中毒了。。。还杀不了。。。。

maga79

终于又中招了，每次打开IE就会在SYSTEM32目录下自动生成dllhost.exe文件，每次删除都会自动生成，而且会\r\n协议   本地端口 本地IP地址         远程端口 远程IP地址         进程ID  进程名称                                       \r\nTCP    1026     127.0.0.1          38958    0.0.0.0            4       System                                         \r\nTCP    445      0.0.0.0            38923    0.0.0.0            4       System                                         \r\nTCP    1027     0.0.0.0            -        -                  4       System                                         \r\nTCP    135      0.0.0.0            39150    0.0.0.0            4       System                                         \r\nTCP    139      10.160.144.111     38958    0.0.0.0            4       System                                         \r\nTCP    135      0.0.0.0            39150    0.0.0.0            792     C:\\WINDOWS\\system32\\svchost.exe                \r\nTCP    1026     127.0.0.1          38958    0.0.0.0            1940    C:\\WINDOWS\\System32\\alg.exe   \r\n\r\n自动监听远端的38958，38923，39150端口，发现木马捆绑了MSN，修改了MACFEE，关键还是找不到木马的原文件在哪里，郁闷。。。。。

chelseaZ

好恐怖~~~\r\n难道是灰鸽子?

killuya

你可以用UNLOCKER查一下与dllhost相关的文件，进行解锁，用冰刃查找可疑进程和服务，然后在安全下，进行删除，最后用杀软完整扫描一下，在带有网络连接的安全下打上补丁。\r\n最重要的是你得断网！！！\r\n还有把扫描日志传上来~~

chelseaZ

这么复杂,还不如重装快,,:zzzz:

killuya

dllhost.exe 解释\r\n\r\ndllhost.exe是什么？\r\ndllhost.exe是运行COM+的组件，即COM代理，运行Windows中的Web和FTP服务器必须有这个东西。\r\n\r\n什么时候会出现dllhost.exe？\r\n运行COM+组件程序的时候就会出现。例如江民KV2004\r\n\r\n冲击波杀手又是怎么一回事？\r\n冲击波杀手借用了dllhost.exe作为进程名，但是由于Windows不允许同一个目录下有同名文件的存在，因此，冲击波杀手把病毒体： dllhost.exe放到了C:\\Windows\\System32\\Wins目录里面（Windows 2000是C:\\WINNT\\System32\\Wins，全部假设系统安装在C盘），但是真正的dllhost.exe应该放 在C:\\Windows\\System32（Windows 2000是C:\\WINNT\\System32）\r\n\r\n换句话说就是：冲击波（Worm.WelChia）为了迷惑用户，避免病毒的执行体被进程管理器终止，采用了dllhost.e xe这个和Windows组件一样的名字，但是并不是说进程里面出现dllhost.exe就等于感染了worm.welchi a\r\n\r\n再看看这里的FAQ吧\r\n\r\n第一个误区————进程出现Dllhost.exe就等于中了病毒 \r\nDllhost.exe是系统文件，但是进程里面出现Dllhost.exe进程不等于中了病毒 \r\n\r\n第二个误区————一见Dllhost.exe进程就杀死 \r\n其实这样做是不好的。很多程序都需要Dllhost.exe，例如KV2004实时监控运行的时候或IIS在解析一些ASP文件 的时候，进程中都会出现Dllhost.exe \r\n\r\n之所以大家恐惧Dllhost.exe进程，恐怕是由于冲击波（杀手）的问题。 \r\n其实冲击波（杀手）只不过采取了一个偷梁换柱的方法。因为任务管理器里面无法看出进程中exe文件的路径，所以让大家在分析问题 的时候出现一些偏差。 \r\n\r\n感染冲击波（杀手）的典型特征不是进程中出现Dllhost.exe，而是RPC服务出现问题（冲击波）和System32\\w ins目录里面出现svchost.exe和dllhost.exe文件（冲击波杀手）。注意路径！！ \r\n\r\n那么，Dllhost.exe是什么呢？Dllhost.exe是 COM+ 的主进程。正常下应该位于system32目录里面和system32\\dllcache目录里面。而system32\\win s目录里面是不会有dllhost.exe文件的。

killuya

dllhost.exe病毒(蠕虫刀客)攻击资料及处理方法 \r\n\r\n病毒的特征： \r\n1．硬盘狂转。 \r\n2．随意组织目标地址狂ping不止，直使网络瘫痪而不休。 \r\n3．本地机器性能下降。 \r\n4．任务管理器内有“DLLHOST．EXE”进程，一般手工终止不了。 \r\n5．在系统盘的“WINNNT\\SYSTEM32\\WINS\\”目录下生成两个文件：dllhost.exe和svchost.exe \r\n\r\n手工清理办法： \r\n因此大家必须先手工处理，然后再逐步上网。 \r\n1．拔掉本地网线； \r\n2．查看任务管理器内是否运行DLLHOST.EXE进程； \r\n3．如果有，立刻把计算机的系统日期改为2004年的任一天； \r\n4．重新启动计算机； \r\n5．删除WINNNT\\SYSTEM32\\WINS目录下的svchost.exe文件。 \r\n6．插上网线，OK。\r\n\r\n病毒的两种解决办法：\r\n\r\n1、日期调整到2005、重起计算机；\r\n2、重起计算机按F8进入安全模式，从任务栏中结束dllhost进程，同时删除system32\\wins目录下的文件；\r\n3、安装RPC相关补丁，参见内部网安全专栏中关于冲击波(Worm.Blaster)蠕虫病毒说明. \r\n\r\n注意：只需从任务栏中结束dllhost进程即可 \r\n\r\n相关资料二: \r\n\r\nsvchost有两种： \r\n\r\n1.系统目录system32\\和system32\\dllcache下的这个不是病毒，用来启动某些正常的服务，包括RPC服务。虽然近来有个大大的漏洞，但是这个的确是正常的。如果贸然禁用这个服务，会有copy,paste不能用，有些属性页不能打开之类的症状发生，所以要打补丁，或用放火墙封端口，建议不要停止服务。 \r\n\r\n2.系统目录system32\\wins\\下的。这是dllhost病毒的产物，实际是一个tftpd.exe重命名而来，虽然也是微软造，但被病毒制造者改了名字，利用了。和前面的那个有个明显的区别：右键点击，属性，版本，内部名称还是tftpd.exe。这个svchost在服务里注册了一个叫Network connection Sharing的服务。这个服务是不正常的。要停掉，禁用。\r\n\r\n顺便说一下，dllhost.exe也是有两种或更多。只有那个wins\\目录下的是病毒。不要见到dllhost就一股脑儿全删光 \r\n\r\n* 清除蠕虫 \r\n如果发现系统已经被蠕虫感染，我们建议您按照以下步骤手工清除蠕虫：\r\n\r\n1、按照上述方法安装补丁。 \r\n2、点击左下角的“开始”菜单，选择“运行”，在其中键入“cmd”，点击“确定”。 \r\n这样就启动了命令提示符。在其中键入： \r\nnet stop RpcPatch \r\nnet stop RpcTftpd \r\n3、删除%systemroot%\\system32\\wins\\svchost.exe和 \r\n%systemroot%\\system32\\wins\\dllhost.exe。 \r\n4、点击左下角的“开始”菜单，选择“运行”，在其中键入“regedit”，点击“确 \r\n定”。这样就启动注册表编辑器。在注册表中删除键： \r\n定”。这样就启动注册表编辑器。在注册表中删除键： \r\nHKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\RpcPatch \r\nHKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\RpcTftpd \r\nHKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\RpcTftpd \r\nHKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\RpcPatch \r\n5、重新启动系统。\r\n\r\n也可利用蠕虫检测系统时间，自动清除自身的特性，将系统时间改到2004年，然后重新启动系统，再将时间改回来。\r\n\r\n* 针对蠕虫发送大量ICMP导致的网络阻塞解决建议可暂时在网络设备上禁止或者限制ICMP ECHO数据包。由于蠕虫发送的ICMP报文的源IP都是真实的，可通过在Sniffer上设定过滤规则，捕获大小为92字节的ICMP ECHO数据包,统计源IP，即可了解网络中那些系统被蠕虫感染，并采取相应措施。

chelseaZ

killuya \r\n \r\n \r\n好好人哦~:lovely:

maga79

应该不是蠕虫刀客,它确实在系统目录system32\\目录下的而不是在system32\\dllcache目录下M32下打开IE自动生成的DLLHOST.EXE。查下来是发现在peXXXX目录下的,应该是应该是修改了图标的那个DLL文件,只要打开关联文件,就自动生成病毒,而且还捆绑了MSN,在一些TEMP文件夹里也有它的影子.病毒屏蔽掉了MACFEE对病毒文件的即时监控。好象是一种内嵌在网页的木马,打开网页时中的

maga79

暂时清除了一下,观察一段时间,关键是这电脑的WINDOWS自带的防火墙服务已经被破坏了,防火墙都启动不了了，但规则还在应用，让人郁闷，

chelseaZ

好恐怖!\r\n这样清理都还不行!