广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 25648 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
妖-灵
数位造型
个人文章 个人相簿 个人日记 个人地图
路人甲
级别: 路人甲 该用户目前不上站
推文 x1 鲜花 x2
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x1
[病毒蠕虫] services.exe病毒 除不掉

我就是用卡巴斯基扫毒





但是除不掉病毒 我用工作管理员 有2个services.exe




一个是使用者 一个是电脑程式 但是我按结束工作 他会出 这是很重要的工作




只差这个病毒就可以除掉 拜托大大





表情 表情 表情 表情 表情 表情 表情 表情 表情


[ 此文章被妖-灵在2007-05-06 07:30重新编辑 ]




献花 x1 回到顶端 [楼 主] From:台湾 | Posted:2007-05-05 22:08 |
amore12 手机 会员卡
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
总版主
级别: 总版主 该用户目前不上站
推文 x913 鲜花 x4338
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

不知道是否可以协助到您!!只按您的文章内找的相关项目!!
软体于最下面请自行下载!!如果还是无法帮上忙!!那么要请专业人士来协助了!!

警政署刑事局侦九队公布的基本快速发现及移除恶意程式方法 分类:病毒 与 骇客2007/04/19 11:42一、关闭所有已知对外连线程式,在确定网路没有正常对外连线情况下,开启cmd.exe,输入利用「netstat -an -p tcp」指令清查异常对外通讯的应用程式,检查是否有对外TCP 53及80 port连线,观察是否具恶意程式特质,并注意VNC、Terminal Service 等远端遥控5800、5000 and 3389 port之不明外来遥控连线。若使用者本身有安装远端遥控程式如VNC或Terminal Server,建议更改预设连线port,并设定存取连线之IP,以防骇客使用该远端遥控程式。

二、检查登录编辑器(Registry):清查HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run等自动启动路径下是否有「iexplore.exe」、「peep.exe」、「r_server.exe」及「hiderun.exe」等字样之机码,若存在的话将该机码删除。

三、检核微软系统目录中(路径大多为C:\WINNT\SYSTEM32\)是否存在下列异常档案,并删除之:

(一)、恶意程式—peep.exe:通常会存放在c:\winnt\system32目录之下,执行后会自动产生explorer.exe于c:\winnt\system32目录(正常之explorer.exe是存放在c:\winnt之目录之下),并于网路连线后自动连线至跳板主机之80port,一般80port为网页主机之用,peep.exe木马程式则用做远端遥控并可传递受感染之电脑内任何档案资料。

(二)、恶意程式—service.exe:正常之系统档为services.exe,存放于c:\winnt\system32目录之下,若电脑有service.exe或非位于c:\winnt\system32目录下之services.exe档案则可能受到感染。Service.exe执行后会产生MFC42G.DLL及WinCom32.exe等两个档案,并于网路连线后以TCP方式连线至跳版主机之53port,一般53port为DNS之用,且是以UDP方式连线。

(三)、恶意程式—iexplore.exe:iexplore.exe被置于c:\windows\system32目录中(正常位于c:\program Files\Internet Explorer),该程式改编自知名偷密码程式之passwordspy、Backdoor.PowerSpider及PWSteal.Netsnake,为知名收集密码资讯程式的变种,会搜集受害者所输入的帐号密码后以电子邮件方式传送至中国大陆的某个邮件主机。

(四)、其他异常程式:包括exec3.exe、r_server.exe、hiderun.exe、gatec.exe、gates.exe、gatew.exe、nc1.exe、radmin.exe、hbulot.exe等已知档名之恶意程式,另需人工检核是否有异常程式,如「*.bat」及「*.reg」通常为骇客入侵后安装恶意程式使用之档案,及pslist.exe、pskill.exe、pulist.exe等p开头之档案则为骇客工具档案,以上档案通常存放于c:\winnt\system32目录之下。

四、重新开机并注意电脑对外通讯情形。


(GK1.0自动分析电脑是否遭植入恶意程式,并清除相关恶意程式档案与注册机码,

软体下载网址为:
http://www.cib.gov.tw/upload/BulletinNewsPic/BN_File1_7578077345.zip
http://www.cib.gov.tw/news/news02_2.aspx?no=343


[ 此文章被amore12在2007-05-06 16:27重新编辑 ]


献花 x0 回到顶端 [1 楼] From:台湾 | Posted:2007-05-06 07:46 |
妖-灵
数位造型
个人文章 个人相簿 个人日记 个人地图
路人甲
级别: 路人甲 该用户目前不上站
推文 x1 鲜花 x2
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

我在c:\winnt找到3个explorer.exe是正常的吗 卡巴斯基 扫描我的电脑 出现services.exe病毒 然后又未侦测到 我在用线上扫描 就有出现病毒


如何除掉 或解毒 我在知识找 很多人除掉services.exe 会发生错误 请大大回答 谢谢

表情   表情


献花 x0 回到顶端 [2 楼] From:台湾 | Posted:2007-05-06 08:24 |
彗星风采 手机
个人头像
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x0 鲜花 x24
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

请提供防毒软体扫描到的病毒名称及详细路径....

参考置顶文章跑SREng报表贴上来判读... 表情

另外请问一点...楼主您是用2000的系统吗?


献花 x0 回到顶端 [3 楼] From:台湾中华电信HINET | Posted:2007-05-06 19:37 |
妖-灵
数位造型
个人文章 个人相簿 个人日记 个人地图
路人甲
级别: 路人甲 该用户目前不上站
推文 x1 鲜花 x2
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

我已经除了 谢谢你们的 感恩 表情   表情   表情


献花 x0 回到顶端 [4 楼] From:台湾 | Posted:2007-05-06 21:58 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.102229 second(s),query:16 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言