1,178
社区成员
发帖
与我相关
我的任务
分享紧急求助,三层交换5509受到攻击!求助!!
紧急求助,三层交换5509受到攻击!求助!!
报错如下:
%% Unable to create EXEC - no memory or too many processes
%% Unable to create EXEC - no memory or too many processes
00:38:36 : %SYS-2-MALLOCFAIL: Memory allocation of 12000 bytes failed fro
m 0x601D9788, pool Processor, alignment 0
-Process= "TTY Background", ipl= 0, pid= 52
-Traceback= 601BEA34 601BFD18 601D9790 601D1084 6014E4AC 6014EA48 6014E398 60150
9B0 601BA2DC 601BA2C
00:38:36 : %SYS-2-CFORKMEM: Process creation of Exec failed (no memory).
-Process= "TTY Background", ipl= 0, pid= 52
-Traceback= 601D97F8 601D1084 6014E4AC 6014EA48 6014E398 601509B0 601BA2DC 601BA
2C
%% Unable to create EXEC - no memory or too
%% Unable to create EXEC - no memory or too many processes
%% Unable to create EXEC - no memory or too many processes
%% Unable to create EXEC - no memory or too many processes
ping dns时断时续:
Request timed out.
Request timed out.
Request timed out.
Reply from 211.93.*.* bytes=32 time=16ms TTL=250
Reply from 211.93.*.* : bytes=32 time<10ms TTL=250
Request timed out.
Request timed out.
Request timed out.
Reply from 211.93.*.* : bytes=32 time<10ms TTL=250
Reply from 211.93.*.* : bytes=32 time=15ms TTL=250
Reply from 211.93.*.* : bytes=32 time<10ms TTL=250
Reply from 211.93.*.* : bytes=32 time=15ms TTL=250
Reply from 211.93.*.* : bytes=32 time=15ms TTL=250
Reply from 211.93.*.* : bytes=32 time=15ms TTL=250
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Reply from 211.93.*.* : bytes=32 time<10ms TTL=250
Reply from 211.93.*.* : bytes=32 time=16ms TTL=250
Request timed out.
Request timed out.
Reply from 211.93.*.* bytes=32 time=16ms TTL=250
Reply from 211.93.*.* : bytes=32 time<10ms TTL=250
Request timed out.
Request timed out.
Request timed out.
Reply from 211.93.*.* : bytes=32 time<10ms TTL=250
Reply from 211.93.*.* : bytes=32 time=15ms TTL=250
Reply from 211.93.*.* : bytes=32 time<10ms TTL=250
Reply from 211.93.*.* : bytes=32 time=15ms TTL=250
Request timed out.
Request timed out.
Reply from 211.93.*.* bytes=32 time=16ms TTL=250
Reply from 211.93.*.* : bytes=32 time<10ms TTL=250
Request timed out.
Request timed out.
Request timed out.
Reply from 211.93.*.* : bytes=32 time<10ms TTL=250
Reply from 211.93.*.* : bytes=32 time=15ms TTL=250
Reply from 211.93.*.* : bytes=32 time<10ms TTL=250
Reply from 211.93.*.* : bytes=32 time=15ms TTL=250
Reply from 211.93.*.* : bytes=32 time=15ms TTL=250
Reply from 211.93.*.* : bytes=32 time=15ms TTL=250
Reply from 211.93.*.* : bytes=32 time=15ms TTL=250
Reply from 211.93.*.* : bytes=32 time<10ms TTL=250
Reply from 211.93.*.* : bytes=32 time=15ms TTL=250
Request timed out.
Reply from 211.93.*.* : bytes=32 time<10ms TTL=250
Reply from 211.93.*.* : bytes=32 time=16ms TTL=250
Reply from 211.93.*.* : bytes=32 time=15ms TTL=250
Reply from 211.93.*.* : bytes=32 time=15ms TTL=250
Reply from 211.93.*.* : bytes=32 time<10ms TTL=250
Reply from 211.93.*.* : bytes=32 time=15ms TTL=250
Request timed out.
Reply from 211.93.*.* : bytes=32 time<10ms TTL=250
Reply from 211.93.*.* : bytes=32 time=16ms TTL=250
局域网内1000多台机器分多个vlan
机器感染“冲击波杀手”病毒,染毒机器有DLLHOST。EXE进程
不停的向存在或不存在的IP发数据包。
请斑竹及各位兄弟姐妹帮忙。
报错如下:
%% Unable to create EXEC - no memory or too many processes
%% Unable to create EXEC - no memory or too many processes
00:38:36 : %SYS-2-MALLOCFAIL: Memory allocation of 12000 bytes failed fro
m 0x601D9788, pool Processor, alignment 0
-Process= "TTY Background", ipl= 0, pid= 52
-Traceback= 601BEA34 601BFD18 601D9790 601D1084 6014E4AC 6014EA48 6014E398 60150
9B0 601BA2DC 601BA2C
00:38:36 : %SYS-2-CFORKMEM: Process creation of Exec failed (no memory).
-Process= "TTY Background", ipl= 0, pid= 52
-Traceback= 601D97F8 601D1084 6014E4AC 6014EA48 6014E398 601509B0 601BA2DC 601BA
2C
%% Unable to create EXEC - no memory or too
%% Unable to create EXEC - no memory or too many processes
%% Unable to create EXEC - no memory or too many processes
%% Unable to create EXEC - no memory or too many processes
ping dns时断时续:
Request timed out.
Request timed out.
Request timed out.
Reply from 211.93.*.* bytes=32 time=16ms TTL=250
Reply from 211.93.*.* : bytes=32 time<10ms TTL=250
Request timed out.
Request timed out.
Request timed out.
Reply from 211.93.*.* : bytes=32 time<10ms TTL=250
Reply from 211.93.*.* : bytes=32 time=15ms TTL=250
Reply from 211.93.*.* : bytes=32 time<10ms TTL=250
Reply from 211.93.*.* : bytes=32 time=15ms TTL=250
Reply from 211.93.*.* : bytes=32 time=15ms TTL=250
Reply from 211.93.*.* : bytes=32 time=15ms TTL=250
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Reply from 211.93.*.* : bytes=32 time<10ms TTL=250
Reply from 211.93.*.* : bytes=32 time=16ms TTL=250
Request timed out.
Request timed out.
Reply from 211.93.*.* bytes=32 time=16ms TTL=250
Reply from 211.93.*.* : bytes=32 time<10ms TTL=250
Request timed out.
Request timed out.
Request timed out.
Reply from 211.93.*.* : bytes=32 time<10ms TTL=250
Reply from 211.93.*.* : bytes=32 time=15ms TTL=250
Reply from 211.93.*.* : bytes=32 time<10ms TTL=250
Reply from 211.93.*.* : bytes=32 time=15ms TTL=250
Request timed out.
Request timed out.
Reply from 211.93.*.* bytes=32 time=16ms TTL=250
Reply from 211.93.*.* : bytes=32 time<10ms TTL=250
Request timed out.
Request timed out.
Request timed out.
Reply from 211.93.*.* : bytes=32 time<10ms TTL=250
Reply from 211.93.*.* : bytes=32 time=15ms TTL=250
Reply from 211.93.*.* : bytes=32 time<10ms TTL=250
Reply from 211.93.*.* : bytes=32 time=15ms TTL=250
Reply from 211.93.*.* : bytes=32 time=15ms TTL=250
Reply from 211.93.*.* : bytes=32 time=15ms TTL=250
Reply from 211.93.*.* : bytes=32 time=15ms TTL=250
Reply from 211.93.*.* : bytes=32 time<10ms TTL=250
Reply from 211.93.*.* : bytes=32 time=15ms TTL=250
Request timed out.
Reply from 211.93.*.* : bytes=32 time<10ms TTL=250
Reply from 211.93.*.* : bytes=32 time=16ms TTL=250
Reply from 211.93.*.* : bytes=32 time=15ms TTL=250
Reply from 211.93.*.* : bytes=32 time=15ms TTL=250
Reply from 211.93.*.* : bytes=32 time<10ms TTL=250
Reply from 211.93.*.* : bytes=32 time=15ms TTL=250
Request timed out.
Reply from 211.93.*.* : bytes=32 time<10ms TTL=250
Reply from 211.93.*.* : bytes=32 time=16ms TTL=250
局域网内1000多台机器分多个vlan
机器感染“冲击波杀手”病毒,染毒机器有DLLHOST。EXE进程
不停的向存在或不存在的IP发数据包。
请斑竹及各位兄弟姐妹帮忙。
...全文
请发表友善的回复…
发表回复
bxjgood66 2003-09-01
- 打赏
- 举报
UP
Dervish 2003-09-01
- 打赏
- 举报
估计是中病毒所至。
一、先查出病毒源,就是用sniffer之类分析。
二、杀毒,步骤如下(引用symantec方式,其他病毒可参阅symantec网站):
手动杀毒
作为使用该杀毒工具的替代方法,您可以手动消除此威胁。
下列指示是针对目前市面上所见的最新赛门铁克防毒产品所撰写,包括 Symantec AntiVirus 与 Norton AntiVirus 的产品线。
禁用系统还原(Windows Me/XP)。
更新病毒定义文件。
重新启动计算机或者结束蠕虫程序。
运行完整的系统扫描,删除所有侦测到的 W32.Welchia.Worm 文件。
删除 Svchost.exe。
如需关于这些步骤的详细信息,请阅读下列指示。
1. 禁用系统还原 (Windows XP)
如果您使用的是 Windows XP,我们建议您暂时禁用“系统还原“。Windows XP 使用这个默认启用的功能,来还原您计算机上受损的文件。如果病毒、蠕虫或特洛伊木马感染的计算机,“系统还原“可能会一并将计算机上的病毒、蠕虫或特洛伊木马备份起来。
Windows 会防止包括防毒程序的外来程序修改“系统还原“。因此,防毒程序或是工具并无法移除“系统还原“数据夹内的病毒威胁。因此即使您已经将所有其它位置上的受感染文件清除,“系统还原“还是很有可能会将受感染的文件一并还原至计算机中。
同时,病毒可能会侦测到“系统还原“数据夹里的威胁,即使您已移除该威胁亦然。
有关如何禁用系统还原功能的指导,请参阅 如何禁用或启用 Windows Me 系统还原。
有关详细信息以及禁用 Windows Me 系统还原的其他方法,请参阅 Microsoft 知识库文章:病毒防护工具无法清除 _Restore 文件夹中受感染的文件,文章 ID:CH263455。
2. 更新病毒定义文件
赛门铁克 在将病毒定义发布到服务器之前,会对所有病毒定义进行彻底测试,以确保其质量。可使用以下两种方法获取最新的病毒定义:
运行 LiveUpdate(这是获取病毒定义的最简便方法):这些病毒定义被每周一次(通常在星期三)发布到 LiveUpdate 服务器上,除非出现大规模的病毒爆发情况。要确定是否可通过 LiveUpdate 获取此威胁的定义,请参考病毒定义 (LiveUpdate)。
使用智能更新程序下载病毒定义:智能更新程序病毒定义会在工作日(美国时间,星期一至星期五)发布。应该从赛门铁克安全响应中心网站下载病毒定义并手动进行安装。要确定是否可通过智能更新程序获取此威胁的定义,请参考病毒定义(智能更新程序)。
现在提供智能更新程序病毒定义:有关详细说明,请参阅如何使用智能更新程序更新病毒定义文件。
3. 以安全模式重新启动计算机或终止特洛伊木马进程
Windows 95/98/Me
以安全模式重新启动计算机。除 Windows NT 外,所有的 Windows 32 位操作系统均可以安全模式重新启动。有关如何完成此操作的指导,请参阅文档:如何以安全模式启动计算机。
Windows NT/2000/XP
要终止特洛伊木马进程,请执行下列操作:
按一次 Ctrl+Alt+Delete。
单击“任务管理器”。
单击“进程”选项卡。
双击“映像名称”列标题,按字母顺序对进程排序。
滚动列表并查找 Dllhost.exe。
如果找到该文件,则单击此文件,然后单击“结束进程”。
退出“任务管理器”。
4. 扫描和删除受感染文件
启动 Symantec 防病毒程序,并确保已将其配置为扫描所有文件。
Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。
赛门铁克企业版防病毒产品:请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。
运行完整的系统扫描。
如果有任何文件被检测为感染了W32.Welchia.Worm,请单击“删除”。
5. 删除对注册表所做的更改
警告:赛门铁克强烈建议在进行任何更改前先备份注册表。错误地更改注册表可能导致数据永久丢失或文件损坏。应只修改指定的键。有关指导,请参阅文档:如何备份 Windows 注册表。
单击“开始”,然后单击“运行”。(将出现“运行”对话框。)
输入 regedit 然后单击“确定”。(将打开注册表编辑器。)
导航至以下键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
删除子键:
RpcPatch
和
RpcTftpd
退出注册表编辑器。
6. 删除 Svchost.exe 文件
浏览至 %System%\Wins 数据夹,然后删除 Svchost.exe 文件。
三、安装补丁文件
一、先查出病毒源,就是用sniffer之类分析。
二、杀毒,步骤如下(引用symantec方式,其他病毒可参阅symantec网站):
手动杀毒
作为使用该杀毒工具的替代方法,您可以手动消除此威胁。
下列指示是针对目前市面上所见的最新赛门铁克防毒产品所撰写,包括 Symantec AntiVirus 与 Norton AntiVirus 的产品线。
禁用系统还原(Windows Me/XP)。
更新病毒定义文件。
重新启动计算机或者结束蠕虫程序。
运行完整的系统扫描,删除所有侦测到的 W32.Welchia.Worm 文件。
删除 Svchost.exe。
如需关于这些步骤的详细信息,请阅读下列指示。
1. 禁用系统还原 (Windows XP)
如果您使用的是 Windows XP,我们建议您暂时禁用“系统还原“。Windows XP 使用这个默认启用的功能,来还原您计算机上受损的文件。如果病毒、蠕虫或特洛伊木马感染的计算机,“系统还原“可能会一并将计算机上的病毒、蠕虫或特洛伊木马备份起来。
Windows 会防止包括防毒程序的外来程序修改“系统还原“。因此,防毒程序或是工具并无法移除“系统还原“数据夹内的病毒威胁。因此即使您已经将所有其它位置上的受感染文件清除,“系统还原“还是很有可能会将受感染的文件一并还原至计算机中。
同时,病毒可能会侦测到“系统还原“数据夹里的威胁,即使您已移除该威胁亦然。
有关如何禁用系统还原功能的指导,请参阅 如何禁用或启用 Windows Me 系统还原。
有关详细信息以及禁用 Windows Me 系统还原的其他方法,请参阅 Microsoft 知识库文章:病毒防护工具无法清除 _Restore 文件夹中受感染的文件,文章 ID:CH263455。
2. 更新病毒定义文件
赛门铁克 在将病毒定义发布到服务器之前,会对所有病毒定义进行彻底测试,以确保其质量。可使用以下两种方法获取最新的病毒定义:
运行 LiveUpdate(这是获取病毒定义的最简便方法):这些病毒定义被每周一次(通常在星期三)发布到 LiveUpdate 服务器上,除非出现大规模的病毒爆发情况。要确定是否可通过 LiveUpdate 获取此威胁的定义,请参考病毒定义 (LiveUpdate)。
使用智能更新程序下载病毒定义:智能更新程序病毒定义会在工作日(美国时间,星期一至星期五)发布。应该从赛门铁克安全响应中心网站下载病毒定义并手动进行安装。要确定是否可通过智能更新程序获取此威胁的定义,请参考病毒定义(智能更新程序)。
现在提供智能更新程序病毒定义:有关详细说明,请参阅如何使用智能更新程序更新病毒定义文件。
3. 以安全模式重新启动计算机或终止特洛伊木马进程
Windows 95/98/Me
以安全模式重新启动计算机。除 Windows NT 外,所有的 Windows 32 位操作系统均可以安全模式重新启动。有关如何完成此操作的指导,请参阅文档:如何以安全模式启动计算机。
Windows NT/2000/XP
要终止特洛伊木马进程,请执行下列操作:
按一次 Ctrl+Alt+Delete。
单击“任务管理器”。
单击“进程”选项卡。
双击“映像名称”列标题,按字母顺序对进程排序。
滚动列表并查找 Dllhost.exe。
如果找到该文件,则单击此文件,然后单击“结束进程”。
退出“任务管理器”。
4. 扫描和删除受感染文件
启动 Symantec 防病毒程序,并确保已将其配置为扫描所有文件。
Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。
赛门铁克企业版防病毒产品:请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。
运行完整的系统扫描。
如果有任何文件被检测为感染了W32.Welchia.Worm,请单击“删除”。
5. 删除对注册表所做的更改
警告:赛门铁克强烈建议在进行任何更改前先备份注册表。错误地更改注册表可能导致数据永久丢失或文件损坏。应只修改指定的键。有关指导,请参阅文档:如何备份 Windows 注册表。
单击“开始”,然后单击“运行”。(将出现“运行”对话框。)
输入 regedit 然后单击“确定”。(将打开注册表编辑器。)
导航至以下键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
删除子键:
RpcPatch
和
RpcTftpd
退出注册表编辑器。
6. 删除 Svchost.exe 文件
浏览至 %System%\Wins 数据夹,然后删除 Svchost.exe 文件。
三、安装补丁文件
19191919 2003-09-01
- 打赏
- 举报
先设acl 封端口,在用sniffer 分析出染毒得地址,清楚完病毒就好了。
youyiping 2003-09-01
- 打赏
- 举报
杀毒、打补丁!!!
红衣老大 2003-09-01
- 打赏
- 举报
不多说了
先把病毒治了
先把病毒治了
liyx326 2003-09-01
- 打赏
- 举报
我得机器也感染了dllhost.exe进程,用诺顿杀不了啊。怎么办啊?
zhllwarez 2003-09-01
- 打赏
- 举报
no memory or too many processes,原因已经很明确了。
为保证交换机资源和网络带宽不被大量占用,最好先断掉被感染机器的网络连接,把其隔离杀毒。如果网络允许,清除病毒完毕最好重新启动一下交换机
为保证交换机资源和网络带宽不被大量占用,最好先断掉被感染机器的网络连接,把其隔离杀毒。如果网络允许,清除病毒完毕最好重新启动一下交换机
leo000 2003-08-31
- 打赏
- 举报
还是先治毒吧,斩草除根:)
leo000 2003-08-31
- 打赏
- 举报
病毒“不停的向存在或不存在的IP发数据包”
造成的三层交换收到影响,我想跟交换机的设置没太大关系
病毒也不会直接对三层交换设备造成影响
造成的三层交换收到影响,我想跟交换机的设置没太大关系
病毒也不会直接对三层交换设备造成影响
niyh 2003-08-31
- 打赏
- 举报
1、治标先治本。首先解决病毒问题。
2、改变交换机的管理IP,防止远程进入。
3、修改交换机特权口令和VTY口令。
2、改变交换机的管理IP,防止远程进入。
3、修改交换机特权口令和VTY口令。
lijiuhua0721 2003-08-31
- 打赏
- 举报
下载一个冲击波病毒的补丁安装一下试试,另外,还有是不是你的网线有问题呀!!
还是先查一下病毒再说吧!!
还是先查一下病毒再说吧!!
hongtao117 2003-08-31
- 打赏
- 举报
管这么多机器你应该是高手才对。
看样子问题不太好解决,能力有限,不敢多说!
给你UP一下!以让别人给解决,随时关注此问题!
看样子问题不太好解决,能力有限,不敢多说!
给你UP一下!以让别人给解决,随时关注此问题!
