查看: 2333|回复: 1
收起左侧

请问这都是些什么病毒的进程呀?有没有专杀工具呢?

[复制链接]
merlion
发表于 2007-6-19 22:05:31 | 显示全部楼层 |阅读模式
唉……突然发现进程中多了这么多可疑程序,经查询肯定是病毒,但不知道是什么病毒,请大家告知,谢谢!


Update.exe

wscntify.exe




附:
进程文件: Update 或 Update.exe
进程位置: Program Files\Common Files
程序名称: Possible Adware
程序用途: 木马病毒 弹广告或远程控制
程序作者:   
系统进程: 否
后台程序: 是
使用网络: 是
硬件相关: 否
安全等级: 低
进程分析: update.exe涉及到多个不同的广告软件的广告木马病毒和远程控制的影子木马3.0所在位置不相同,如果位置在系统目录下,多半是远程控制木马:
Troj/Furoot-A,位置:\spool\prtprocs\,被用于隐藏进程。
W32.HLLW.Gaobot.AO,位置:系统目录,远程控制。
Troj/Delf-FN,位置:系统目录,窃取信息,通过邮件发送。
W32/Sdbot.worm ,位置:开始菜单、启动下,IRC远程控制。
W32/Rbot-VC,位置:系统目录,IRC后门远程控制。
W32/Sdbot-OS,位置:系统目录,后门木马,通过网络共享和弱密码漏洞传播。
PWS-Hangame,位置:系统目录,窃取信息。
WORM_ZOTOB.N ,位置:系统目录,利用微软插件漏洞进行远程控制。
Troj/Bifrose-DG,位置:系统目录,后门木马。
Troj/YSpy-A,位置:系统目录,捕获键盘信息,窃取密码。
2006年10月以后大量出现如maeqel02.sys,maeqel02.dll(文件名完全是随机)的病毒,多与Update.exe一起感染。用于对该病毒的保护和强化。
该病毒也修改注册表创建Run/RealUpdate项实现自启动,并修改注册表创建Explorer\ShellExecuteHooks将病毒模块203EE852.dll(随机名)注入进程。该病毒强制修改浏览器主页设置,修改hosts文件,禁止安全软件运行。

进程文件: wscntify 或 wscntify.exe
进程位置: windir
程序名称: W32.Spybot.AFEW
程序用途: 具有后门能力的蠕虫病毒。
程序作者:   
系统进程: 否
后台程序: 是
使用网络: 是
硬件相关: 否
安全等级: 低
进程分析: 该蠕虫通过AOL即时信使漏洞传播。蠕虫会终止VMware虚拟机运行. 在注册表中创建服务(windows security centre和winrpc)以及多处修改注册表实现自启动。打开后门连接到IRC服务器,开启TCP port 61521 ,远程攻击者进行:下载病毒,自我更新,文件加密上传,扫描端口,盗取资料等动作。


请大家告知如何杀毒呀?有没有专杀工具呢?
xlx845
发表于 2007-6-20 00:52:19 | 显示全部楼层
被楼主着实吓了一跳.发现自己进程有wscntfy.exe  脑子发热就关掉了进程然后查了下确实跟楼主一样信息.而且我还排除了该进程的防护.但是想想以前也查过该进程的怎么会突然变木马了呢.....突然发现是在C:\WINDOWS\system32\wscntfy.exe...是系统进程.wscntify.exe 跟wscntfy.exe  的区别.....NND.眼花的结果....
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 16:05 , Processed in 0.121114 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表