9,513
社区成员
发帖
与我相关
我的任务
分享如何删除怀疑木马/病毒?csass.exe,msconfg.exe
win2000 professional: 观察到有两个进程:
csass.exe
msconfg.exe
把它们杀掉,注册表内Run, RunService, RunOnce内都删除,在硬盘上找到此二文件并删除。关机重启,已经
正常。
两天后,上网,后来发现注册表内又出现此二者,但硬盘上没有此二文件。
我装了防火墙,上网时防火墙提示mstask要访问网络,被我拒绝。我不知是否还有程序埋藏在我的机器中?用了norton,北信源,也没发现问题。
csass.exe
msconfg.exe
把它们杀掉,注册表内Run, RunService, RunOnce内都删除,在硬盘上找到此二文件并删除。关机重启,已经
正常。
两天后,上网,后来发现注册表内又出现此二者,但硬盘上没有此二文件。
我装了防火墙,上网时防火墙提示mstask要访问网络,被我拒绝。我不知是否还有程序埋藏在我的机器中?用了norton,北信源,也没发现问题。
...全文
请发表友善的回复…
发表回复
回炉重造,学习编程中。。。 2004-07-14
- 打赏
- 举报
135 oc-serv MS RPC end-point mapper Microsoft在这个端口运行DCE RPC end- point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和/或RPC的服务利用 机器上的end-point mapper注册它们的位置。远端客户连接到机器时,它们查询end-point mapper找到服务的位置。同样Hacker扫描机器的这个端口是为了找到诸如:这个机器上运 行Exchange Server吗?是什么版本? 这个端口除了被用来查询服务(如使用epdump)还可以被用于直接攻击。有一些DoS攻 击直接针对这个端口。
awash 2004-07-14
- 打赏
- 举报
没用exchange server。如何关此端口?
awash 2004-07-13
- 打赏
- 举报
135何用?
awash 2004-07-13
- 打赏
- 举报
我的防火墙显示常有人ping我445端口,请问该端口何用?如何关?
xwmhn 2004-07-13
- 打赏
- 举报
手工删除比较好。。。
Aceryt 2004-07-13
- 打赏
- 举报
把135、445端口关了比较好。
Aceryt 2004-07-13
- 打赏
- 举报
主要症状:在任务管理器里发现非法进程:PDSche.exe、msconfg.exe等(一般是4、5个),主要导致CPU占有率增加,系统反应迟钝,经常导致程序失去响应。不过也出现欣喜的反应:下载速度提高了。。。不知道是不是因为这引起的。。。。
解决过程:首先使用国产金山和瑞星(皆为破解版),前者无结果,后者查出有木马,可查杀,但重启后情况依旧。后来使用木马克星(IPArmor、破解版),顺利查出非法进程存在,并结束,系统恢复。第二日开机,依然存在非法进程PDSche.exe,不过系统并无不良反映,但为防万一,我下载了Symantec AntiVirus?Corporate Edition(英文版),更新完毕,在安全模式下查杀。结果可以检测病毒并隔离,最终手动删除。病毒解决。最后的步骤是清楚注册表里的信息,主要在以下几处:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
将名称为非法进程的几个键值删除。
至此所有步骤完成。系统安全
解决过程:首先使用国产金山和瑞星(皆为破解版),前者无结果,后者查出有木马,可查杀,但重启后情况依旧。后来使用木马克星(IPArmor、破解版),顺利查出非法进程存在,并结束,系统恢复。第二日开机,依然存在非法进程PDSche.exe,不过系统并无不良反映,但为防万一,我下载了Symantec AntiVirus?Corporate Edition(英文版),更新完毕,在安全模式下查杀。结果可以检测病毒并隔离,最终手动删除。病毒解决。最后的步骤是清楚注册表里的信息,主要在以下几处:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
将名称为非法进程的几个键值删除。
至此所有步骤完成。系统安全
