华新 - more info needed

more info needed

作者：SmellsLikeTeenSpirit (等级：11 - 出神入化，发帖：6371) 发表：2005-08-27 12:31:56　楼主　关注此帖

极度痛苦中,求助于各位大师本周一开始出现问题, 上网极慢.于是清除了所有在Temporary Internet File下的所有文件.在没有任何进展的情况下,于是怀疑中了毒, 用Trend MICRO Officescan 来扫描病毒, 结果是发现有一个好象是叫WORMS的病毒在C:\WINDOWS\SYSTEMS32\UPDATE_W.EXE, C:\PROGRAM FILES\ISS\ISSSENSORS\DESKTOPPROTECTION\IBE\IBETEMP 里, 可是Trend Micro officescan 说了杀不了.按照它的指示,要直接删除该病毒文件, 也无法找到这两文件. 于是用Symantec AntiVirus来扫描病毒,奇怪的事发生了, 扫描的结果是没有任何病毒,心存侥幸,天真地以为病毒没了,于是重新上网,网速极慢, 长时间的空白一片. 开始怀疑了,又用Trend MICRO Officescan 来扫描病毒,更奇怪的是,结果也是没有任何病毒. 可网速依旧的极慢.现在新发现, 以前经常上的网站的网速极慢,不常上的网站的网速似乎正常. 求助,叩谢了.

more info needed

search for a tool called Process Explorer (from sysinternals) and check if any suspicious processes are running

failing that, since malware are getting better everyday, search for a tool called rootkit revealer (downloadable from the same site) to check the culprit.

you might have to perform these steps in safe mode (f8)

War is peace.
Freedom is slavery.
Ignorance is strength.

欢迎来到华新中文网，踊跃发帖是支持我们的最好方法!原文 / 传统版 / WAP版所有回复从这里展开收起列表

作者：SmellsLikeTeenSpirit (等级：11 - 出神入化，发帖：6371) 发表：2005-08-30 16:52:23　 2楼

[登录后回复]

在留名的大作中提到：

some kernel mode rootkits can even hide from process explorer.

ya i agree

security is an endless game

欢迎来到华新中文网，踊跃发帖是支持我们的最好方法!原文 / 传统版 / WAP版所有回复从这里展开收起列表

作者：SmellsLikeTeenSpirit (等级：11 - 出神入化，发帖：6371) 发表：2005-09-01 09:47:18　 3楼

[登录后回复]

在 poi 的大作中提到：

恕在下实在是菜鸟,弱弱的请求具体地说明.如何search tool,如何进入safe mode. 感激涕淋.

sorry, no chinese input, but here are the steps

download [process explorer] and [rootkit revealer] from sysinternals.com

you shouldn't see any suspicious processes from tool 1. for diagnosis, you can copy and paste the list of processing running on your computer here.

for the second tool, you might need to run it in safe mode. to do that, reboot and press F8 and select Safe Mode.

for more information, refer to

http://research.microsoft.com/rootkit/

http://www.sysinternals.com/utilities/rootkitrevealer.html

欢迎来到华新中文网，踊跃发帖是支持我们的最好方法!原文 / 传统版 / WAP版所有回复从这里展开收起列表

作者：SmellsLikeTeenSpirit (等级：11 - 出神入化，发帖：6371) 发表：2005-09-02 00:18:12　 4楼

[登录后回复]

在 poi 的大作中提到：

感谢斑主大师.贴上用process explorer得到的processing runingProcess PID CPU Description Company Name System Idle Process 0 84.07 Interrupts n/a Hardware Interrupts DPCs n/a 0.88 Deferred Procedure Calls System 4 smss.exe 904 Windows NT Session Manager Microsoft Corporation csrss.exe 992 0.88 Client Server Runtime Process Microsoft Corporation winlogon.exe 1016 Windows NT Logon Application Microsoft Corporation services.exe 1060 1.77 Services and Controller app Microsoft Corporation ibmpmsvc.exe 1284 svchost.exe 1324 Generic Host Process for Win32 Services Microsoft Corporation 1XConfig.exe 3236 8021XConfig Module Intel wmiprvse.exe 232 WMI Microsoft Corporation svchost.exe 1416 Generic Host Process for Win32 Services Microsoft Corporation svchost.exe 1564 Generic Host Process for Win32 Services Microsoft Corporation wuauclt.exe 3816 Automatic Updates Microsoft Corporation EvtEng.exe 1668 EvtEng Module Intel Corporation S24EvMon.e (more...)

嗯,

只有这个比较特别, 看看能不能kill掉
BL515.EXE 1308

如果BL515不是问题所在, 那么可能就是你主贴里的 UPDATE_W.EXE, 确实是个worm

http://www.sophos.com/virusinfo/analyses/w32rbotew.html

还有你怎么同时有norton AV 和 trend micro? 一般来说 ,只能运行其中一个

欢迎来到华新中文网，踊跃发帖是支持我们的最好方法!原文 / 传统版 / WAP版所有回复从这里展开收起列表

作者：SmellsLikeTeenSpirit (等级：11 - 出神入化，发帖：6371) 发表：2005-09-02 22:21:29　 5楼

[登录后回复]

在 poi 的大作中提到：

哈哈,系统好象恢复正常了也.太棒了,以前常去的网站都恢复到以前的网速了.终于可以不用忍受长时间的空白页面了. 真的太谢谢斑主大师了.

hehe, 其实到底是哪一步解决了问题?

欢迎来到华新中文网，踊跃发帖是支持我们的最好方法!原文 / 传统版 / WAP版所有回复从这里展开收起列表

作者：SmellsLikeTeenSpirit (等级：11 - 出神入化，发帖：6371) 发表：2005-09-03 13:22:14　 6楼

[登录后回复]

在 poi 的大作中提到：

不太清楚.好象是kill掉BL515.EXE 1308 .目前一切正常.

cool