[水区万能]电脑自动重启了

chenrenchun · 发表于 2006-10-14 12:59:44

问题是哪些程序是不正常????

yzxno1 · 发表于 2006-10-14 13:05:05

截个图发出来

专业动漫迷 · 发表于 2006-10-14 13:08:28

这...

某电脑小白路过下....

chenrenchun · 发表于 2006-10-14 13:13:22

开辟的交易使者 · 发表于 2006-10-14 13:24:38

2G内存现时的系统已经很难全部发挥出来
最近班里大部分人都中了魔波,我也不例外

chenrenchun · 发表于 2006-10-14 13:29:43

原帖由 开辟的交易使者 于 2006-10-14 15:24 发表
2G内存现时的系统已经很难全部发挥出来
最近班里大部分人都中了魔波,我也不例外

当你用到64位的系统时你就会嫌不够了

yzxno1 · 发表于 2006-10-14 13:31:43

网上查了下貌似就NWIZ有问题

开辟的交易使者 · 发表于 2006-10-14 13:35:03

原帖由 chenrenchun 于 2006-10-14 13:29 发表

当你用到64位的系统时你就会嫌不够了

问题是现在即使是最强的扣肉也无必要2G内存,我是说现时

chenrenchun · 发表于 2006-10-14 13:35:36

原帖由 yzxno1 于 2006-10-14 15:31 发表
网上查了下貌似就NWIZ有问题

那是NVIDIA nView Control Panel,现在问题是我运行MSN才重启,别的程序都没有问题.........

yzxno1 · 发表于 2006-10-14 13:37:05

病毒名称：I-WORM.Muma.Bat.A
病毒类型：蠕虫
执行环境：Windows95/98/NT/2000/XP
传播途径：管理共享
危害程度：中
病毒特征：

该病毒由许多个文件组成，具体如下：
10.bat
hack.bat
ipc.bat
muma.bat
near.bat
random.bat
replace.bat
start.bat（病毒传播的首文件）
ss.bat（用于创建一个管理员帐号来在远程系统上运行psexec.exe）
rep.exe（用于响应批处理文件调用来复制文件的正常程序）
tihuan.txt
nwize.exe（nVidia程序）
nwize.in_（nwize.exe的配置文件）
nwize.ini（nwize.exe的配置文件）
pcMsg.dll（pcGhost的一个正常的dll文件）
psexec.exe（启动远程程序的工具）
hfind.exe（红客联盟的弱口令扫描工具）
ipcpass.txt（hfind.exe的密码库文件）

ntservice.exe（根据ntservice.ini中的配置来创建一个服务，服务启动运行“cmd.exe
/c ss.bat”）
ntservice.bat（用于application服务的安装和启动）
ntservice.ini（ntservice.exe的配置文件）

病毒首先从start.bat文件开始执行，运行中调用了一系列的批处理文件，病毒首先遍历
本地的C盘到H盘的所有本地硬盘并将结果写入到文件lan.log中，然后判断lan.log文件中
是否包含MU字符串，如果有就删除该日志文件；接下来病毒会尝试删除文件ipcfind.txt
（hfind.exe查找的结果
记录文件），然后运行hfind.exe（红客联盟出品的一个命令行nt弱口令扫描工具，由于
需要输入固定的ip段作为扫描的参数，病毒首先随机取得了ip地址的前两个字段的值，后
两个字段固定取值0.1到0.254），hfind.exe运行将调用密码库ipcpass.txt文件，如果该
文件为空，hfind.exe将
取以下默认密码来穷举局域网中管理共享（admin$）的密码：
空密码
用户名

用户名123
用户名1234
password
passwd
admin
pass
123
1234
12345
123456

并将结果写到文件ipcfind.txt中；接着病毒通过批处理文件replace.bat调用程序
rep.exe将ipcfind.txt中的内容写到新文件Tihuan.txt当中，并将原文件删除，然后病毒
利用某台计算机管理共享的弱口令(在tihuan.txt中)将病毒文件拷贝到这台机器的
admin$\system32（对应从本机查看
的%systemroot%\system32目录）当中，并用本机的start.exe（系统程序）调用
psexec.exe来将该远程计算机中的start.bat文件启动起来。

病毒在完成以上操作以后会运行程序netstat.exe，并将输出结果记录到文件a.tmp，然后
病毒调用文件near.bat，并将ip地址提供给它。在windows
NT/2000/XP操作系统上，病毒会通过netservice.bat来调用netservice.exe加参数
-install安装一个服务（为了防止出现提示信息，批处理文件中全部把屏幕输出到了一个
临时文件a.tmp当中），服务的名称为application，服务启动会执行程序“cmd /c
ss.bat”，而ss.bat文件用于在本地生成一个叫做admin的用户（密码设置为KKKKKKK），
并将其加入管理员组，然后以这个用户身份在本地计算机运行start.bat。

至此，病毒运行的全部过程就是如此，由于病毒在start.bat文件中加入了goto
start参数，start.bat将无限制的运行下去，可能会导致cpu资源出现不足的情况，而且
由于hfind.exe对网络的扫描，可能会造成局域网拥塞的现象发生。但是由于病毒本身存
在的缺陷，可能会造成在不同的系统上有不同的表现。

病毒清除

1. 使用我公司杀毒软件或者专杀工具查后；删除帐户admin或者是修改其密码、将其从管
理员组删除；修改管理员administrator的密码到比较安全的地步（一般认为7位或者是14
位为比较安）.
2. 手工清除方法：
1. 杀掉以下进程
cmd.exe
ping.exe
find.exe
hfind.exe
psexec.exe
2. 在服务管理器中停止服务application，并进入注册表删除以下主键：
Hkey_Local_Machine\System\CurrentControlSet\Services\Application
3. 进入%systemroot%\system32目录删除所有与病毒相关的文件

chenrenchun · 发表于 2006-10-14 13:38:44

1G内存只是对于普通用户来说,我BT下载时内存就用了70%以上(多缓存,少读硬盘)

lmhg · 发表于 2006-10-14 13:40:03

原来吊在进程列表那个CMD。EXE是病毒…… = =

更酷的酷CAT · 发表于 2006-10-14 14:14:13

我重要的文件都不装在系统盘里的，也就是C盘，楼主，认了吧，重新装系统吧。

PS：这教训就是要你以后不要把重要东西放在C盘，就这么简单。

王北一 · 发表于 2006-10-14 14:41:37

先杀毒吧..然后在找人看看..这让我想起很多年前的自己,在PC版发贴求助..在一片要求重装的水贴中,我...重装了 ..然后心里骂他们不负责任..然后,我的电脑就好了..

dengzjddz · 发表于 2006-10-14 15:03:00

好邪恶的桌面！
难怪有问题！

月读-天照 · 发表于 2006-10-14 15:06:38

桌面美-3-

其余54掉

chenrenchun · 发表于 2006-10-14 15:07:39

原帖由 dengzjddz 于 2006-10-14 17:03 发表
好邪恶的桌面！
难怪有问题！

这是什么理论啊
PS:我前面的回帖里有下载

dengzjddz · 发表于 2006-10-14 15:41:37

往往因为邪恶的东西里面有很多病毒！

更酷的酷CAT · 发表于 2006-10-14 15:48:30

原帖由 yzxno1 于 2006-10-14 13:37 发表
病毒名称：I-WORM.Muma.Bat.A
病毒类型：蠕虫
执行环境：Windows95/98/NT/2000/XP
传播途径：管理共享
危害程度：中
病毒特征：

该病毒由许多个文件组成，具体如下：
10.bat
hack.bat
ipc.bat
muma.b ...

administrator，天啊，我的电脑里面就有这个显示啊，怎么办？？

上面写着administrator的文档，我该怎么办啊？？救命啊

更酷的酷CAT · 发表于 2006-10-14 15:52:34

原帖由 王北一 于 2006-10-14 14:41 发表
先杀毒吧..然后在找人看看..这让我想起很多年前的自己,在PC版发贴求助..在一片要求重装的水贴中,我...重装了 ..然后心里骂他们不负责任..然后,我的电脑就好了..

重新装是最彻底的方法

		自动登录	找回密码
密码			注册