电脑内存被蚕食,求救求救,高手请进来帮帮忙!
病毒还是木马????电脑出现奇怪的现象,开机以后不使用任何程序,内存被一点一点的蚕食,就是说在windows任务管理器中,内存使用那一栏显示的数字自己不断的增长xxxxxx/629964K,前面的数字不断的长,直至弹出对话框提示系统虚拟内存空间不足,然后就无法运行任何程序了,因为没有内存空间了,这个蚕食的过程到实不快,如果什么都不用大概要用30分钟左右。进程已经调整到无法再减的地步了,还是搞不懂到底是怎么了,用的kapa一直正常,也没有报病毒。怀疑是木马,可是用HijackThis也没有找到。
求救,求救,高手帮帮忙!!
这里是我用HijackThis备份下来的进程目录。
Logfile of HijackThis v1.99.1
Scan saved at 03:14:19, on 07.06.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
E:\WINNT\System32\smss.exe
E:\WINNT\system32\csrss.exe
E:\WINNT\system32\winlogon.exe
E:\WINNT\system32\services.exe
E:\WINNT\system32\lsass.exe
E:\WINNT\system32\svchost.exe
E:\WINNT\System32\svchost.exe
E:\WINNT\system32\spoolsv.exe
E:\WINNT\System32\msdtc.exe
E:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
E:\WINNT\SYSTEM32\RUNDLL32.EXE
E:\WINNT\Explorer.exe
E:\WINNT\system32\nvsvc32.exe
E:\WINNT\system32\MSTask.exe
E:\WINNT\system32\tcpsvcs.exe
E:\WINNT\System32\snmp.exe
E:\WINNT\System32\WBEM\WinMgmt.exe
E:\WINNT\system32\MsPMSPSv.exe
E:\WINNT\system32\svchost.exe
E:\WINNT\System32\dmadmin.exe
E:\WINNT\system32\RUNDLL32.EXE
E:\WINNT\LSASS.exe
E:\Program Files\NetLimiter\NetLimiter.exe
E:\WINNT\system32\ctfmon.exe
E:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
E:\WINNT\SMSS.EXE
E:\Program Files\Java\jre1.5.0\bin\jusched.exe
E:\Program Files\Java\jre1.5.0\bin\jucheck.exe
E:\WINNT\system32\taskmgr.exe
E:\Program Files\Internet Explorer\IEXPLORE.EXE
E:\Documents and Settings\XuNa\桌面\HijackThis.exe
F2 - REG:system.ini: Shell=Explorer.exe 1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - e:\program files\google\googletoolbar2.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - E:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: mobsync.exe /logon
O4 - HKLM\..\Run: "E:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: E:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: "E:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: E:\Program Files\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: E:\Program Files\Outlook Express\winlass.exe
O4 - HKLM\..\Run: RUNDLL32.EXE E:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: "D:\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: E:\WINNT\LSASS.exe
O4 - HKLM\..\Run: E:\WINNT\SMSS.EXE
O4 - HKLM\..\Run: E:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKCU\..\Run: ctfmon.exe
O4 - HKCU\..\Run: RUNDLL32.EXE E:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: 使用CyberArticle保存当前网页... - E:\Program Files\CyberArticle\script\save.htm
O8 - Extra context menu item: 使用CyberArticle保存更多内容... - E:\Program Files\CyberArticle\script\savex.htm
O8 - Extra context menu item: 使用CyberArticle保存网页选中部分... - E:\Program Files\CyberArticle\script\savesel.htm
O8 - Extra context menu item: 使用影音传送带下载 - E:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: 使用影音传送带下载全部链接 - E:\Program Files\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java ????ì¨ - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{AC8A2047-FA40-42D9-A404-302C7C350BE5}: NameServer = xxx.xx.xxx.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{DD159F58-1EC1-4EAE-9FD7-AFEB1E4D1135}: NameServer = xxx.xx.xxx.1,xxx.xxx.x.x
O18 - Protocol: Festoon - (no CLSID) - (no file)
O18 - Protocol: vskype - (no CLSID) - (no file)
O20 - Winlogon Notify: NavLogon - E:\WINNT\system32\NavLogon.dll
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - E:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - D:\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - E:\WINNT\system32\nvsvc32.exe Format your Hand-disk and reinstall OS now!
I think ..your computer have virus
PS:back up your data! 应该是中蠕虫病毒了 非常感谢楼上兄弟们的回复,我已经找到原因了,就是一个木马程序,具体的恢复方法在这里
http://www.fuckadmin.com/blog/article.asp?id=250
这是在网上找到的恢复方法,具体这个木马危害性还有多大,我没有更深的体会,不过这个木马应当听厉害的,能够逃避kapa,木马软件我都试了,对此木马没有检测出来的。只有手动恢复了,大家上外网的时候还是多家小心吧,一旦发现在进程中出现LSASS.exe,注意是小写的exe,而且是链接到E:\winnt\lsass.exe而不是e:\winnt\system32\lsass.exe,一定是有此木马,也希望能有高手找到这个木马的破解软件。手动太麻烦了。;) HijackThis里清除掉 O4 - HKLM\..\Run: E:\WINNT\LSASS.exe ,重启动就可以了。
HijackThis很不错,系统运行状况一目了然,包括你机子上运行的两个lsass,呵呵,就是它自己不能告诉你系统出问题,只能给个系统状况报告。
我中过一次灰鸽子木马,好在防火墙拦住了它通过IE对外发数据的请求,然后用HijackThis发现原因并杀掉了它伪装的系统服务。只是迄今不是很确定感染过程,猜测是利用媒体播放器漏洞,将病毒植入视频文件里,利用诸如缓冲溢出之类的技术在系统中塞进木马。所以防火墙还是需要的,特别是当前木马泛滥的时候。
灰鸽子木马等的设计越来越智能,操作越来越傻瓜,危害太大。现在的计算机安全实在是脆弱。 gaga高手,谢谢你的信息,不过我就是用了你推荐的hijackThis来清除这个木马的,可是是不起作用的,在重新启动以后还是自己会回来的,我也将winnt下面隐藏的lsass.exe,exert.dex删除了,他还是会出来,最后只好按他所给的解决办法,一点一点改过来才可以,中间我也试了许多别的软件,超级兔子,冰刃,eiwos什么的,都不能彻底删除,每次重启死而复生,这个东西却视挺强的,这个木马他说是叫传奇木马,我也没有查证是否是这个名字,不过我是挺佩服修改这个木马的人。我觉得可能也是因为前几天看mission impossibel3,达芬奇染上的,再看的同时realplayer开了不少连接,真是防不胜防,不知gaga高手对于这个realplayer连接问题除了用防火墙有没有什么解决办法?谢谢了。我现在是用暴风影音来看rmvb的东西了,不过还是能打开一些ie连接的网站的。 呵呵,我也不是高手,不过就是用电脑的经验多一些而已。
你说的木马删除后重启动机子会恢复,可以找一下HijackThis列出的系统启动项目。我没有完全分析你的HijackThis的log不过这两个东西都是在启动时候加载的:
O4 - HKLM\..\Run: E:\WINNT\LSASS.exe
O4 - HKLM\..\Run: E:\WINNT\SMSS.EXE
这两个程序的官方位置都应该在system32目录下(直接google搜进程名,有一堆该文件的正确描述)。而你的机子,看起来它们俩都是外来的伪装程序,可能要把两个文件都删掉,不然它们互相会保护。当然可能还有其他的启动项,你得一个一个去检查它们是否合法。需要检查的是RUN项目,Service项目和BHO(如果你习惯用IE的话)。
防火墙很必要,因为木马程序和普通网络程序太难区分。它们都有从本机向外发送数据的特性,光是防毒软件没有办法智能到可以区分这些程序。而防火墙可以让你了解到什么东西在活动。我用的是早期的sygate(现在好像被norton买去了)的防火墙。它的提示多一些,比如即使你将IE设定成永远可以访问网络,当外部程序(比如木马,或者QQ等)调用IE来访问网络的时候,它仍然会给出一个特定的‘外部程序调用性质‘的网络访问警告。我也就是觉得奇怪才发现机子已经中了木马。
木马是没有办法完全防止被感染的,因为即使你每天都给系统打补丁,可是有太多应用程序的漏洞也可能会被木马利用,防不胜防。能做的就是尽快通过防火墙发现它,因为它必定要向外面发数据,而这个现象只有一个设置正确的防火墙能捕捉到。
有人建议过一个方法,就是系统安装好了以后,创建一个受限账号,日常工作只用受限账号来进行。管理员权限账号仅仅做一些必要的系统维护工作。这样可以很大程度上限制各种木马病毒对系统的修改和感染。 厉害厉害,不过编的还不是完美,试想如果你的内存没有异常,你会怀疑中木马了么?
现在,真是道高一尺,魔高一丈阿
页:
[1]