瑞星卡卡安全论坛

:default4: :default4: :default4: :default4: :default4: 年后 办公室的四台计算机同时出现问题 表现为开机速度奇慢 任意程序均运行缓慢

不停出现错误提示窗口 换用不同杀软查杀了部分病毒 但是还是存在上述问题

反复提示svchost.exe错误  generic svchost错误之类

我将四台诊断报告上传 希望版主及高手尽快给出解决之道 谢谢

三台为XP 一台为2000 今天这台已被我换成XP

刚装完呢就是一样的报错 不能点确定 只能点击取消（也就是调试）否则立即死机

肯定补丁不全 离线的机器

动不动就死机 打印机无法工作 原来可以共享的也不行

总提示相关服务无法启动 我天天杀毒杀毒杀毒 是有一些什么蠕虫病毒:default11: :default11: :default11: :default11: :default11:

附件: Archive.rar

我只能确定第3个日志的电脑SREngLOG_C430有病毒...同时第4台机子SREngLOG_E2220有很多计划任务..楼主清楚的吗

第3台机子:
1.建议到下面去找explorer.exe替换原来的文件
http://bbs.ikaka.com/showtopic-8561436.aspx

2.使用SREng修复下面各项：
启动项目 －－ 注册表之如下项删除：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<EXPLORER.EXE><; EXPLORER.EXE>

最后到下面这个在线查毒网站查一下这个文件..个人觉得有点可疑
C:\WINDOWS\system32\Drivers\JmArpHook.SYS

http://www.virscan.org/

以上个人看法...看看别人的建议..

SREngLOG_C430日志显示下面项目异常。

启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <EXPLORER.EXE><; EXPLORER.EXE>  []

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  []

但是看进程，它又象没问题
==================================
正在运行的进程
[PID: 204 / Administrator][C:\WINDOWS\Explorer.EXE]  [(Verified) Microsoft Corporation, 6.00.2900.5512 (xpsp.080413-2105)]

SREngLOG_E2220的日志只看到一大堆计划任务异常

其他没看出什么

建议你重装系统后，绝不使用原机任何程序，绝不打开原机任何文件，绝不的打开原机任何磁盘

观察看情况如何

包括安装驱动什么的都不能使用原机文件

如果机器突然间比原来的慢，而且，事先又没有装什么软件，10有8,9是中大奖了。

都是离线的机器，只是这四台之间内部共享吗？

安装ms08067补丁
重启电脑

谢谢各位解答

现在说一下最新进展 打印机工作异常 我说的是打印共享异常

比方A机器安装了打印机 BCD共享其打印功能 但是现在失效了

总是提示什么打印机相关服务没有运行

再就是局域网内的问题 可能是域名不对还是网络组件异常

原先打开网络邻居可见几百个 现在什么也没有了

我这四台是同一科室 但是整个单位共有1000台计算机

个别上网外 全是离线局域网

共享功能好像失效了

其中 C309这台 我两次重装 每次一进入桌面就提示svchost.exe错 过一会就提示发现病毒 每次都杀了 包括启动前的杀毒模式也提示干掉了 E2220是目前相对好一点的 也是病毒提示不断 每次都干掉了 总是有 KV报告 I-worm wukill 这样的名称 还有些不知名的autorun.inf autorun.exe病毒 C420 C430两台 间歇发病 一会很好 一会完全死掉

如此大量的电脑

我们这论坛难以帮助你了

试试吧

下载Dr.Web CureIt 到桌面,免安装的，直接启动全盘扫描
ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe
或者
ftp://ftp.drweb.com/pub/drweb/cureit/setup.exe

到底局域网的电脑打ms08067补丁没？
必须全部打上的

装那个补丁svchost.exe的

2004年的，打好补丁并且杀毒



病毒名称：I-Worm/WuKill

中 文 名：“乌客”
发现日期：2004年12月





用VB编写的群发邮件蠕虫病毒
这是一个很有迷惑性的蠕虫病毒。这个病毒采用文件夹图标，并且运行之后会出现一个类似文件夹的窗口，让用户误以为是打开了一个新的文件夹，而病毒却悄悄运行了。它会将自己复制到系统字体字体文件的文件，并修改注册表将自己隐藏起来，使用户难以发现。同是它还搜索Microsoft Outlook地址薄里的所有邮件地址，将自己以邮件附件的形式发出去，试图感染更多用户电脑。

1.将自己复制为：%SystemRoot%\Fonts\<随机文件名（5个字符）>.com

2.修改注册表以使病毒在启动的时候加载并隐藏：
添加表项：
HKEY_CURRENT_USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
"TempCom" ="%Windir%\Fonts\<随机文件名（5个字符）>.com"

修改表项：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState
"fullpath" = "1"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
"HideFileExt" = "1"
"Hidden" = "0"

3.将自己以邮件附件的形式发给Microsoft Outlook地址薄里面的邮件地址.
主题: Document
附件名: Document.exe

终于解决问题了 解决内存不能读的问题

http://www.microsoft.com/china/technet/security/bulletin/MS08-067.mspx
此安全更新解决了服务器服务中一个秘密报告的漏洞。 如果用户在受影响的系统上收到特制的 RPC 请求，则该漏洞可能允许远程执行代码。 在 Microsoft Windows 2000、Windows XP 和 Windows Server 2003 系统上，攻击者可能未经身份验证即可利用此漏洞运行任意代码。 此漏洞可能用于进行蠕虫攻击。 防火墙最佳做法和标准的默认防火墙配置有助于保护网络资源免受从企业外部发起的攻击。
对于 Microsoft Windows 2000、Windows XP 和 Windows Server 2003 的所有受支持版本，此安全更新的等级为“严重”；对于 Windows Vista、Windows Server 2008 和 Windows 7 Beta 的所有受支持版本，此安全更新的等级为“重要”。 有关详细信息，请参阅本节中“受影响和不受影响的软件”小节。
该安全更新通过更正服务器服务处理 RPC 请求的方式来解决该漏洞。 有关漏洞的详细信息，请参阅下一节“漏洞信息”下面特定漏洞条目的常见问题 (FAQ) 小节。
建议。 Microsoft 建议用户立即应用此更新。

我仔细查看了杀毒记录 I-worm/wukill Worm/Kido
正是KV所说的 “牛年第一毒”  高感染性的蠕虫病毒，江民的命名为“Worm/Kido”（中文名：“杀手老K”），国外安全机构命名为“Conflicker”和“Downadup”，三种不同命名都指的是同一种病毒。病毒会插入系统关键进程，可以成功控制被感染电脑或造成系统崩溃。法国海军战机指挥系统曾因为感染该病毒导致系统瘫痪，无法与外界交换数据，最终因为无法下达飞机起飞指令而停飞两日。

  “Worm/Kido”可以通过微软系统漏洞以及局域网、U盘等多种方式传播，病毒还具备下载其他恶意软件的功能，所下载的恶意软件包括窃取网银、网游账号密码的木马以及大量流氓软件，给用户的财产带来严重的损失。由于病毒具有局域网传播的特征，目前遭受损失最大的主要还是企业用户。而个人用户电脑一旦感染该病毒，有可能对系统造成毁灭性的破坏，最终只能重装系统。因此，该病毒也被称为“牛年第一毒”。

知道了