问题少年 发表于 2007-4-19 00:50

进程问题

59439229.exe这个是什么进程来的?好不顺眼!又百度不到这个东东

powerwind 发表于 2007-4-19 01:13

好像前面数字是我的QQ号码


摆明和系统无关的,是病毒的可能很大

问题少年 发表于 2007-4-19 10:44

删除不了啊,重启之后也会出现

powerwind 发表于 2007-4-19 11:06

首先用杀毒软件查杀,其次手工删除,如果删除不了,用一个叫unlocker的小软件来删,如果删除了重启后还会出现,只能说明删除不彻底。

如果彻底似乎很高深,因为都不知道那个是什么病毒来的,放在哪里也不清楚,自己不择手段地赶尽杀绝吧

问题少年 发表于 2007-4-19 12:26

重启之后在c盘可以找到它,不过结束了进程了之后它就消失了,而且连注册表里都找不到相关的东西出来

kyd 发表于 2007-4-19 12:30

搭问~

icwx25b.dun 唔知点搞佢...

vball 发表于 2007-4-19 13:10

可能是存在守护进程,把除了系统以外的进程全部关掉,然后一个一个查看进程路径。确定启动进程的程序文件。然后据此判断是否是病毒程序。

确定以后在安全模式下删除,清理注册表。

游魂 发表于 2007-4-19 13:44

8位字母数字.EXE 病毒
【CISRT2006058】IMKILL变种之一 随机8位字母数字.exe 解决方案

档案编号:CISRT2006058
病毒名称:Trojan-Downloader.Win32.Adload.ho(Kaspersky)
病毒别名:
病毒大小:15,384 字节
加壳方式:PE_Patch UPack
样本MD5:4134e4700f51e6ef39667729a514b74a
样本SHA1:8ae7e75950db8f35ba9418cd5e17f3cca9c416d7
发现时间:2006.10
更新时间:2006.10
关联病毒:
传播方式:通过恶意网页传播、其它木马下载


技术分析
==========

病毒文件里有很多代码和以前的IMKILL类似,怀疑是IMKILL的变种,不过破坏性要比以前小很多。

病毒主程序文件名由随机的8位字母和数字组成,主程序运行后复制自己到系统目录,并创建一个副本,文件名为:
%system%\{8位字母数字}.EXE
%system%\{8位字母数字}T.EXE

释放出一个同名DLL文件%system%\{8位字母数字}.DLL注入Explorer.exe和Winlogon.exe进程。

另生成delme.bat删除原文件:
@echo off
:selfkill
attrib -a -r -s -h "原文件"
del "原文件"
if exist "原文件" goto selfkill
del %0

创建服务随系统启动:

显示名:{8位字母数字}
描述:为系统提供加速启动功能。
可执行文件的路径:%system%\{8位字母数字}.EXE -service


清除步骤
==========

1. 删除病毒EXE文件:
%system%\{8位字母数字}.EXE
%system%\{8位字母数字}T.EXE

2. 移动病毒DLL文件:
%system%\{8位字母数字}.DLL
将%system%\{8位字母数字}.DLL移动到其它目录

3. 重新启动计算机

4. 删除移动到其它目录下的%system%\{8位字母数字}.DLL

5. 删除病毒创建的服务项:




注:这里以{8位字母数字}来表示病毒文件名,以上出现的{8位字母数字}代指病毒主程序文件名中的8位随机字母数字。比如病毒文件名是E5F4524A.EXE,那么服务就是对应的。

kkcute 发表于 2007-4-19 13:49

游魂 发表于 2007-4-19 13:53

原帖由 kyd 于 2007-4-19 12:30 发表
icwx25b.dun 唔知点搞佢...
关于icwx25b.dun病毒的手工查杀方法!
http://bbs.2dai.com/blog.php?tid=479501&starttime=1167580800&endtime=1170259200

dasonch 发表于 2007-4-19 15:33

又见病毒`~~

问题少年 发表于 2007-4-19 15:37

2. 移动病毒DLL文件:
%system%\{8位字母数字}.DLL
将%system%\{8位字母数字}.DLL移动到其它目录
没有这个东西啊

kyd 发表于 2007-4-19 16:29

原帖由 游魂 于 2007-4-19 13:53 发表

关于icwx25b.dun病毒的手工查杀方法!
http://bbs.2dai.com/blog.php?tid ... ;endtime=1170259200
ICESWORD

kyd 发表于 2007-4-19 16:40

开启ICESWORD,禁止进程创建,接着结束所有的icwx25b.dun进程,然后把C:\program files\Internet Explorer\iexplore.exe.tmp删掉,再把C:\program files\Internet Explorer\Connection Wizard\icwx25b.dun删掉!

有冇人知道尼步点做??

游魂 发表于 2007-4-19 17:29

原帖由 kyd 于 2007-4-19 16:40 发表
开启ICESWORD,禁止进程创建,接着结束所有的icwx25b.dun进程,然后把C:\program files\Internet Explorer\iexplore.exe.tmp删掉,再把C:\program files\Internet Explorer\Connection Wizard\icwx25b.dun删掉! ...
冰刃有2M,上传不了..费事分卷上传了...
到非凡下载吧..
http://www.crsky.com/soft/6947.html


打开冰刃,文件---设置,就可以看到禁止线进程创建了

游魂 发表于 2007-4-19 17:34

原帖由 问题少年 于 2007-4-19 15:37 发表
2. 移动病毒DLL文件:
%system%\{8位字母数字}.DLL
将%system%\{8位字母数字}.DLL移动到其它目录
没有这个东西啊
搜索一下吧,包括隐藏的文件

5bb8ac0dc6450de 发表于 2007-4-19 23:37

报告 截杀不遂~

xyh123 发表于 2007-4-19 23:53

路过,学习学习~

subomaoming 发表于 2007-4-21 12:50

楼主,是女生吗?是女生我上门帮你搞定!
是男生的话,用sreng扫日记贴上来,提供解决办法……
哈哈[前提是那个病毒凭我的能力可以解决的话,真的解决不来我就没办法了,重装吧]

(-.-)游謉 发表于 2007-4-21 14:50

ls那麽的直接現實
页: [1] 2
查看完整版本: 进程问题