|
|
 |
|
|
| 1. 一个CPU占用很高的进程 |
  |
|
 |
|
HP : 0 / 37
MP : 4 / 555
EXP : 50%
|
|
初涉江湖
成员等级: 2
发表总数: 14
金币总数: 28
所属组别: 普通成员
注册日期: 2003/12/24
|
新安装的XP,每次启动时有个“sysconf”的进程CPU使用率极高,机器运行速度变慢,终止后一切恢复正常。有谁知道是什么东西吗? |
|
|
|
| 2. Re:一个CPU占用很高的进程 |
|
|
 |
|
HP : 0 / 498
MP : 171 / 7578
EXP : 94%
|
|
名动江湖
成员等级: 20
发表总数: 515
金币总数: 372
所属组别: 高级成员
注册日期: 2003/10/29
|
Agobot家族病毒资料整理
提供相关程序:
ZoneAlarm个人防火墙
提供相关补丁:
Q810833_W2K_SP4_X86_CN.exe
Windows2000-KB823980-x86-CHS.exe
病毒名:WORM_AGOBOT.SY
毒霸命名:
病毒大小:258,048 Bytes (uncompressed) 86,528 Bytes (compressed)
受影响系统:Windows NT, 2000, XP
技术特点:
1.该蠕虫自身upx压缩
2.在Windows系统文件夹中生成一份名为sysconf.exe的自身拷贝
(注意: Windows 2000和NT的系统文件夹在C:WINNTSystem32,Windows XP的系统文件夹在C:WindowsSystem32)
3.为使自身可以在每次系统启动时自动运行,病毒添加如下的注册表项目:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRun
Video Process = "sysconf.exe"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRunServices
Video Process = "sysconf.exe"
4.会终止一些反病毒软件以及防火墙的进程
5.禁止用户访问反病毒网站。
为了阻止用户下载反病毒更新文件,该蠕虫会修改含有主机名对IP地址映射的HOSTS文件并将主机的ip地址指向127.0.0.1
阻止用户访问如下的网站:
avp.com
ca.com
customer.symantec.com
dispatch.mcafee.com
download.mcafee.com
f-secure.com
kaspersky.com
liveupdate.symantec.com
liveupdate.symantecliveupdate.com
mast.mcafee.com
mcafee.com
my-etrust.com
nai.com
networkassociates.com
rads.mcafee.com
secure.nai.com
securityresponse.symantec.com
sophos.com
symantec.com
trendmicro.com
update.symantec.com
updates.symantec.com
us.mcafee.com
viruslist.com
www.avp.com
www.ca.com
www.f-secure.com
www.kaspersky.com
www.mcafee.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.com
解决办法:
终止恶意程序
这个步骤中终止正在内存中运行的恶意程序进程。
打开windows任务管理器。
在windows95/98/ME系统中, 按
CTRL+ALT+DELETE
在 Windows NT/2000/XP 系统中, 按
CTRL+SHIFT+ESC, 然后点击进程选项卡。
在运行程序列表中,找到先前检测到的恶意文件。
选择恶意程序进程,然后点击结束任务或结束进程按钮(取决于windows的版本)。
按照上述步骤终止运行程序列表中的其他恶意文件。
为了检查恶意程序是否被终止,关掉任务管理器,然后再打开。
关掉任务管理器。
*注意: 在运行windows95/98/ME的系统中,任务管理器可能不会显示某一进程。可以使用其他进程查看器来终止恶意程序进程。
删除注册表中的自启动项目
从注册表中删除自动运行项目来阻止恶意程序在启动时执行。
打开注册表编辑器。点击开始>运行,输入REGEDIT,按Enter
在左边的面板中,双击:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
在右边的面板中,找到并删除如下项目:
Video Process = "sysconf.exe"
在左边的面板中,双击:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>
CurrentVersion>RunServices
在右边的面板中,找到并删除如下项目:
Video Process = "sysconf.exe"
关闭注册表编辑器
注意:如果不能按照上述步骤终止在内存中运行的恶意进程,请重启系统。
修复蠕虫破坏的HOSTS文件:
1.用记事本打开%System%driversetcHOSTS
2.删除以下内容:
127.0.0.1 www.trendmicro.com
127.0.0.1 trendmicro.com
127.0.0.1 rads.mcafee.com
127.0.0.1 customer.symantec.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 updates.symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 www.nai.com
127.0.0.1 nai.com
127.0.0.1 secure.nai.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 my-etrust.com
127.0.0.1 mast.mcafee.com
127.0.0.1 ca.com
127.0.0.1 www.ca.com
127.0.0.1 networkassociates.com
127.0.0.1 www.networkassociates.com
127.0.0.1 avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 kaspersky.com
127.0.0.1 www.f-secure.com
127.0.0.1 f-secure.com
127.0.0.1 viruslist.com
127.0.0.1 www.viruslist.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mcafee.com
127.0.0.1 www.mcafee.com
127.0.0.1 sophos.com
127.0.0.1 www.sophos.com
127.0.0.1 symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 www.symantec.com
3.保存HOSTS文件并关闭
(注意:%System%是windows系统文件夹, 即C:WindowsSystem或C:WINNTSystem32)
打上相应的补丁
Microsoft Security Bulletin MS03-026
Microsoft Security Bulletin MS03-001
Microsoft Security Bulletin MS03-007
天地为炉兮,造化为工,阴阳为炭兮,万物为铜。 |
|
|
|
| 3. Re:一个CPU占用很高的进程 |
|
|
|
|
|
HP : 0 / 498
MP : 171 / 7578
EXP : 94%
|
|
名动江湖
成员等级: 20
发表总数: 515
金币总数: 372
所属组别: 高级成员
注册日期: 2003/10/29
|
google 一下 先 ~~ 最好的老师 
天地为炉兮,造化为工,阴阳为炭兮,万物为铜。 |
|
|
|
| 4. Re:一个CPU占用很高的进程 |
|
|
|
|
|
HP : 0 / 37
MP : 4 / 555
EXP : 50%
|
|
初涉江湖
成员等级: 2
发表总数: 14
金币总数: 28
所属组别: 普通成员
注册日期: 2003/12/24
|
多谢哥们,晓得怎么回事了 |
|
|
