之有效的办法。1、修改regedit.exe 为 regedit.com2、HKEY_CLASSES_ROOT/exefile/shell/open/command下的default,键值为"%1" %

清除winlogon.exe病毒 与恢复EXE文件的全过程

我们黑基的帅哥kine,机器不知怎么中了winlogon.exe病毒,搞的就要重装系统的下场了。那么让我们来看看这个winlogon.exe病毒到底是什么东西的呢这么的历害的呢,winlogon.exe病毒这个进程是不是一个传奇世界程序的图标使用51破解版传家宝会生产一个WINLOGON.EXE进程正常的winlogon系统进程,其用户名为“SYSTEM” 程序名为小写winlogon.exe。而伪装成该进程的木马程序其用户名为当前系统用户名,且程序名为大写的WINLOGON.exe。进程查看方式 ctrl+alt+del 然后选择进程。正常情况下有且只有一个winlogon.exe进程,其用户名为“SYSTEM”。如果出现了两个winlogon.exe,且其中一个为大写,用户名为当前系统用户的话,表明可能存在木马。




.其实系统运行的CMD.exe并不是系统自己的命令提示符,而是一个病毒伪装的进程。使用新版的瑞星杀毒之后再清理注册表里的启动项就可以了,手动清理很困难,也很麻烦,所以推荐使用杀毒软件清理。因为我用的是瑞星,所以我确定它可以杀,KILL肯定清不掉。其他杀毒软件没有试过,所以不知道可不可以。
可以删除
进入注册表,查找,点开始---运行,输入regedit
“HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run/”
删除Run下面的相应项就可以了;
或者在“开始”→“运行”处输入“msconfig”,把启动下面相应的那个网站前面的“√”去掉,重新启动计算机就可以了。
2.跟根产生病毒的时间,在windows/system32/下发现AlxRes*.exe,winsys*.dll,winsys*.dll,scrsys*,scrsys*,并且在D盘出现:myplay.exe.杀毒时一定要在安全模式下先删D盘myplay.exe,再删上面提的system32下的文件才行,否则开机后又会出现。最后一定要在注册表中查找上面的dll文件加载项并删除,否则开机会显示“加载C:/WINDOWS/systen32/winsys*.dll时出错,找不到指定的模块”
清除cmd.exe病毒 cmd.exe病毒专杀
1 重新启动计算机,按F8键 选择进入安全模式(非常重要,杀不干净与没进入安全模式有关).
2 用杀毒软件完全扫描查杀硬盘.
但我估计病毒文件不只这两个 杀毒软件很可能杀不干净. 所以还要进行下面的步骤
3.开始-运行-msconfig 回车, 在出现的"系统配置实用程序"中,调到"启动"选项卡,取消除杀毒软件的一切启动项,再点击"应用"(你可能要问:系统文件怎么办? 其实不必担心,系统文件是不会在这里添加启动项的,即使有的系统文件在这里的启动项被取消了,它也会自动恢复 这样做还有个好处,极大地节约系统资源,减少开机时间.谁愿意一开机,什么QQ/讯雷就一股脑的往外窜?).
4,还是在"系统配置实用程序"中,调到服务选项卡,勾选"隐藏所有 microsoft 服务",剩下的十有八九是病毒了(当然还有可能是杀毒软件之类),取消除杀毒软件的一切非microsoft 服务,再点确定.
5,如果在启动里,有你确信是病毒的文件,请记下它的位置,然后 打开命令提示符 (开始-运行-cmd 回车),用DEL命令删除它的病毒文件 比如c:/windows/1.exe,就输入命令del c:/windows/1.exe 回车.上面显示"找不到文件" 就证明成功删除了.
6,如果在服务里遇到确信的病毒,请打开控制面板-性能和维护-管理工具-服务,找到病毒的服务,打开它的属性,就能看到病毒的真面目,同样用DEL命令,删除它
(嫌麻烦可以不做 5,6两步.做完3,4两步后,病毒已经不再发作)
OK 基本完成了我们的工作.
你说的 在Windows下找不到 可能是它被设置为了隐藏.显示的办法是 打开"我的电脑",选择 工具-文件夹选项-查看
,选择"显示所有文件和文件夹",取消"隐藏受保护的操作系统文件" 这样所有的文件都能显示出来了.
如果你觉的还不保险,请继续完成下面两个步骤:
7,开始-程序-启动 删除里面的启动项
8,找到C;盘下的 autoexec.bat,删除它(不嫌麻烦就右键单击点编辑.清空里面的可疑内容,再保存).这个文件也可能被黑客利用,使病毒开机启动

说完了.以上内容(不包括第2条.我杀毒从来不用软件,用手~) 可以查杀各种病毒,即使杀毒软件查不出来的,我们也能查杀.这是通用的办法.熊猫烧香我也杀过,大体过程也是这样,但略麻烦一点,需要对付各个硬盘下的autorun.inf文件
所以说,学会我讲的这些,胜过花300块钱买套正版杀毒软件!
我有很丰富的反病毒经验,如果还有不明白,可以加QQ89525213,随便问(其他网友也欢提问)~ 我优点没有,就是喜欢帮助人.

 另外的杀法: 
(安全模式下(开机后不断 按F8键                   然后出来一个高级菜单 选择第一项 安全模式 进入系统)
打开sreng
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
Windows SystemDown / WindowsDown
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
然后删除C:/WINDOWS/system32/servet.exe)
开机CPU就是100%,查进程,原来是cmd.exe 占用了绝大部分的CPU。关闭cmd.exe后,CPU实用率恢复正常。但是再次开机的时候,CPU又是100%,cmd.exe 依然占用了绝大部分的CPU。
在运行里面输入1.exe 4.exe能出来说明这两个文件是在 windows 或 windows/system32 目录下.
  1.装了ewido 查杀木马,查出了几个感染目标,已删除。但是今
  天早上开机,CPU又是100%,cmd.exe 依然占用了绝大部分的CPU。
  
  2.再装“木马清除专家2006”,查杀,结果没有发现木马。
  
  3.查system 32 中的 CMD.EXE 大小,结果如下:
  CMD.EXE 大小:459 KB (470,016 字节)
  占用空间:460 KB (471,040 字节)
  
  应该没有异常。

解决方法:
如果出现这种情况,很不幸,你99%是中了木马了。不过不妨继续验证一下,假定你的windows安装盘位于C:/,并且需要你在文件查看选项中打开查看隐藏文件的选项和显示所有文件扩展名的选项,则
查看你的c:/Program Files/Internet Explorer/PLUGINS/目录,应该会发现有new123.bak和new123.sys两个文件;
查看你的C:/Documents and Settings/Administrator/Local Settings/Temp/目录,应该会发现有MicroSoft.bat这个文件;你可以用记事本打开MicroSoft.bat文件,发现其中提到一个exe文件(具体名称会有不同),你也会在该目录下发现这个exe文件;
如果以上两步你并未发现相应文件,请将你的文件查看改为不隐藏已知文件后缀,并在系统盘内进行文件搜索,确认是否的确没有相关的文件。
木马描述
该木马主要是因为用户安装了嵌入木马程序的安装程序所致,这些安装程序极有可能是你在一些不知名的下载网站上下载的一些应用程序(比如qq的一些版本等)。该木马利用安装程序在没有提醒用户的情况下在IE的插件中安装了实为木马的IE插件。使得一般的杀毒和杀马程序无法识别。并且当你运行一些需要调用IE的一些程序时自动调用该木马插件,所以才出现“症状描述”中所描述的情况。
该木马的母体就是new123.sys,属于Trojan-PSW.Win32.Delf.mc,可能会偷取你的一些应用的帐号和密码。
木马清除
该木马可以很方便的手工清除,过程如下:
打开“任务管理器”,在“进程”中结束cmd.exe的运行,此时CPU占用率会明显下降;
进入C:/Documents and Settings/Administrator/Local Settings/Temp/目录,删除MicroSoft.bat这个文件中所提到的exe文件和该bat文件;(这一步不做也没有问题,但最好清除掉)
进入c:/Program Files/Internet Explorer/PLUGINS/目录,删除new123.bak文件,但此时你无法删除new123.sys文件,因为系统正在使用,你有两种方式处理new123.sys文件:
重启机器并进入安全模式对new123.sys进行删除;
当前状态虽无法删除该文件,但可更改new123.sys的文件名为new123.sysdel,并且重启机器(无需进入安全模式)后,再把new123.sysdel进行删除。
处理完后,如果“症状描述”中的情况消失,则说明清除成功。
XP系统里并没有cmd.exe的进程,cmd.exe是XP系统的命令提示符程序,可以执行一些在DOS下执行的应用程序,但是并不会随系统启动时运行,这有可能是个木马或者其他病毒程序,建议查杀
1、如果安装文件就在硬盘上,而且系统是从硬盘的安装目录装的,那先将这个安装目录改个名字
2、删除c:/winnt/system32/dllcache/cmd.exe,
3、然后再删除system32/cmd.exe
4、系统会提示说系统文件丢失要求插入光盘,忽略就行了 
 
禁止运行命令解释器和批处理文件方法:
通过修改注册表,可以禁止用户使用命令解释器(CMD.exe)和运行批处理文件(.bat文件)。新建一个双字节(REG_DWORD)执行HKEY_CURRENT_USER\Software\Policies\ Microsoft\Windows\System\DisableCMD,修改其值为2,命令解释器和批处理文件都不能被运行。修改其值为1,则只是禁止命令解释器的运行。

就是替换掉系统的cmd.exe文件。但是由于此文件受系统保护,所以必须用一种特殊的办法。至于那个用来替换cmd.exe的文件,可以随便找一个运行时候没有什么提示的东西就行。C:/Windows/system32下面有很多这样的文件,随便找一个就行。
替换方法是:首先删除C:/WINDOWS/system32/Dllcache/下面的cmd.exe,然后尽快将C:/WINDOWS/system32/下面的cmd.exe替换成所需的文件。当系统提示要求插入WINDOWS安装光盘的时候,不要理他,直接单击“取消”就可以了。之后当你开始-〉运行-〉cmd的时候,dos窗口自然不会出现了
百度提供的解决方法如下:
1:XP系统里并没有cmd.exe的进程,cmd.exe是XP系统的命令提示符程序,可以执行一些在DOS下执行的应用程序,但是并不会随系统启动时运行,这有可能是个木马或者其他病毒程序,建议查杀
1)、如果安装文件就在硬盘上,而且系统是从硬盘的安装目录装的,那先将这个安装目录改个名字
2)、删除c:/winnt/system32/dllcache(没有这个子文俭)/cmd.exe,
3)、然后再删除system32/cmd.exe
4、系统会提示说系统文件丢失要求插入光盘,忽略就行了 禁止运行命令解释器和批处理文件方法:通过修改注册表,可以禁止用户使用命令解释器(CMD.exe)和运行批处理文件(.bat文件)。新建一个双字节(REG_DWORD)执行HKEY_CURRENT_USER\Software\Policies\ Microsoft\Windows\System\DisableCMD,修改其值为2,命令解释器和批处理文件都不能被运行。修改其值为1,则只是禁止命令解释器的运行。 就是替换掉系统的cmd.exe文件。但是由于此文件受系统保护,所以必须用一种特殊的办法。
至于那个用来替换cmd.exe的文件,可以随便找一个运行时候没有什么提示的东西就行。C:/Windows/system32下面有很多这样的文件,随便找一个就行。替换方法是:首先删除C:/WINDOWS/system32/Dllcache/下面的cmd.exe,然后尽快将C:/WINDOWS/system32/下面的cmd.exe替换成所需的文件。当系统提示要求插入WINDOWS安装光盘的时候,不要理他,直接单击“取消”就可以了。
之后当你开始-〉运行-〉cmd的时候,dos窗口自然不会出现了 2:这个问题我最近也才遇到,系统装配和你的一样,懒得重装,所以就特别注意了一下,还好问题解决了! 我的电脑症状最开始是开机过会出现CMD.EXE进程,当初只要结束此任务就可以了,可是后来装了杀毒软件后只要一打开新的窗口或刷新桌面就会出现,还是每个页面出现一个CMD.EXE进程. 还好最近工作少,我就跟踪了一下,发现每当出现CMD.EXE进程之前都会出现bow.dll进程,通过搜索发现是在IE PLUGINS中的一个控件,做好重装机器准备将其删除还有bow.bak和bow.sys结果CMD.EXE进程不见了! 个人不是专业搞杀毒的,希望此方法对你有所帮助,
另外我也把注册表中Explorer Bars->{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}->FileNamedMRU中有关bow删除掉,顺便搜索一下其它键值是否也包含一起删除,以防万一. 这里我根本不能找到bow.bak 以及BOW.SYS,我已经把所有的文件全部显示出来,还是找不到。所以不知道从那里删起。 3:
其一:病毒感染 据我所知的某些木马程序,通常会利用CMD.EXE这个命令行系统进行病毒加载或者是DLL插入,并且文件的大小会改变 CMD.EXE 大小:459 KB (470,016 字节) 占用空间:460 KB (471,040 字节) 若与该数字不太吻合,请注意,肯定是病毒感染了没错 解决办法:进入安全模式,删除CMD.EXE然后从windows//servicespackfiles//i386 文件夹中再复制一份到system32文件夹下。
其二:有启动项目是需要cmd.exe命令行支持运行的,若你的CMD.EX不能正常运行的话,会始终出现提示 解决办法:修复cmd.exe即可,参照第一种情况的解决办法 我的那个文件是三百多k,而且system32下以及i386下的cmd.exe一样大小。 4:我现在每次关机先把那个进程结束掉,然后就ok乐,没有什么其它的问题。
其实系统运行的CMD.exe并不是系统自己的命令提示符,而是一个病毒伪装的进程。使用新版的瑞星杀毒之后再清理注册表里的启动项就可以了,手动清理很困难,也很麻烦,所以推荐使用杀毒软件清理。因为我用的是瑞星,所以我确定它可以杀,KILL肯定清不掉。其他杀毒软件没有试过,所以不知道可不可以。
可以删除         字串5
进入注册表,查找,点开始---运行,输入regedit
“HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run/”
删除Run下面的相应项就可以了;
或者在“开始”→“运行”处输入“msconfig”,把启动下面相应的那个网站前面的“√”去掉,重新启动计算机就可以了。
跟踪了一下,发现每当出现CMD.EXE进程之前都会出现bow.dll进程,通过搜索发现是在IE PLUGINS中的一个控件,做好重装机器准备将其删除还有bow.bak和bow.sys结果CMD.EXE进程不见了!
个人不是专业搞杀毒的,希望此方法对你有所帮助,另外我也把注册表中Explorer Bars->{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}->FileNamedMRU中有关bow删除掉,顺便搜索一下其它键值是否也包含一起删除,以防万一.
如何解决cmd.exe占CPU资源100%问题
字串4


造成机器运行很慢,关闭cmd.exe后,CPU使用率恢复正常。但是再次开机的时候,CPU又是100%,cmd.exe 依然占用了绝大部分的CPU。

问题分析:后经上网查找和后来证实,应该是中了一种传播Viking的QQ尾巴病毒了,这种木马病毒主要是因为用户安装了嵌入木马程序的安装程序所致,这些安装程序极有可能是你在一些不知名的下载网站上下载的一些应用程序(比如qq的一些版本等)。该木马利用安装程序在没有提醒用户的情况下在IE的插件中安装了实为木马的IE插件。使得一般的杀毒和杀马程序无法识别。并且当你运行一些需要调用IE的一些程序时自动调用该木马插件,所以才出现“问题症状”中所描述的情况。

解决方法:我只能讲一下大概的思路了,因为当时没有记录和截图。首先在文件夹查看选项中打开查看隐藏文件的选项、显示所有文件扩展名和显示受保护的操作系统文件的选项。
1、从注册表里删除病毒添加的ShellExecuteHooks信息:打开注册表找到[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks],



字串6

在实际情况中,图中应该会出现除{AEB6717E-7E19-11d0-97EE-00C04FD91972}以外的其它可疑键值的,依次按步骤2检查它们;

2、打开到注册表[HKEY_CLASSES_ROOT/CLSID/{这里是步}下,

骤1中提到的可疑键值


然后依次检查上图中所示的每一个路径指向的文件,应该会有个文件是以.sys结尾的系统驱动文件,这个文件应该是隐藏文件,并且它的修改时间应该和该电脑出问题的时间差不多,而且在该文件旁边还会有和它的修改时间一样的隐藏文件,可以考虑将它们都删除了,以观后效。记得我当时是删除了三个在C:/Program Files/Internet Explorer/Connection Wizard 下的隐藏文件,就OK了。注:如果删不掉,可以进安全模式删除。

3、清除C:/Documents and Settings/你的用户名/Local Settings/Temp/目录下的所有垃圾文件,因为里面含有病毒释放生成的执行文件,当时我的情况是有两个病毒释放的文件:_xiaran.bat和help.exe(这个是隐藏和系统文件)。 字串1

4、重新启动计算机,观察5分钟,如果不再出现“问题症状”中描述的情况,说明清楚成功了。



 

你可能感兴趣的:(windows,microsoft,system,杀毒软件,exe,internet)