mokotw


jusched – jusched.exe – 進程資訊

Posted in virus 由 mokotw 於 二月 17, 2007

進程文件: jusched 或者 jusched.exe
進程名稱: Sun Java Update Scheduler
進程名稱: jusched.exe是Sun Microsystem公司的Java2套裝相關進程,用於檢測Java的升級。

出品者: Sun Microsystems
屬於: Sun Java Update Scheduler

系統進程: 否
後台程式: 是
使用網路: 否
硬體相關: 否
常見錯誤: 未知N/A
內存使用: 未知N/A
安全等級 (0-5): 0
間諜軟體: 否
廣告軟體: 否
病毒: 否
木馬: 否

昨天安裝JAVA後,今天打開工作管理員發現了一個進程 jusched.exe,佔了2532K的內存

有何作用?
用於檢測Java的升級

如何移除?
去登陸檔裡面找這個鍵值

HKEY_LM\software\javasoft\java update \policy

把1改成0就OK了

uphclean.exe

Posted in virus 由 mokotw 於 二月 14, 2007

進程文件:uphclean或者uphclean.exe
進程名稱:User Profile Hive Cleanup Service
進程類別:存在安全風險的進風
英文描述:uphclean.exe is a process belonging to Microsofts User profile cleanup service. This program is non-essential process to the running of the system, but should not be terminated unless suspected to be causing problems.
中文參考:uphclean.exe是屬於microsofts用戶清理過程服務. 這個綱領現在非必要程序運行體制 但不應終止除非被懷疑是造成問題.
出品者:微軟公司
屬於:微軟視窗操作系統(Microsoft Windows Operating System)
系統進程:沒有
後台進程:沒有
使用網路:是
常見錯誤:N/A
內存使用:N/A
安全等級(0-5):0
間諜軟件:無
廣告軟件:無
病毒:無
木馬:沒有

pastisvc.exe

Posted in virus 由 mokotw 於 二月 14, 2007

進程文件:pastisvc.exe
進程名稱:pastisvc
描述:pastisvc.exe是攝像頭相關程 序的文件。
出品者:未知
屬於:未知
系統進程:否
後台進程:否
使用網路:否
硬件相關:否
常見錯誤:未知
內存使用:未知
安全等級:0
間諜軟件:否
廣告軟件:否
病毒:否
木馬:否

smss.exe

Posted in virus 由 mokotw 於 二月 14, 2007

smss.exe
進程文件:smss or smss.exe
進程名稱:Session Manager Subsystem
描述:該進程為會話管理子系統用以初始化系統變量,MS-DOS 驅動名稱類似 LPT1 以及 COM,調用 Win32 殼子系統和運行在Windows登陸過程。
Path: C:\WINDOWS\System\SMSS.EXE
Location: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

發生狀況:

去偵測我電腦裡面是否有木馬病毒
系統顯示說 smss.exe 這個有危險...
我後來上網找了 一下 說什麼是xp的漏洞...
---------------------
Windows又出了新漏洞,可以將任意用戶提升到SYSTEM級別的權限。
漏洞出在smss.exe中的DEBUG子系統,所有普通用戶都可以通過該
漏洞獲得對系統中任意進程或線程句柄的控製,從而可以以SYSTEM
或管理員權限執行任意命令。

解決方法:
STEP 1:

你先判斷是不是正常的 smss.exe

正常應該顯示--> smss.exe SYSTEM
可疑--> SMSS.EXE 使用者名稱

你看清楚 有無空格 SMSS(空隔).EXE 或 SMSS.(空隔)EXE
大多數木馬喜歡用類似系統進程名

你可以到開始=>執行 然後鍵入regedit然後到它的編輯==>尋找 輸入smss然後將相關的登入資料刪除


STEP 2:

木馬程式 smss.exe 清除方法:
說明:
這個木馬除了和一般的木馬程式一樣會建立自啟動項、關聯檔案外,它還會修改很多其它關聯,增加了木馬被啟動激活的機率,讓清除木馬的軟體均無法順利的清除成功。

清除方法如下:

1.結束工作管理員的 smss.exe 處理程序

2.刪除相關檔案:
C:\MSCONFIG.SYS
C:\Windows\1.com
C:\Windows\ExERoute.exe
C:\Windows\explorer.com
C:\Windows\finder.com
C:\Windows\smss.exe
C:\Windows\Debug\DebugProgram.exe
C:\WINDOWS\SYSTEM32\command.pif
C:\WINDOWS\SYSTEM32\dxdiag.com
C:\WINDOWS\SYSTEM32\finder.com
C:\WINDOWS\SYSTEM32\MSCONFIG.COM
C:\WINDOWS\SYSTEM32\regedit.com
C:\WINDOWS\SYSTEM32\rundll32.com
C:\Program Files\Internet Explorer\iexplore.com
C:\Program Files\Common Files\iexplore.pif

在D磁碟機按滑鼠右鍵,選擇“開啟”,刪除掉根目錄下的"Autorun.inf"和"command.com"檔案.

3.恢復EXE檔案關聯
在將上面所列出的檔案都刪除掉之後,所有的exe文件全都打不開了,執行cmd也不行,請到C:\Windows\system32 裏,把cmd.exe檔案複製出來,假設是複製到桌面,改檔案名稱成cmd.com,然後連續按兩下這個cmd.com檔案

進入到DOS下的命令提示字元,請輸入以下的命令:
assoc .exe=exefile (assoc與.exe之間有空格)
ftype exefile="%1" %*
這樣exe檔案就可以執行。

開啟 "登錄編輯程式" 刪除 [HKEY_CLASSES_ROOT\Windowsfiles]項目

4.刪除木馬啟動項目:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\smss.exe"

修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下
"shell"="Explorer.exe 1" 為 "shell"="Explorer.exe"

5.修改完成之後,重新開機即清除完成.

smss.exe (在 system32) 是 Windows NT session manager,
不能只刪掉, 要重新把正常的smss.exe補上

此檔容易被1.com和2.sys和3.xxx 破壞入侵

chewingserver.exe

Posted in virus 由 mokotw 於 二月 14, 2007

狀況
更改文件名稱…有時會卡住…打不出字來耶

解決方法

請將各個 dat 檔案
(ch_index.dat, dict.dat, fonetree.dat, ph_index.dat, us_freq.dat)
放到以下位置:
Windows XP: 放在 C:\Windows\System32\IME\Chewing
Windows 2000: 放在C:\WinNT\System32\IME\Chewing
Windows 98/ME: 放在 C:\Windows\System\IME\Chewing
按下鍵盤 Ctrl + Alt + Delete 叫出工作管理員,
查看「處理程序」中是否 ChewingServer.exe 在執行中,如果有此程式
請將他結束,則下次啟動新酷音將會重新載入新的詞庫

arcldrer.exe

Posted in virus 由 mokotw 於 七月 9, 2006

昨天瀏覽國內的pda網站時中了招。AVG狂說我中了PSW.Lengendmir.LM這毒,源頭來自C:目錄下的arcldrer.exe,我怎樣刪它也刪不去,轉個頭又走回出來。如是者不斷刪除、刪除、隔離、刪除、隔離……重覆十多廿次AVG才能把它隔離好。聽聞這東西是變種,會盜傳奇網絡遊戲的帳號,不過暫時並無確實資料。如果是的話反而好,對我沒關係。

相關資料及解毒方法:

它會在系統中產生底下幾個檔案
C:\Windows\inertinfo.exe
C:\Windows\d1lhost.exe →第一個1是數字~第二是小寫的L
C:\Windows\kerne132.dll →這個1是123的1~不是小寫英文的L
C:\Windows\use32.dll

還有一個會在C:\底下產生的檔案~目前不知是那一個程式所產生
但很肯定的是~它是在執行了gamaxx.hxx後所產生的
C:\arcldrer.exe

另外~在登錄檔裡
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
在以上二個地方新增d1lhost.exe機碼(第一個1是數字的1,第二個是小寫的L)

並會試著去中止底下的程序
IPARMOR.EXE
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
RavMon.exe
RavMonClass
天網防火牆個人版
Tapplication
天網防火牆企業版
ZoneAlarm
ZAFrameWnd
TfLockDownMain

解法:
1.開啟工作管理員,中止d1lhost.exe
 若有TSCHelp.exe的話,也一併中止
2.刪除C:\底下的arcldrer.exe(有的話)
 以及C:\Windows底下的inertinfo.exe、d1lhost.exe、kerne132.dll、use32.dll
3.將IE的暫存檔清空
 開啟IE/工具/網際網路選項/一般/刪除檔案
4.開啟登錄編輯程式(開始/執行,輸入regedit.exe)
 搜尋d1lhost.exe並刪除(沒意外的話,會有二處符合)
5.重新開機

資料來源:
1. 九藏貓窩
2. 私服聯盟

下載並釋放多個木馬程序,包括xiaran.dat、rundl132.exe、vDll.dll、svchqs.exe

Posted in virus 由 mokotw 於 七月 9, 2006

5月30日,老驢給我出個難題,見面第一句話「我的機子中標了,好像只針對.exe文件或uninstall,卡巴查出是Worm.Win32.Viking.i」,通過google給他找到了病毒的介紹和解決辦法,最後索性讓他把病毒文件發過來,在vm下自己分析了一下。本來想著是個別問題,結果發現這兩天網絡關於該病毒的消息越來越多,那就把我看到的一些東西跟大家分享一下吧。
一、病毒消息:
威金蠕蟲肆虐互聯網 九千用戶十餘企業遭攻擊[圖]
惡性病毒現身:穿透還原卡 殺死殺毒軟件
二、病毒症狀:
看了一些關於此病毒的症狀,不完全統計如下:
1、佔用大量網速,使機器使用變得極慢。
2、會捆綁所有的EXE文件,只要一運用應用程序,在winnt下的logo1.exe圖標就會相應變成應用程序圖標。

3、有時還會時而不時地彈出一些程序框,有時候應用程序一起動就出錯,有時候起動了就被強行退出。
4、網吧中只感梁win2k pro版,server版及XP系統都不感染。(嚴重表示懷疑!)
5、能繞過所有的還原軟件。
6、下載並釋放多個木馬程序,包括xiaran.dat、rundl132.exe、vDll.dll、svchqs.exe、svhost32.exe、rundll32.exe、dllz.dll、svchs0t.exe、C:\gamevir.txt、C:\1.txt 、C:\log.txt等等。
三、病毒分析:
根據病毒釋放出來的文件,感覺它應該是W32.Looked病毒的某個變種,在symantec的官方站點檢索一下,發現該病毒從2004年12月17日被發現,到最新變種被發現2006年5月29日,總計有7個變種,介紹如下:
http://securityresponse.symantec.com/avcenter/venc/data/w32.looked.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.looked.b.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.looked.c.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.looked.e.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.looked.f.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.looked.h.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.looked.i.html
通過對這幾個病毒介紹的分析,我們發現該病毒除在個別版本中有所變動外,基本特徵大體沒有太多變化,而病毒作者必然是國人沒錯。
接著來分析一下Symantec定義的各變種病毒爆發後的操作:
病毒簡介:該病毒是一個會從遠端服務器下載文件並感染.exe文件的蠕蟲病毒,它會降低安全防護的效能並通過網絡共享傳播自己。
感染系統:Windows 2000、Windows 95、Windows 98、Windows Me、Windows NT、Windows Server 2003、Windows XP
病毒行為(有些行為可能只在某個變種體現):
1、(部分變種)創建文件%Windir%\rundl132.exe (A copy of W32.Looked.I),注意這裡的文件名是rundl132.exe,不是rundll32.exe,%Windir%默認為C:\Windows或者C:\Winnt;
2、創建木馬程序%CurrentFolder%\vDll.dll (A copy of Download.Trojan),%CurrentFolder%表示病毒被初次執行時的目錄,我見到的基本都在%Windir%下;
3、(部分變種)從遠端服務器下載病毒程序到%Windir%\1.exe,並執行,有些變種下載的是zt.txt、zt.exe 、wow.txt 、wow.txt、mx.txt、mx.exe系列文件;
4、拷貝自身為%Windir%\Logo1_.exe;
5、在註冊表HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW下創建鍵值"auto" = “1″;
6、(部分變種)在註冊表HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\WIndows創建鍵值"load" = “%Windir%\rundl132.exe";
7、(部分變種)停止服務Kingsoft AntiVirus Service;
8、插入vDll.dll到IEXPLORE.EXE或EXPLORER.EXE
9、從磁盤C到Y檢索.exe文件並感染找到的文件,不會感染下列目錄中的.exe文件:
·system
·system32
·windows
·Documents and Settings
·System Volume Information
·Recycled
·winnt
·Program Files
·Windows NT
·WindowsUpdate
·Windows Media Player
·Outlook Express
·Internet Explorer
·ComPlus Applications
·NetMeeting
·Common Files
·Messenger
·Microsoft Office
·InstallShield Installation Information
·MSN
·Microsoft Frontpage
·Movie Maker
·MSN Gamin Zone
10、發送包含「Hello,World」字符串的ICMP包到192.168.0.30、192.168.8.1;
11、使用administrator和空口令嘗試打開任何對ICMP包響應的計算機的\\ipc$和\\admin$目錄;
12、拷貝自身到成功打開的共享目錄;
13、檢索成功打開的共享目錄,尋找並感染.exe文件;
14、(部分變種)嘗試結束下列進程:
·EGHOST.EXE
·IPARMOR.EXE
·KAVPFW.EXE
·KWatchUI.EXE
·MAILMON.EXE
·Ravmon.exe
·ZoneAlarm
15、(部分變種)在hosts文件(默認位置:%system%\drivers\etc,%system%默認為C:\WINDOWS\system32\或C:\Winnt\system32)中添加內容,內容主要是將防病毒網站指向到本級或指定IP。
AcOol PS:
我分析的「Worm.Win32.Viking.i」病毒只包含了以上的7、8個步驟。
四、病毒查殺:
1、專殺工具:
「威金(Worm.Viking)」病毒專殺工具1.0
「維金」病毒專殺工具v2006.6.8.13
2、手動查殺:
首先建議下在IceSword1.8,在IceSword中進行操作。
(1)在進程中找到並結束Logo1_.exe、rundl132.exe進程,未找到則直接跳過;
(2)找到並刪除%Windir%下的Logo1_.exe、rundl132.exe、vDll.dll文件,其中vDll.dll可能在其他目錄中,%Windir%默認為C:\Windows或者C:\Winnt。
(3)打開註冊表,索引到HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW,刪除auto鍵值;
(4)打開註冊表,索引到HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\WIndows,刪除load鍵值;
(5)打開%system%\drivers\etc下hosts文件,刪除「127.0.0.1 localhost」一行後所有內容;
(6)升級病毒定義庫,在安全模式下對全盤進行掃瞄。
五、補充說明:
根據這兩天看到的消息,該病毒可能出現了新的變種,捆綁了QQ尾巴病毒,因為從老驢那裡拿到的病毒體沒有這個內容,限於個人水平也無法徹底分析明白,轉述了「C.I.S.R.T 論壇」對各新變種的分析及解決辦法,匯總為「ViKing病毒專題」,大家可以根據自己的情況採取相應的查殺方式。
ViKing病毒專題:
http://coolersky.com/articles/index.asp?classid=412
六、參考:
·http://soft.yesky.com/security/42/2431542.shtml
·http://forum.ikaka.com/topic.asp?board=28&artid=8037807
·http://safebbs.it168.com/redirect.php?tid=8032&goto=lastpost
·http://www.simkz.com/cisrt/forumdisplay.php?fid=12
·http://coolersky.com/articles/virus/analyze/2006/0608/264.html

http://coolersky.com/articles/virus/prevention/2006/0606/254.html

阻止病毒Logo_1.exe局域網傳播

Posted in virus 由 mokotw 於 七月 9, 2006

現在看到中Logo_1.exe的人越來越多,也不忍心看了。

給大家簡單介紹下它傳播方法:
發出命令:Hello!World!判斷網絡通斷,然後就開始打開其他人的電腦的共享文件夾,修改這個共享文件夾中所有exe文件,如果那個電腦主人一運行~~~後果很嚴重。

[color=Blue]所以最近建議大家不要開共享,即使要開,這樣設置下:[/color]

[color=Red]Windows 2000這樣設置:[/color]
[img]http://mayafei.mm9mm.com/file/15548.jpg[/img]

[color=Red]Windows XP這樣設置:[/color]
[img]http://mayafei.mm9mm.com/file/15549.jpg[/img]

http://www.54master.com/bbs/archiver/tid-64837.html

vDll.dll

Posted in virus 由 mokotw 於 七月 9, 2006

Logo_1.exe & vDll.dll木馬全解決方案(包括被感染了木馬的應用程序)上周我中了這個木馬,簡直嚇死我了!看了☆網星☆的文章後,我簡直嚇得毛骨悚然,後來覺得沒必要格盤,因為Nothing is impossible!我研究了很久,終於發現了木馬及其病毒的特徵.木馬是什麼特徵☆網星☆的文章裡有,我沒必要重複了,這是殺毒方法:首先按照☆網星☆的方法,把windows文件夾中的rundl132.exe及vDll.dll(這個請在Dos裡面清除)清除掉,然後打開註冊表(開始 > 運行 > regedit),搜索rundl132.exe,刪除所有鍵值。但這並未意味著結束,因為如果他發作了,還有很漫長的殺毒之路!開始 > 搜索 > 文件名:_desktop.ini如果你電腦(每個盤)裡沒存在這個文件就結束了,如果存在就按以下方法清除被感染了木馬的應用程序中的木馬:兩種識別含有木馬的應用程序及文件夾的方法:1.先下載McAfee,把系統掃瞄一遍,然後記錄下這些被感染了New Win32的應用程序.2.在整個硬盤搜索_desktop.ini,然後記錄下這些文件夾.再下載UE(UltraEdit-32),依次打開打開這些文件(文件夾中文件),然後有三種辦法清除:[UE可以一次性打開多個文件]如果第一種找不到,就用第二種,第二種找不到,就用第三種..第一種(適合沒變種的):(菜單欄) > 搜索 > 查找裡面輸入:C3 00 B0 41 00 08 B0 41 00 8C B0 40 00 10 C0 41 00 00 00 00 00 00 00 00 00 0E 00 00 00 1E 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 02 00 00 00 B9 C7 02 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00然後把這個字段以上的文件全部清除(包括這段).第二種(適合變種的):(菜單欄) > 搜索 > 查找裡面輸入:4D 5A 90 00 03 00 00 00 04 00 00 00 FF FF 00 00 B8然後把這個字段以上的文件全部清除(不包括這段).第三種(適合變種不是很厲害的):(菜單欄) > 搜索 > 前往行號/頁輸入:0x69e0h然後把4D 5A以上的所有的東西全部清除.(不包括4D 5A)所有的文件都這樣處理下,再搜索整個電腦中的*.exe.bak,把這些文件全部刪除,以免以後引起殺毒軟件誤報.然後就大功告成了。最後說下,如果你電腦裡面被感染的文件很多,建議格盤!(什麼文件也不能留!)這種方法只適合於被木馬感染了較少的文件的朋友,如果較多,你願意也可以。PS:如果誰能看了我的麻煩方法後能寫個程序清除就好了………(I hope!):P解決方法視頻下載:[url]http://mayafei.mm9mm.com/TrojanDelete.rar[/url](剛剛錄的)

http://www.google.com.tw/search?hl=zh-TW&q=vDll.dll&btnG=Google+%E6%90%9C%E5%B0%8B&meta=
http://www.54master.com/bbs/archiver/tid-64837.html
http://coolersky.com/articles/virus/prevention/2006/0606/254.html

explore.exe和explorew.exe

Posted in virus 由 mokotw 於 七月 9, 2006

C:\Program Files\下多了explore.exe和explorew.exe两个文件!打开IE就自动关闭!是中毒了?该怎么解决,谢谢!

http://zhidao.baidu.com/question/9238813.html

後一頁 »