首页 ┆ 文章中心 ┆ 下载中心 ┆ 娱乐八卦 ┆ 本站论坛 ┆ 拜仁联盟 ┆ 球迷社区 ┆ 博客日志 ┆ 建站服务 ┆ 域名抢注 ┆ 繁體中文

载入中…

设为首页

加入收藏

联系我们

E-mail:WebMaster#fcbu.com

\|	源码下载 \| 工具下载 \| 素材下载 \| 教程下载 \| ASP 源码 \| PHP 源码 \| JSP 源码 \| ASP 教程 \| .NET教程 \| PHP 教程 \| 服务器教程 \|
\|	网络资讯 \| 网站运营 \| 网页制作 \| 数据库 \| 网络编程 \| 图象媒体 \| 操作系统 \| 网络应用 \| 软件教学 \| 火爆影视 \| 五花八门\|
\|	电脑医院 \| 系统攻略 \| 网管技术 \| 电脑硬件 \| 软件天地 \| 网络知识 \| 网页制作 \| 编程讨论 \| 综合问题 \| 职场生涯 \| 数码手机\|

载入中…

当前位置:站长天下 -> 电脑医院 -> 关于services.exe意外终止情况,大家帮忙看看!

关于services.exe意外终止情况,大家帮忙看看!

作者：TTXS(Fcbu.Com)　　来源：互联网　　发表时间：2006-06-23　　

看看下面的这种情况是怎么回事？“三波”的补丁都打了,不管用!不会上传图片啊，把内容写一下吧：
系统处理程序：c:\winnt\system32\services.exe出乎意料的终止，状态码为128，系统现将关机，并重新启动。
然后就是倒计时60秒关机，大家帮帮忙看看怎么解决！顶上去！手工清除病毒方法：
手动杀毒办法：

1、在任务管理器里面结束botzor.exe进程
2、运行REGEDIT，打开注册表编辑器，删除病毒在注册表中添加的启动项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
WINDOWS SYSTEM = botzor.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
WINDOWS SYSTEM = botzor.exe

3、将病毒在系统目录下创建botzor.exe文件删除,大小为22528字节。
专杀工具: 

点击浏览该文件
8月15日,金山反病毒应急处理中心截获一个针对微软系统严重漏洞进行主动攻击的病毒，并命名为Zotob(Worm.Zotob.A)。金山的反病毒专家说，Zotob病毒利用漏洞主动传播，对于个人电脑的危害非常大，其危害程度与当年的震荡波相似，一旦被攻击，用户的电脑将会出现不断重启、系统不稳定等情况。病毒作者叫嚣杀掉这个病毒的杀毒软件将于24小时内被剿杀！
Zotob利用5天前微软刚刚公布的严重系统漏洞，Windows Plug and Play 服务漏洞 (MS05-039)，攻击TCP端口445，和冲击波、震荡波方法类似，攻击代码向目标系统的445端口发送漏洞代码，使目标系统造成缓冲区溢出，同时运行病毒代码，进行传播。
　　病毒攻击目标系统时，可能造成系统不断重启（如图示），与震荡波、冲击波发作的时候类似，只不过在Zotob影响的进程变了，变为系统关键进程“Service.exe”， Zotob其实是Mytob的最新变种。Mytob是前一阵大肆泛滥的邮件病毒。此次变种，更是加入了5天前才公布漏洞补丁的系统严重漏洞（Windows Plug and Play 服务漏洞 (MS05-039) ）进行主动攻击，使其大大提高了病毒传播的广度。因此，Zotob除了利用漏洞攻击外，还具有邮件传播、自动下载新病毒等等这些与邮件病毒所具有的危害，使中毒用户遭受打击。

病毒运行后，将在系统目录下创建botzor.exe文件,大小为22528字节。在注册表中添加下列启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] WINDOWS SYSTEM = botzor.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] WINDOWS SYSTEM = botzor.exe

这样，在Windows启动时，病毒就可以自动执行。

“极速波”病毒通过TCP端口8080连接IRC服务器，接受并执行黑客命令。可导致被感染计算机被黑客完全控制。并在TCP端口33333开启FTP服务，提供病毒文件下载功能。利用微软即插即用服务远程代码执行漏洞（MS05-039）进行传播。如果漏洞利用代码成功运行，将导致远程目标计算机从当前被感染计算机的FTP服务上下载病毒程序。如果漏洞代码没有成功运行，未打补丁的远程计算机可能会出现services.exe进程崩溃的现象。？t咊
该病毒的危害还在于，病毒会修改%SystemDir%\drivers\etc\hosts文件，屏蔽大量国外反病毒和安全厂商的网址。并对反病毒厂商提出公开挑战：第一个发现的反病毒软件将在24小时内遭到“剿杀”。（MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!）
关于MS05-039:
Microsoft Windows即插即用缓冲区溢出漏洞（MS05-039）
影响系统：
Microsoft Windows XP SP2
Microsoft Windows XP SP1
Microsoft Windows Server 2003 SP1？
Microsoft Windows Server 2003
Microsoft Windows 2000SP4
Microsoft Windows即插即用（PnP）功能允许操作系统在安装新硬件时能够检测到这些设备。
Microsoft Windows即插即用功能中存在缓冲区溢出漏洞，成功利用这个漏洞的攻击者可以完全控制受影响的系统。

起因是PnP服务处理包含有过多数据的畸形消息的方式。在Windows 2000上，匿名用户可以通过发送特制消息来利用这个漏洞；在Windows XP Service Pack 1上，只有通过认证的用户才能发送恶意消息；在Windows XP Service Pack 2和Windows Server 2003上，攻击者必需本地登陆到系统然后运行特制的应用程序才能利用这个漏洞。
该代码危害极大,可以远程获得计算机的全部权限而该电脑只要连接到INTELNET或者局域网内即可,还可以制作Zotob类似病毒,请勿使用该代码从事非法活动!
注意如果不采取防护措施,即使什么都没有做也会中毒同震荡波一样!
提醒大家升级杀毒软件,及时打好系统补丁
该代码危害极大,可以远程获得计算机的全部权限而该电脑只要连接到INTELNET或者局域网内即可,还可以制作Zotob类似病毒,请勿使用该代码从事非法活动!
注意如果不采取防护措施,即使什么都没有做也会中毒同震荡波一样!

先锋提醒大家升级杀毒软件,及时打好系统补丁
厂商补丁：
Microsoft

Microsoft已经为此发布了一个安全公告（MS05-039）以及相应补丁:
MS05-039：Vulnerability in Plug and Play Could Allow Remote Code Execution and Elevation of Privilege (899588)
链接：http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx？pf=true
补丁下载：
Microsoft Windows 2000 Service Pack 4 – 下载更新：
http://www.microsoft.com/downloads/details.aspx？displaylang=zh-cn&FamilyID=E39A3D96-1C37-47D2-82EF-0AC89905C88F
Microsoft Windows XP Service Pack 1和Microsoft Windows XP Service Pack 2 – 下载更新：
http://www.microsoft.com/downloads/details.aspx？displaylang=zh-cn&FamilyID=9A3BFBDD-62EA-4DB2-88D2-415E095E207F
病毒分析报告.

病毒评估
1．病毒英文名：Worm.Zotob
2．病毒类型：蠕虫病毒 �
3．病毒危险等级：★★★☆
4．病毒传播途径：网络
5．病毒依赖系统：WIN 2000/XP/2003
二、病毒破坏
1．造成系统频繁重启
当病毒攻击失败的时候，会造成系统频繁重启。

2、给系统开设后门
3、修改系统文件，使用户的杀毒软件不能升级。
三、技术分析
一旦执行,病毒将执行以下操作:
1. 病毒启动后，会将自己复制到系统目录中，病毒文件名为“botzor.exe”。

2、在注册表中添加下列启动项：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
WINDOWS SYSTEM = botzor.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\RunServices
WINDOWS SYSTEM = botzor.exe; 
3、在感染的时候，病毒利用IP扫描的方式在网络中寻找具有漏洞的系统，发现后就会对系统进行攻击，连接系统的445端口，并植入系统中一个远程SHELL，此远程SHELL释放一个文件 2PAC.TXT，此文件中包含有一段FTP命令脚本，功能是利用FTP从远程将病毒文件下载到本地。
4、如果攻击失败，则造成系统重启。
5、修改系统的host文件，添加如下内容：
Botzor2005 Made By .... Greetz to good friend Coder. Based On HellBot3
MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!! 
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com 
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.amazon.com
127.0.0.1 www.amazon.co.uk
127.0.0.1 www.amazon.ca
127.0.0.1 www.amazon.fr
127.0.0.1 www.paypal.com
127.0.0.1 paypal.com
127.0.0.1 moneybookers.com
127.0.0.1 www.moneybookers.com
127.0.0.1 www.ebay.com
127.0.0.1 ebay.com
造成用户不能访问上述网站，使相关杀毒软件不能升级。
狙击波去百度里面搜 ms05039这个补丁哇讲的好详细啊支持一下已经打上狙击波的补丁了，怎么还倒计时重启啊？好详细。先顶了我的也是这样，但根本没有那个进程，怎么办我的机器也和楼主的机器一样啊!!命苦啊!555555555
我按着3楼的朋友所说的去做了,可是没有找到那个进程,用专杀软件查杀,也没有查出病毒啊!我该怎么办啊？？？？？还请高人再次指点迷津啊!!!!!:(

打印本文　

返回顶部　

加入收藏　

关闭窗口

广告位招租

上一篇：谁能帮助我？

下一篇：求救:中毒了,.请帮我看一下我的扫描.应该怎样修复呢,谢谢

关于本站 - 网站帮助 - 广告合作 - 下载声明 - 友情连接 - 网站地图 - 管理登录
联系方式