电脑怪问题

hificat 2003-08-23 06:26:43
一台电脑WIN2000 PRO电脑。下载文件经常出现下了一段卡住的现象,用QQ传文件,也传不完。无法使用IIS。发现进程中有dllhost.exe和svchost.exe这两个进程。C:\winnt\system32下有dllhost.exe和svchost.exe这两个文件。怀疑是病毒。用最新冲击波专杀工具查毒,没有发现毒。于是,格式化C盘重装了win2000,一开始还好,但是用一会儿又出现不能正常使用一些功能的症状。格式化C盘后,居然还是会这样。真是怪了。该WIN2000已经装了SP3并打了补丁,可是还有那两个病毒文件。
各位有什么建议。现在麻烦了。

...全文
43 12 打赏 收藏 转发到动态 举报
写回复
用AI写文章
12 条回复
切换为时间正序
请发表友善的回复…
发表回复
dzy8888 2003-09-03
  • 打赏
  • 举报
回复
dellhost.exe 是病毒清理掉。在每没有作好防范措施之前不要上网。
link9 2003-09-03
  • 打赏
  • 举报
回复
如果同时拥有:
%systemroot%\system32\wins\svchost.exe和
%systemroot%\system32\wins\dllhost.exe
恭喜中奖!————“冲击波”病毒的最新变种 !!!!!!!!!!!!!!

yeah!!!!!!!!!!!!


18日晚,网上截获“冲击波”病毒的最新变种 W32.Welchia.Worm 。通过对病毒样本进行分析和研究后发现这是一个针对MS03-026 Microsoft Windows DCOM RPC接口远程缓冲溢出和Microsoft Windows 2000 WebDAV远程缓冲溢出漏洞进行攻击的蠕虫。

新变种在将“冲击波”(Worm.Blaster)病毒杀掉后,就在系统内植入预防冲击波病毒的疫苗。但这种蠕虫跟其它蠕虫没有两样,它造成的麻烦要比它提供的帮助大得多。

病毒特征:

病毒大小为10240字节。用VC 6.0编译,upx 压缩。

蠕虫感染系统后首先将%systemroot%\system32\dllcache\tftpd.exe拷贝到%systemroot%\system32\wins\svchost.exe,创建服务“RpcTftpd”,显示名称设置为:“Network Connections Sharing”,并将MSDTC服务的描述信息复制给自己;再将自身拷贝到%systemroot%\system32\wins\dllhost.exe,创建服务“RpcPatch”,显示名称设为“WINS Client”,并将Browser服务的描述信息复制给自己。这两个服务在服务管理器中是看不见的。但是启动后,用net start命令可以看到,用其他服务管理实用程序也可以看到。

然后蠕虫会根据系统语言版本是简体中文、繁体中文、韩文、英文以及系统是Windows 2000还是Windows XP分别到微软站点下载相应的MS03-026补丁,并用-n -o -z -q的参数来安装,-n表示不创建备份文件,-o表示覆盖文件不提示,-z表示安装完后不重新启动,-q表示安静模式。如果是日文版,则不作修复。

检测是否有名为“RpcPatch_Mute”的互斥体存在,如果检测到该互斥体,蠕虫就会退出,如果没有,就创建一个。

蠕虫选择目标IP地址的时候会首先选择受感染系统所在子网的IP,然后再按照一定算法随机在互连网上用ICMP扫描的方法寻找存活主机,发送的ICMP报文类型为echo,总大小为92字节,数据区为64字节的“0xAA”。由于发送的ICMP流量很大,可导致网络阻塞。这是蠕虫的主要危害。

一旦找到存活主机,就会尝试用DCOM RPC溢出。溢出成功后监听本机随机的一个小于1000的TCP端口,等待目标主机回连,连接成功后首先发送“dir dllcache\tftpd.exe”和“dir wins\dllhost.exe”命令,根据返回字符串判断目标系统上是否有这两个文件,如果目标系统上有tftpd.exe文件,则“copy dllcache\tftpd.exe wins\svchost.exe”,如果没有,就利用自己建立的tftp服务将文件传过去。并根据tftp命令的返回判断是否执行成功,若成功,就执行,不成功则退出。

该蠕虫还利用了WebDAV漏洞,如果目标主机存在该漏洞,既使在防火墙上阻塞了TCP/135端口,也会受影响。

蠕虫会检测系统时间,如果系统时间是2004年,就自动清除自身。

有趣的是,该蠕虫运行的时候会判断内存中是否有msblast蠕虫的进程,如果有就将其清除,如果system32目录下有msblast.exe文件,就删除。

蠕虫代码中还包含以下数据:
=========== I love my wife & baby :)~~~ Welcome Chian~~~ Notice: 2004 will remove myself:)~~ sorry zhongli~~~=========== wins

由于该病毒采用PING方式进行探测,只感染能够PING通的机器,因此CNNS提醒广大用户,设置防火墙的规则,禁止ping,这样可以有效防止该病毒的入侵。

手工清除蠕虫:

1. 断开网络连接,安装补丁;

2. 点击左下角的“开始”菜单,选择“运行”,在其中键入“cmd”,点击“确定”。这样就启动了命令提示符。在其中键入:
net stop RpcPatch
net stop RpcTftpd

3. 在:%Windir%\system32\wins\目录下删除:

SVCHOST.EXE

DLLHOST.EXE

4. 在注册表中删除键:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcPatch
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcPatch

5. 重启系统。

附:另外需要注意的是,目前一种欺骗性电子邮件正在互联网上传播。这个电子邮件的主题是“更新”,包含的信息似乎要修复“冲击波”蠕虫利用的安全漏洞。实际上,如果接收者打开附件,其计算机中就会被安装一个特洛伊木马程序。杀毒软件公司Sophos把这个新病毒程序命名为“Graybird”。事实上,微软是从来不用电子邮件发布补丁。

hificat 2003-08-25
  • 打赏
  • 举报
回复
不是,
其实dllhost和svchost,刚装好系统时,自然都存在的。只不过是是否被感染。
在杭州网通上说,只要有这两个文件存在于SYSYTEM32目录中,即中毒,它把人给误导了。
速度的原因是线路原因,换了个HUB OK了。
但线路让我觉得不可想象的是,今天用电笔测了一下网线,居然会亮,存在着感应电,由此可见,数据传输不正常是由此引起的,只是以前的HUB的抗干扰能力太弱,导致数据传输经常失败。
小白兔 2003-08-24
  • 打赏
  • 举报
回复
用 Windows 优化大师检测进程,会给你很多提示!
tmdtom 2003-08-24
  • 打赏
  • 举报
回复
什么意思 hub 和 dll文件有关? 详细说说 共同探讨
hificat 2003-08-24
  • 打赏
  • 举报
回复
查出来了,毛病出在HUB上
link9 2003-08-23
  • 打赏
  • 举报
回复
dllhost.exe也许可疑,应重点检查。
link9 2003-08-23
  • 打赏
  • 举报
回复
http://support.microsoft.com/default.aspx?scid=kb;zh-cn;250320

Svchost.exe 是从动态链接库 (DLL) 运行的服务的一般性宿主进程名称。此 Svchost.exe 文件位于 %SystemRoot%\System32 文件夹中。在启动时,Svchost.exe 检查注册表的服务部分以构造一个它需要加载的服务的列表。在同一时间可以运行多个 Svchost.exe 实例。每一个 Svchost.exe 会话都可以包含一组服务,所以可以根据启动 Svchost.exe 的方式和位置的不同而分别运行不同的服务。这可以实现更好的控制和调试能力。

Svchost.exe 组在以下注册表项中标识:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost

此项下的每一个值都代表一个独立的 Svchost 组,而且在您查看活动进程时将显示为一个独立的实例。每个值都是一个 REG_MULTI_SZ 值并包含在 Svchost 组下运行的服务。每个 Svchost 组都可以包含一个或更多从下面的注册表项提取的 service_name,此注册表项的 Parameters 项中包含一个 ServiceDLL 值:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\服务

小白兔 2003-08-23
  • 打赏
  • 举报
回复
晕!!!!
waeghtmark525 2003-08-23
  • 打赏
  • 举报
回复
就是病毒啊!我今天刚装系统,然后上网升级金山毒霸,就出现好多病毒,劳拉病毒,还有dllhost,和svchost,先要打好冲击波的补丁,防毒软件。。。
小白兔 2003-08-23
  • 打赏
  • 举报
回复
这两个我的机器里都有!毛病会不会出在网卡或者网络服务提供商那里!
awper 2003-08-23
  • 打赏
  • 举报
回复
后个进程我在我的机器里也看到了,但第一个我没有找到。
是不是你装了什么自动运行的软件,如果是的话,就到注册表中
在“RUN”里把他的键值给删了试试。
如果还不行,就备份整个硬盘的数据,重新分区,重新安装!

6,847

社区成员

发帖
与我相关
我的任务
社区描述
Windows 2016/2012/2008/2003/2000/NT
社区管理员
  • Windows Server社区
  • qishine
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告
暂无公告

试试用AI创作助手写篇文章吧