| 查看: 191 | 回复: 1 | ||
| 【奖励】 本帖被评价1次,作者zt970831增加金币 1 个 | ||
| 当前主题已经存档。 | ||
[资源]
病毒与系统进程
|
||
|
昨天下午电脑操作系统差点挂了 因为希望更多人看到 给大家提个醒 我把帖子放到水区 http://muchong.com/bbs/viewthread.php?tid=656462 刚才系统差点挂了,现在基本恢复了 现在把 刚才的经历和大家分享 (我把它转到水区了 这样能有更多人看到 给大家提个醒) 下午上网之后,看到老大发的贴子, 购买了班得瑞的CD 想起自己以前下载过 于是就是搜索那个网页 没想到啊 其中一个网页打开后 卡巴报警他trojan.psw win32game 自动弹出realplayer,瞬间又关闭 之后卡巴关闭 说是激活码错误 自己也没当回事 刚才显示卡巴已经拦截病毒了 此时那个网页已经关闭 心想先看完木虫贴子再说 后来发现任务管理器被禁用了 看来已经中毒了 于是重新启动卡巴,失败! 拔掉网线 检查原因 发现系统时间被更改 恢复系统时间, 启动卡巴,杀毒 103个!! 停止杀毒,正常模式杀不干净的 立刻用系统自带的系统还原 发现最近的还原点,是13点52左右 还原 系统充启, 用卡巴扫描C盘 检查系统启动项 进程 并无异常 看来基本没事了 检查其他盘隐藏文件 发现autorun和sos.exe两个文件 没想到其他盘还有 逐一清除 上网搜索了下 发现这并不是一个单一的病毒 先是利用ie7(遨游)的漏洞攻入 再从网上下载其他文件 lyloader,conime3,sos,comrepl32,pcibus.sys 等都是系统被攻破后引入的(具体我也不知道引入了多少病毒,卡巴仅仅被关了1min左右) 我用的是myIE,新版的firefox没问题 回头想想 病毒首先更改系统时间 关闭卡巴 下载其他病毒 建议大家 如果遇到病毒入侵 首先断网 之后用系统还原还原到最近还原点 安全模式杀毒 最好,找出这个病毒的资料 手动查杀,这样干净 重启检查有无异常。 所以大家对于系统进程一定要清楚, 只要不是正常的系统进程 发现最好立刻关闭 这也可以帮助你及时判断病毒 系统进程详解: System Idle Process Windows页面内存管理进程,该进程拥有0级优先。它作为单线程运行在每个处理器上,并在系统不处理其他线程的时候分派处理器的时间。它的cpu占用率越大表示可供分配的CPU资源越多,数字越小则表示CPU资源紧张。 System Microsoft Windows系统进程。 smss.exe c:\windows\system32\smss.exe Session Manager Subsystem,该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。它是一个会话管理子系统,负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的,包括已经正在运行的Winlogon,Win32(Csrss.exe)线程和设定的系统变量作出反映。在它启动这些进程后,它等待Winlogon或者Csrss结束。如果这些过程时正常的,系统就关掉了。如果发生了什么不可预料的事情,smss.exe就会让系统停止响应(挂起)。要注意:如果系统中出现了不只一个smss.exe进程,而且有的smss.exe路径是"%WINDIR%\SMSS.EXE",那就是中了TrojanClicker.Nogard.a病毒,这是一种Windows下的PE病毒,它采用VB6编写 ,是一个自动访问某站点的木马病毒。该病毒会在注册表中多处添加自己的启动项,还会修改系统文件WIN.INI,并在[WINDOWS]项中加入"RUN" = "%WINDIR%\SMSS.EXE"。手工清除时请先结束病毒进程smss.exe,再删除%WINDIR%下的smss.exe文件,然后清除它在注册表和WIN.INI文件中的相关项即可。 csrss.exe c:\windows\system32\csrss.exe Client/Server Runtime Server Subsystem,客户端服务子系统,用以控制Windows图形相关子系统。正常情况下在Windows NT4/2000/XP/2003系统中只有一个CSRSS.EXE进程,正常位于System32文件夹中,若以上系统中出现两个(其中一个位于Windows文件夹中),或在Windows 9X/Me系统中出现该进程,则是感染了Trojan.Gutta或W32.Netsky.AB@mm病毒。另外,目前新浪利用了系统漏洞传播的一个类似于病毒的小插件,它会产生名为nmgamex.dll、sinaproc327.exe、csrss.exe三个常驻文件,并且在系统启动项中自动加载,在桌面产生一个名为“新浪游戏总动园”的快捷方式,不仅如此,新浪还将Nmgamex.dll文件与系统启动文件rundll32.exe进行绑定,并且伪造系统文件csrss.exe,产生一个同名的文件与系统绑定加载到系统启动项内,无法直接关闭系统进程后删除。手工清除方法:先先修改注册表,清除名为启动项:NMGameX.dll、csrss.exe,然后删除System32\NMGameX.dll、System32\sinaproc327.exe和Windows\NMWizardA14.exe三个文件,再修改Windows文件夹中的csrss.exe文件为任意一个文件名,从新启动计算机后删除修改过的csrss.exe文件。 winlogon.exe c:\windows\system32\winlogon.exe Windows Logon Process,Windows NT用户登陆程序。这个进程是管理用户登录和退出的。而且winlogon在用户按下CTRL+ALT+DEL时就激活了,显示安全对话框。 services.exe c:\windows\system32\services.exe Windows Service Controller,管理Windows服务。大多数的系统核心模式进程是作为系统进程在运行。打开管理工具中的服务,可以看到有很多服务都是在调用service.exe。 lsass.exe c:\windows\system32\lsass.exe 本地安全权限服务控制Windows安全机制。管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序等。它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包,例如默认的msgina.dll来执行的。如果授权是成功的,lsass就会产生用户的进入令牌,令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。而windows活动目录远程堆栈溢出漏洞,正是利用LDAP 3搜索请求功能对用户提交请求缺少正确缓冲区边界检查,构建超过1000个"AND"的请求,并发送给服务器,导致触发堆栈溢出,使Lsass.exe服务崩溃,系统在30秒内重新启动。这里请记住该进程的正常路径为C:\WINDOWS\system32,一些病毒,如W32.Nimos.Worm病毒会在其它位置模仿LSASS.EXE来运行。 svchost.exe c:\windows\system32\svchost.exe Service Host Process是一个标准的动态连接库主机处理服务。Svchost.exe文件对那些从动态连接库(DLL)中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的Windows\system32文件夹下。在启动的时候,Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。Windows 2000一般有2个Svchost进程,一个是RPCSS(Remote Procedure Call)服务进程,另外一个则是由很多服务共享的一个Svchost.exe;而在windows XP中,则一般有4个以上的Svchost.exe服务进程;Windows 2003 server中则更多。Svchost.exe是一个系统的核心进程,并不是病毒进程。但由于Svchost.exe进程的特殊性,所以病毒也会千方百计的入侵Svchost.exe。通过察看Svchost.exe进程的执行路径可以确认是否中毒。如果你怀疑计算机有可能被病毒感染,Svchost.exe的服务出现异常的话通过搜索Svchost.exe文件就可以发现异常情况。一般只会在C:\Windows\System32目录下找到一个Svchost.exe程序。如果你在其他目录下发现Svchost.exe程序的话,那很可能就是中毒了。 spoolsv.exe c:\windows\system32\spoolsv.exe Printer Spooler Service,Windows打印任务控制程序,用以打印机就绪。缓冲(spooler)服务是管理缓冲池中的打印和传真作业。 explorer.exe c:\windows\explorer.exe Windows Explorer用于控制Windows图形Shell,包括开始菜单、任务栏,桌面和文件管理。这是一个用户的shell,在我们看起来就像任务条,桌面等等。或者说它就是资源管理器,不相信你在运行里执行它看看。它对Windows系统的稳定性还是比较重要的,而红码也就是找它的麻烦,在c和d根下创建explorer.exe。 ctfmon.exe c:\windows\system32\ctfmon.exe Alternative User Input Services,控制Alternative User Input Text Processor (TIP)和Microsoft Office语言条。Ctfmon.exe提供语音识别、手写识别、键盘、翻译和其它用户输入技术的支持。 inetinfo.exe c:\windows\system32\inetsrv\inetinfo.exe IIS Admin Service Helper,InetInfo是Microsoft Internet Infomation Services (IIS)的一部分,用于Debug调试除错。IIS服务进程,蓝码正是利用的inetinfo.exe的缓冲区溢出漏洞。 nvsvc32.exe c:\windows\system32\nvsvc32.exe NVIDIA Driver Helper Service在NVIDA显卡驱动中被安装。 wdfmgr.exe c:\windows\system32\wdfmgr.exe Windows Driver Foundation Manager,Microsoft Windows Media Player 10的一部分,减少Microsoft Windows Media player 10一些问题出现。 wscntfy.exe c:\windows\system32\wscntfy.exe Windows安全中心(Windows Security Center),它负责检查计算机的安全状态,包括防火墙、病毒防护软件、自动更新三个安全要素,这正是系统安全最重要的三个部分。如果系统中没有启用防火墙和自动更新,或者没有安装防病毒软件,默认情况下系统会在托盘区出现“Windows安全警报”的盾形图标,提示系统当前所处的安全状态,双击后可以进入安全中心了解系统提供的安全建议。 alg.exe c:\windows\system32\alg.exe 应用层网关服务,用于网络共享。 conime.exe c:\windows\system32\conime.exe Console IME(IME控制台),conime.exe是输入法编辑器,允许用户使用标准键盘就能输入复杂的字符与符号。它也是病毒光顾的常客,是否有毒,关键看它是否不可中止或无规律自动激活,如果是,那就是被病毒感染了 [ Last edited by zt970831 on 2007-12-13 at 10:09 ] |
回复此楼» 猜你喜欢
职称评审没过,求安慰
已经有21人回复
-
垃圾破二本职称评审标准
已经有15人回复
-
投稿Elsevier的Neoplasia杂志,到最后选publishing options时页面空白,不能完成投稿
已经有20人回复
-
EST投稿状态问题
已经有7人回复
-
毕业后当辅导员了,天天各种学生超烦
已经有4人回复
-
聘U V热熔胶研究人员
已经有10人回复
-
求助文献
已经有3人回复
-
投稿返修后收到这样的回复,还有希望吗
已经有8人回复
-
三无产品还有机会吗
已经有6人回复