CynicalBryan - 2008-3-12 9:31:00
各位好,我有一台电脑 Windows 2000 Sp4 英文版
正版McAfee 8.5最新病毒库查到有如下病毒,之前都没有问题的,病毒名字在网上居然查不到,也删除不了,并且感染的进程是Services.exe,是误报还是真的注入了Services?
VirusName: BO:IRCBOT-BOZORI
ProcessName: C:\WINNT\system32\SERVICES.EXE
谢谢各位,请赐教
[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; DGD (Autoproxy3); Maxthon; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)
天月来了 - 2008-3-12 9:55:00
扫SRENG日志发论坛来
http://www.kztechs.com/sreng/download.html下载System Repair Engineer
1 解压缩sreng2.zip(建议解压到系统Windows文件夹里)
2 运行SREng.exe ((将SREng.exe改名为123.com运行))
3 智能扫描=》扫描=》保存报告
4 把报告保存后,直接将日志内容彻底复制到一个空记事本里,然后再保存,就可以以附件的形式发论坛来了。
一定以附件形式发这论坛来。
点击我这贴右下角的“引用”然后就应该知道怎么发了。
CynicalBryan - 2008-3-12 10:32:00
您好,因为是工业用的电脑,在流水线上,操作比较麻烦,不能随意重启和安装软件,也无法安装别的杀毒软件来查杀,谢谢帮助,有没有可以判断的办法?
lqqk7 - 2008-3-12 10:57:00
不借助工具很难判断,天月让你下载的是绿色软件,下载以后不用安装,解压所以后就可以运行
CynicalBryan - 2008-3-12 11:04:00
非常感谢,我试试,稍候回复
天月来了 - 2008-3-12 11:26:00
工业用的电脑,在流水线上????????
这电脑怎么会中毒呢???
上网玩了??????
用U盘玩了???
CynicalBryan - 2008-3-12 12:47:00
没有阿,所以怀疑是不是McAfee误报,而且这个病毒查不到阿
天月来了 - 2008-3-12 14:52:00
那McAfee又是怎么升级的呢??
如果能连到网络上升级
就可能中毒了。
CynicalBryan - 2008-3-12 16:34:00
我们是局域网部署升级,一台McAfee升级服务器位于新加坡,都是内网
日不懂啊 - 2008-3-12 16:39:00
内网防范住U盘带进来的毒,其他还是比较安全的
CynicalBryan - 2008-3-12 16:53:00
是的,因为是流水线上的机器,基本不会动的,就是例行的自动升级和查毒,之前都没有这问题,关键这个病毒也查不到,不知道是不是McAfee误判
谢谢,我已经让同事去收集机器信息了
baohe - 2008-3-12 16:58:00
【回复“CynicalBryan”的帖子】
有这种“偷梁换柱”的病毒。
用假SERVICES.EXE替换真正的系统程序services.exe(将C:WINDOWSsystem32目录下的系统程序services.exe改名为hbaxcsnp.dll,移到C:WINDOWS\system32\wins目录);C:\WINDOWS\system32目录下的SERVICES.EXE变为木马程序。这个假冒的SERVICES.EXE文件大小与真的系统程序相同,只是MD5值不同。
用IceSword查看进程列表时,可以发现两个services.exe进程。一个是dll图标(真正的系统进程;),另一个是.exe图标(木马进程;)。
建议楼主用IceSword查看一下进程。
另:建议楼主给这台电脑打全补丁。
天月来了 - 2008-3-12 17:06:00
既然在局域网里升级。
那么网内任何一个电脑被非正常的操作而感染病毒,整个网内电脑可能都会倒霉的。
© 2000 - 2026 Rising Corp. Ltd.