这是不是木马????

kenan321

我家有许多的:Generic Host Process for win32 Services访问远程地址
不知道这个是不是木马???????
改怎么杀掉??

lucifer1111

不是，我这里也有，应该不用担心

kenan321

别人告诉我了~
这个是病毒的~~~~

kenan321

此病毒利用“震荡波”的后门及系统MS-4011漏洞进行传播，会尝试清除系统里的“震荡波”、“恶鹰”、“网络天空”等多个电脑病毒，可能造成系统异常。占用大量网络资源，可能会造成企业局域网运行缓慢甚至瘫痪。

　　一、病毒评估

　　1．病毒中文名：假警察
　　2．病毒英文名：Worm.Win32.Dabber.a
　　3．病毒别名：Worm.Win32.Dabber.A (AVP)
　　4．病毒大小：29,696字节
　　5．病毒类型：蠕虫病毒
　　6．病毒危险等级：★★★★
　　7．病毒传播途径：系统漏洞/后门
　　8．病毒依赖系统：Windows 9X（可感染，但无危害）NT/2000/XP（可危害）

　　二、技术细节

　　1．复制自己到系统目录并实现自启动

　　病毒运行后，将自己复制到%SYSTEM%目录，c:\Documents and Settings\All Users\Main menu\Programs\StartUp目录及c:\Documents and Settings\All Users\Start Menu\Programs\Starup目录中，文件名为：package.exe。在注册表HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Windows\CurrentVersion\Run中加入自己的键值：sassfix=%system%\package.exe，病毒使用"sas4dab"为互斥量。

　　2．试图清除一些病毒的注册表键值：

　　尝试删除注册表Run项中的以下键值，使之不能正常启动：
　　Video Process.
　　TempCom.
　　SkynetRevenge
　　MapiDrv
　　BagleAV
　　System Updater Service
　　soundcontrl
　　WinMsrv32
　　drvddll.exe
　　navapsrc.exe
　　skynetave.exe
　　Generic Host Service
　　Windows Drive Compatibility
　　windows.Microsoft Update
　　Drvddll.exe
　　Drvddll_exe
　　drvsys
　　drvsys.exe
　　ssgrate
　　ssgrate.exe
　　lsasss
　　lsasss.exe
　　avserve2.exe
　　avvserrve32.avserve

　　3．建立四个线程实现一些功能。

　　（1）后门：
　　病毒监视9898端口，等待客户端的连接。该后门可以执行一些如：执行文件，从特定网站下载文件等功能。

　　（2）TFTP服务器：
　　病毒监听69端口，实现一个tftp服务器，一旦病毒成功的利用漏洞攻击一个系统后被攻入的系统将从利用该服务器将病毒复制过去执行。以达到传播的目的。

　　（3）一个空线程：
　　病毒作者并没有实现任何代码。（可能下个版本将实现）

　　（4）利用漏洞进行攻击
　　病毒利用本地系统的ip进行计算，找到攻击目标地址并尝试对其5554端口（震荡波的后门）的连接。

　　A．如果联接失败：

　　病毒将尝试对其9898端口的连接（用以识别目标系统是否已被病毒感染过），失败（目标系统没有被病毒感染）时病毒利用MS04-011漏洞对目标系统进行攻击，并利用自己的tftp服务器将自己复制过去。

　　B．联接成功：

　　病毒将尝试对其9898端口的连接（用以识别目标系统是否已被病毒感染过）当失败（目标系统没有被病毒感染）时病毒利用震荡波的后门将自己复制过去。

　　三、解决方案：

　　升级杀毒软件的病毒库到最新版

lucifer1111

[QUOTE=kenan321]别人告诉我了~
这个是病毒的~~~~[/QUOTE]
在正常的系统中本来就是有这个进程的，而且也是有svchost.exe在进程中，冲击波只是利用了svchost.exe文件，但不表明进程中所有的svchost.exe都有毒，在2000里正常的话应该有4个svchost在进程中，xp好像也一样

kenan321

倒~
在别的论坛里人家确实是这样告诉我的

daat1928

同意，应该是毒

lucifer1111

………………真是一朝被蛇咬十年怕井绳
不放心的话到瑞星网页的免费查毒去查查

kenan321

如果不是病毒，那他为什么还要连接远程地址？？？

lucifer1111

[QUOTE=kenan321]如果不是病毒，那他为什么还要连接远程地址？？？[/QUOTE]
其实他哪里都没有连，你可以通过防火墙察看

kenan321

你自己看

kenan321

我的附件...

lucifer1111

监视135端口是正常的，如果他监视其他端口就不正常，说明有其他程序在利用他
在正常系统肯定有这个东西，他和windows的updata有关

上杉和也

这个程序出现在9x核心系统中，肯定是病毒或木马，但是如果是NT核心，就不好说了，因为在NT核心系统中，它是系统服务的关键。

就像楼上提到的，天网可以看到每个进程的连接状况，如果它在同时监视很多莫名其妙的端口，那就是它有问题了。

建议常升级杀毒软件，常检查检查。

vaio

监听135端口

那是epmap这个守护程序～简称DCE终点解析～

kodg

下个双向监测的防火墙就ok啦