jiangch
新手上路
积分 6
发帖 6
注册 2007-2-2
|
#1 微点杀毒怎么出现长久霸占内存的进程?这也太吃内存了.
蠕虫名称:Worm.Win32.Fujack.hn
程序:
C:\WINDOWS\SYSTEM32\DRIVERS\SPCOLSV.EXE
是蠕虫程序!
已成功阻止其运行,是否要删除此文件?
正是因为这个熊猫烧香病毒才让我把单位所有机器的瑞星全部清除,因为瑞星对这个病毒没有任何防护作用.今天试用微点,发现微点虽然不能在解压后就发现病毒,但是可以依行为判断防护并清除这个病毒,不过出现一点问题就是每测试一次,进程里就多出个cmd.exe和一个ntvdm.exe,并且我等了一个多小时也不见退出,原因何在?附截图.
附件
1:
未命名.JPG
(2007-2-3 21:01, 96.6 K,下载次数: 40)
| |
※ ※ ※ 本文纯属【jiangch】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
2007-2-3 21:01 |
|
Legend
超级版主
超级版主
积分 77171
发帖 70170
注册 2005-10-29
|
|
|
2007-2-3 21:08 |
|
jiangch
新手上路
积分 6
发帖 6
注册 2007-2-2
|
#3
操作系统是Win2003SP1标准版
微点主动防御软件 测试版
程序版本: 1.2.10569.0028
特征版本: 1.4.211.070203
更新时间: 2007-02-02 9:59:54
90天免费升级用户,没有安装其他安全软件包括
| |
※ ※ ※ 本文纯属【jiangch】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-2-3 21:11 |
|
jiangch
新手上路
积分 6
发帖 6
注册 2007-2-2
|
#4
在强行结束ntvdm进程时cmd进程就会结束,反之不会,不过只要微点拦截并清除这个病毒这2个进程就会出现并不能自动退出,感觉很象病毒测试用的进程.微点进程综合信息里找不到任何有用的信息,创建这2个进程的程序信息是空白.
| |
※ ※ ※ 本文纯属【jiangch】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-2-3 21:30 |
|
Legend
超级版主
超级版主
积分 77171
发帖 70170
注册 2005-10-29
|
|
|
2007-2-3 21:33 |
|
drawr
注册用户
新手上路
积分 55
发帖 55
注册 2005-12-23
|
#6
这两个进程应该是是病毒调用起来的系统程序,你可以在微点的进程综合信息中找到这两个程序(应该在windows系统进程中),然后在右边的信息栏中双击他们,看看他们的父进程是不是熊猫。
| |
※ ※ ※ 本文纯属【drawr】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-2-3 21:39 |
|
jiangch
新手上路
积分 6
发帖 6
注册 2007-2-2
|
#7
看来不是病毒调用的,而是微点调用的,佩服,简单有效,不过有可能会出问题,有时候会把解过毒的文件也删除,我碰到一次,不过很难重复那次了.
cmd.exe,PPID信息为空,命令行参数:cmd /c C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\56$$.bat
56$$.bat:
:try1
del "C:\Documents and Settings\Administrator\桌面\virus\HD.EXE"
if exist "C:\Documents and Settings\Administrator\桌面\virus\HD.EXE" goto try1
ren "C:\Documents and Settings\Administrator\桌面\virus\HD.EXE.exe" "HD.EXE"
if exist "C:\Documents and Settings\Administrator\桌面\virus\HD.EXE.exe" goto try2
"C:\Documents and Settings\Administrator\桌面\virus\HD.EXE"
:try2
del %0
nyvdm的PPid:C:\WINDOWS\system32\cmd.exe
我可不想让这些无用的进程白白占内存,想不出现这个问题的解决办法也找到了,其实只要把设置里的程序行为实时监控策略改为自动处理就可以了.不过为什么默认是询问后处理呢?
| |
※ ※ ※ 本文纯属【jiangch】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-2-3 22:11 |
|
Legend
超级版主
超级版主
积分 77171
发帖 70170
注册 2005-10-29
|
|
|
2007-2-3 22:18 |
|
nasdaq
版主
版主
积分 1140
发帖 1118
注册 2006-4-6
|
#9
cmd.exe 是NT内核的命令行模式,是一种虚拟机,用来解释windows的一些脚本命令(可以简单理解为增强型批处理),特别要注意cmd不是DOS
ntvdm.exe 也是一种虚拟机,用来在32位的NT内核下模拟环境运行16位的程序(简单理解为DOS程序吧)
所以,
双击.bat或.cmd文件,则XP会调用cmd.exe来运行.bat或.cmd文件中包含的命令。
双击一个DOS游戏,XP会自动监测其不属于32位程序无法直接运行,然后就调用ntvdm.exe来运行该程序。
| |
※ ※ ※ 本文纯属【nasdaq】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-2-3 22:52 |
|
