还是svchost.exe-应用程序错误【求助】 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 系统软件还是svchost.exe-应用程序错误【求助】

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

还是svchost.exe-应用程序错误【求助】

万恶我为首特邀体验者帖子:2749 注册: 2004-10-07 来自:广西柳州	发表于： 2006-08-16 07:36 \| 只看楼主短消息资料字号：小中大 1楼还是svchost.exe-应用程序错误【求助】中的什么毒啊? 我用瑞星都弄不死! 昨天用了瑞星杀毒杀了7种病毒82个病毒数但是这个东西还在! 一连网30分钟就出现 svchost.exe-应用程序错误应用程序发生异常未知的软件异常(0xc0000409),位置为0x5fdda3c0 有确定和取消选择,不管点哪个选择都会断网,重起才能连上网不重起的话点连接就一闪一闪的就没了,也连不上哪位有能力的高手教一下我啊,跪求办法!!!!! 2006-08-16 11:15:57
万恶我为首特邀体验者帖子:2749 注册: 2004-10-07 来自:广西柳州	分享到：

阿诺8979 叱咤花甲狮帖子:4722 注册: 2005-12-09 来自:河北保定雄县	发表于： 2006-08-16 08:12 \| 短消息资料字号：小中大 2楼这里有解决方法。http://forum.ikaka.com/topic.asp?board=3&artid=8143586
阿诺8979 叱咤花甲狮帖子:4722 注册: 2005-12-09 来自:河北保定雄县

艾玛大版主帖子:18894 注册: 2004-01-01 来自:	发表于： 2006-08-16 08:44 \| 短消息资料字号：小中大 3楼【CISRT2006022】通过MS06-040漏洞传播的IRCbot wgareg.exe 解决方案档案编号：CISRT2006022 病毒名称：Backdoor.Win32.IRCBot.st（AVP）病毒别名：Backdoor/Mocbot.b（江民）　　　　　 Worm.Mocbot.b（瑞星）　　　　　 Worm.IRC.WargBot.a.9609（毒霸）病毒大小：9,609 字节加壳方式：PE_Patch MEW 样本MD5：9928a1e6601cf00d0b7826d13fb556f0 发现时间：2006.08.13 更新时间：2006.08.13 关联病毒：传播方式：通过MS06-040漏洞传播，通过AIM传播技术分析 ========== 这是一个利用 MS06-040 Server 服务中的漏洞可能允许远程执行代码 (921883) 漏洞传播的IRCbot病毒，没有安装补丁的计算机受到攻击后可能会出现svchost.exe出错的对话框。病毒文件名wgareg.exe，运行后复制到%System%\wgareg.exe，创建文件%WINDOWS%\Debug\dcpromo.log，创建服务如下： CODE:[Copy to clipboard][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wgareg] 可执行文件的路径：%System%\wgareg.exe 显示名：Windows Genuine Advantage Registration Service 描述：Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability. 设置修改注册表信息影响系统安全： CODE:[Copy to clipboard][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole] "EnableDCOM"="n" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "AntiVirusDisableNotify"=dword:00000001 "FirewallDisableNotify"=dword:00000001 "AntiVirusOverride"=dword:00000001 "firewalldisableoverride"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windowsfirewall\domainprofile] "enablefirewall"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windowsfirewall\standardprofile] "enablefirewall"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "restrictanonymous"=dword:00000001 "restrictanonymoussam"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters] "autoshareserver"=dword:00000000 "autosharewks"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess] "Start"=dword:00000004 连接远程IRC服务器，接收黑客命令： bniu.househot.com ypgw.wallloan.com 被感染计算机可能被用来下载其它恶意程序、发动DDoS攻击等。清除步骤 ========== 1. 删除病毒的服务项： CODE:[Copy to clipboard][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wgareg] 2. 重新启动计算机 3. 删除病毒文件：%System%\wgareg.exe 强烈建议：开启网络防火墙（如有必要可以封掉TCP135/139/445等端口）安装好微软的安全更新补丁（不仅仅是MS06-040(921883)）这里列出Windows2000/XP/2003简体中文版的MS06-040(921883)补丁下载链接： Windows 2000 安全更新程序 (KB921883) 简体中文 Windows2000-KB921883-x86-CHS.EXE Windows XP 安全更新程序 (KB921883) 简体中文 WindowsXP-KB921883-x86-CHS.exe Windows Server 2003 安全更新程序 (KB921883) 简体中文 WindowsServer2003-KB921883-x86-CHS.exe 发布时间：2006-08-14 14:30 更新时间：2006-08-15 13:39
艾玛大版主帖子:18894 注册: 2004-01-01 来自:

华盟☆小敏初生襁褓狮帖子:824 注册: 2006-05-06 来自:	发表于： 2006-08-16 11:23 \| 短消息资料字号：小中大 4楼请安装微软的这个最新补丁：Microsoft 安全公告 MS06-040 Server 服务中的漏洞可能允许远程执行代码 (921883) http://www.microsoft.com/china/technet/security/bulletin/MS06-040.mspx 最近很多用户是这样的问题，请安装微软最新补丁来修复这个问题
华盟☆小敏初生襁褓狮帖子:824 注册: 2006-05-06 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT