五月雷 - 2010-4-28 14:09:00
刚装好的WIN2000服务器,只要接入局域网重启后就会多出一个随机名字和名称的服务,启动类型“自动”,状态是“启动”,正常服务状态应该是“停止”和“已启动”,无法将其停止,禁止和删除,也无法修改其启动类型,SRENG2.8.2版和冰刃122版都用了不行,装了4台服务器,都是这个症状,多出的服务名字和名字每次都不一样,感觉是随机的,可以确定局域网有木马病毒,现在求助怎么把这个服务删掉
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; Maxthon)
五月雷 - 2010-4-28 14:16:00
最新的360,金山,瑞星都杀过,没有任何结果,这个服务会造成系统日志不断出现警告信息,不用一天就会把系统日志刷满。。。
networkedition - 2010-4-28 14:23:00
日志显示就这么一个服务:[Logical Disk Manager Administrative Service / dmadmin] <C:\WINNT\System32\dmadmin.exe /com>
这个服务是正常系统服务呀。
五月雷 - 2010-4-28 14:25:00
我上传JPG,GIF图片格式,说不支持类型。。只好压缩成RAR文件上传了 希望大家帮帮忙.....
现在继续重装中。。。准备打好补丁在接入局域网试试。。。
之前都是接入局域网打补丁的,局域网有专门的补丁服务器
五月雷 - 2010-4-28 14:26:00
不是这个服务,你看看我上传的图片,它在服务里面显示是 自启动 状态是 启动 其他服务不是停止就是已启动
networkedition - 2010-4-28 14:29:00
五月雷 - 2010-4-28 14:30:00
它的服务名称和显示名称好像是随机的 ,描述也是随机的, 4台机器都不一样,可执行文件的路径是一样 都是C:\WINDOWS\system32\svchost.exe -k netsvcs
networkedition - 2010-4-28 14:40:00
将C:\WINNT\system32\iesxic.dll 打包发送上来。
五月雷 - 2010-4-28 14:50:00
iesxic.dll 这个是什么文件? 正常状态下 我无法复制,访问被拒绝
我进PE系统居然也不行。
networkedition - 2010-4-28 14:55:00
五月雷 - 2010-4-28 15:19:00
终于可以复制出来了 版主提供的软件太强大了。。谢谢
附件:
iesxic.rar
networkedition - 2010-4-28 15:28:00
瑞星可以查杀:Trojan.Win32.Generic.11E928E8,用那个工具将iesxic.dll删除,完了将服务项也删除即可。
五月雷 - 2010-4-28 16:08:00
谢谢 搞定 研究了下 其实用冰刃也可以将其删除 先把被关联的svchost.exe进程结束掉,然后在注册表服务选项里找到其关联的DLL文件,用冰刃在文件里面删除之,然后用SRENG在服务选项也将其删除,重启后OK
准备把局域网内所有2000服务器版都检查下,不过有个疑问,这个木马是怎么感染的?好像打完补丁的2000服务器也会被感染,应该怎么防备?
networkedition - 2010-4-28 16:14:00
除了打全补丁外,局域网环境建议将默认共享关闭(不使用共享的情况下),系统设置强密码。
天月来了 - 2010-4-28 16:15:00
没法完美防备
去创建同名文件夹试试吧,纯碰运气而已
至于病毒的问题,只要网内其他电脑允许病毒运行起来,就没好办法
至于病毒当初是以什么形式运行,就不知道了
© 2000 - 2025 Rising Corp. Ltd.