12   2  /  2  页   跳转

wmiprvse.exe是病毒么

收藏
【hellenic〗
头像
初生襁褓狮
  • 帖子:159
  • 注册: 2002-12-20
  • 来自:
发表于: 2005-08-09 18:21 | 只看楼主 短消息 资料
字号: 11楼

我删除了,让朋友发了个给我,一查,内存中又有病毒了!
但是查wmiprvse.exe这个文件和对整个硬盘杀毒却什么也杀不出来...
gototop
 
CrossVirus
头像
初生襁褓狮
  • 帖子:1756
  • 注册: 2004-06-29
  • 来自:
发表于: 2005-08-09 18:22 | 短消息 资料
字号: 12楼

请提供hijackthis扫描日志.
gototop
 
子阳
头像
雄霸杖朝狮
  • 帖子:14755
  • 注册: 2004-04-13
  • 来自:
发表于: 2005-08-09 21:04 | 短消息 资料
字号: 13楼

引用:
【【hellenic〗的贴子】网上查看说不是病毒,但是新的RISING却查出来是病毒...
而且杀不干净,每次开机都会再次在内存中查杀出来
有高手帮我看看么

...........................

用17.39.10版本瑞星,DOS下杀.
gototop
 
xwlsb
头像
初生襁褓狮
  • 帖子:1
  • 注册: 2005-11-16
  • 来自:
发表于: 2005-11-16 16:15 | 短消息 资料
字号: 14楼

Win32/SdBot.worm.176640 与Win32/SdBot.worm , Win32/AgoBot.worm 相似的恶性IRCBot蠕虫。
运行蠕虫,则在系统目录(通常 c:\winnt\system32, c:\windows\system32)中复制自己。

- C:\Windows系统目录\wmiprvse.exe : (176,640 字节) 该蠕虫是由Visual C++编写的。可报告解压缩及各扇区加密的形式。该蠕虫由如下3个文件组成。

1. 蠕虫本身
2. 远程文件执行实用软件
3. 后门

并且为下次自启动,在注册表中添加自己。

1.
HKEY_LOCAL_MACHINE\
SOFTWARE\
Microsoft\
Windows\
CurrentVersion\Run
Kernel_check = wmiprvse.exe

2.
HKEY_LOCAL_MACHINE\
SOFTWARE\
Microsoft\
Windows\
CurrentVersion\
RunServices
Kernel_check = wmiprvse.exe
gototop
 
神无
头像
锋芒艾服狮
  • 帖子:1938
  • 注册: 2005-06-16
  • 来自:
发表于: 2005-11-16 16:21 | 短消息 资料
字号: 15楼

扫个日志上来看看,日志里看的最清楚了.
gototop
 
ヘ网络农民ヘ
头像
叱咤花甲狮
  • 帖子:2980
  • 注册: 2004-09-12
  • 来自:
发表于: 2005-11-16 16:22 | 短消息 资料
字号: 16楼

【回复“【hellenic〗”的帖子】

是你运行某个软件,感染了病毒..

  建议删除了某个软件..

我前几天,也是相同的问题。 ..

gototop
 
<<上一主题|下一主题>>
12   2  /  2  页   跳转
页面顶部
Powered by Discuz!NT