SVCHOST.EXE 病毒求助
我们公司有4,5台机器同时中了这种病毒....svchost.exe程序出错 未知软件异常(0xc000409)位置为0x5fdda300 这是第1个对话框
generic host process for win32 servies 这是第2个对话框
虽然对话框不同...但是问题是一样的....都是无法上网..无法打开工作组计算机...只有重启才有用...不过重启后过段时间又不行了..还是不能上网
这个图下面的工作组 本来可以修改的.....现在成了灰色...不能修改了....
我重新装过系统,不过没什么用...问题依旧...用瑞星杀毒也杀不出来毒......
希望解决过这个问题的高手帮帮忙...先谢谢了......
PS:网上关于SVCHOST.EXE的病毒描述很清楚..不过解决方法就没怎么见过.. 问题二的现象有处理方法网上有很多,下面是查找到的,因为你末能贴出详细内容,所以不好判断确切的:
一、
现象:电脑经常自己无缘无故弹出对话框:Generic Host Process for Win32 Servies.目前所收集到的现象有:电脑没有声音、网卡不能正常工作、网络连接不能连接或断开等。
处理方法:
1、删除系统错误汇报
这个启动项的作用是用来向微软汇报错误的,大家在使用Windows XP或2003时,当遇到非法操作的时候,系统总会问你是否发送错误报告给微软,以便微软解决问题。实际上并没有什么坏处,但如果你想关闭它,可以进入“控制面板”,选择[系统]→[高级]→[错误报告],选择“禁用错误汇报”选项即可取消错误汇报,这样msconfig启动中相应的项也自动消失了。
2、 就是病毒。开机后会提示Generic Host Process for Win32 Services 遇到问题需要
关闭”“Remote Rrocedure Call (RPC)服务意外终止,然后就自动重起电脑。一般该病毒会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下建立msblast.exe键值,还会在c:\windows\system32目录下会放置一个msblast.exe的木马程,解决方案如下:
RPC漏洞
详细描述:
最近发现部分RPC在使用TCP/IP协议处理信息交换时不正确的处理畸形的消息导致存在一个安全漏洞。该漏洞影响使用RPC的DCOM接口,这个接口用来处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。如果攻击者成功利用了该漏洞将获得本地系统权限,他将可以在系统上运行任意命令,如安装程序、查看或更改、删除数据或者是建立系统管理员权限的帐户等.
已发现的一个攻击现象:
攻击者在用户注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下建立一个叫“msupdate”(估计有变化)的键,键值一般为msblast.exeC:\windows\system32目录下会放置一个msblast.exe的木马程序.
另外受攻击者会出现“Generic Host Process for Win32 Services 遇到问题需要关闭”“Remote Rrocedure Call (RPC)服务意外终止,Windows必须立即重新启动”等错误信息而重启。
3、 在"开始"菜单中打开"运行"窗口,在其中输入"regsvr32 actxprxy.dll",然后"确定",接着会出现一个信息对话 框"DllRegisterServer in actxprxy.dll succeeded",再次点击"确定"。
再次打开"运行"窗口,输入"regsvr32 shdocvw.dll
再次打开"运行"窗口,输入"regsvr32 oleaut32.dll
再次打开"运行"窗口,输入"regsvr32 actxprxy.dll
再次打开"运行"窗口,输入"regsvr32 mshtml.dll
再次打开"运行"窗口,输入"regsvr32 msjava.dll
再次打开"运行"窗口,输入"regsvr32 browseui.dll
再次打开"运行"窗口,输入"regsvr32 urlmon.dll
如果排除病毒问题后,做完上面的几个IE组件注册一般问题即可得到解决。
4、 如果电脑有打印机,还可能是因为打印机驱动安装错误,也会造成这个错误。解决方法如下:
重装打印机驱动程序。
一般情况下做到上面三步后,该问题即可得到全面解决。
5、如果以上方法都不行的话,请重新安装系统并装相应补丁。
补丁下载地址:(下面的地址请自行根据系统不同去官网下载)
Windows Server 2003, 32 位版本
Download the WindowsServer2003-KB894391-x86-enu.exe package now.
Windows Server 2003, Itanium 的版本
Download the WindowsServer2003-KB894391-ia64-enu.exe package now.
WindowsXP, 32 - 位版本
Download the WindowsXP-KB894391-x86-ENU.exe package now.
WindowsXP, 64 位版本 (Itanium)
Download the WindowsXP-KB894391-ia64-ENU.exe package now.
Windows 2000
Download the Windows2000-KB894391-x86-ENU.exe package now.
二、
重启进入安全模式(开机按f8)。
1. 打开注册表编辑器。点击开始>运行,输入regedit,按enter
2. 在左边的面板中,双击:hkey_local_machine>system>currentcontrolset>services
3. 仍然在左边的面板中,找到并删除如下键:“wgareg”魔波(worm.mocbot.a)、“wgavm ”魔波变种b(worm.mocbot.b)
恢复enabledcom和restrictanonymous注册表项目
1. 仍然在注册表编辑器中,在左边的面板中,双击: hkey_local_machine>software>microsoft>ole
2. 在右边的面板中,找到如下项目:ienabledcom = "n"
3. 右击该项目选择修改值为: enabledcom = "y"
删除关于管理共享的注册表项目
1. 在注册表编辑器中,在左边的面板中,双击:hkey_local_machine>system>currentcontrolset> services>lanmanserver>parameters
2. 在左边的面板中,找到并删除如下项目:
a. autosharewks = "dword:00000000"
b. autoshareserver = "dword:00000000"
3. 在注册表编辑器中,在左边的面板中,双击:hkey_local_machine>system>currentcontrolset> services>lanmanworkstation>parameters
4. 在左边的面板中,找到并删除如下项目:
a. autosharewks = "dword:00000000"
b. autoshareserver = "dword:00000000"
魔波(worm.mocbot.a,又称worm_ircbot.jl)删除添加或者修改的注册表项目
1. 在注册表编辑器中,在左边的面板中,双击:hkey_local_machine>software>microsoft>security center
2. 在右边的面板中,找到项目:o firewalldisablenotify = "dword:00000001" o antivirusoverride = "dword:00000001" o antivirusdisablenotify = "dword:00000001" o firewalldisableoverride = "dword:00000001"
3. 在左边的面板中,双击:hkey_local_machine>software>policies>microsoft>windowsfirewall>domainprofile
4. 在右边的面板中,找到项目:enablefirewall = "dword:00000000"
5. 在左边的面板中,双击:hkey_local_machine>software>policies>microsoft>windowsfirewall>standardprofile
魔波变种b(worm.mocbot.b,又称worm_ircbot.jk)删除添加或者修改的注册表项目:
1. 在注册表编辑器中,在左边的面板中,双击:hkey_local_machine>software>microsoft>security center
2. 在右边的面板中,找到并删除如下项目::
antivirusdisablenotify = "dword:00000001"
antivirusoverride = "dword:00000001"
firewalldisablenotify = "dword:00000001"
firewalldisableoverride = "dword:00000001"
3. 在左边的面板中,双击:hkey_local_machine>system>currentcontrolset>services>sharedaccess
4. 在右边的面板中,找到项目: start = "dword:00000004"
5. 右击该注册表项目,选择修改项目值为:start = "dword:00000002"
6. 在左边的面板中,双击:hkey_local_machine>software>policies>microsoft>windowsfirewall>domainprofile
7. 在右边的面板中,找到并删除如下项目:enablefirewall = "dword:00000000"
8. 在左边的面板中,双击:hkey_local_machine>software>policies>microsoft>windowsfirewall>standardprofile
9. 在右边的面板中,找到并删除如下项目:enablefirewall = "dword:00000000"
10. 关闭注册表编辑器
附加windows me/xp清除说明
运行windows me和xp的用户必须禁用系统还原,从而可以对受感染的系统进行全面扫描。运行其他windows版本的用户可以不需要处理上面的附加说明。
杀毒工具推荐:使用趋势科技防病毒产品扫描系统并删除所有被检测为魔波(worm.mocbot.a,又称worm_ircbot.jl)、魔波变种b(worm.mocbot.b,又称worm_ircbot.jk)的文件。趋势科技的用户必须在扫描系统之前下载最新病毒码文件。 饿 多谢斑竹回贴....
出现上面的图的症状就是.....
点开网上邻居....查看工作组计算机 这个项目打不开....
可以PING通对方的机器..就是打不开对方的机器..无法查看共享文件....只有电脑重启后才能打开对方的机器...过一段时间后又不能打开了......另外网也不能上了.......
有5台XP的机器...还有2台2003 SERVER 都是这种情况...... 刚又跳错了......郁闷 希望得到解决 :L: 好老的補丁你都沒打啊。。把補丁打齊全了就好 。。汗。。 一、检查KB894391补丁是否打上了;
二、请进入安全模式用最新更新的杀毒软件查杀病毒,只有知道道病毒名称才可以上网找专杀工具和解决办法;
三、上面我回复的两个检查处理方法你看过没有? 因为我也碰到工作组无法打开的现象 网络中一台主机SVCHOST.exe进程占用CPU很高
但是没有错误提示. XP的 KB894391 补丁打好了.....
不过2003的出现了错误.....
如图......
这个补丁我是从微软下的.....应该没问题...说 语言不对
[[i] 本帖最后由 ff201201 于 2007-11-23 11:25 编辑 [/i]]
页:
[1]
