VKTSERV.EXE 进程是什么东西
作者:佚名 文章来源:网络 更新时间
:2007-5-30 9:47:47
关于VKTSERV.EXE 进程的杀毒资料:PING网关时断时续/VKTSERV/okserver/WINSMD/ARP网关欺骗型病毒
今天朋友单位的局网7、8台电脑出现这样的情况
PING网关时断时续,PING别的机器正常,换上自带的笔记本则完全没问题,而且几台系统还原了,还是老样子,如果是一台电脑有问题那可能是网卡的问题了,现在多台电脑这样,应该不是网卡的问题
怀疑局网中有网络ARP类型的木马,因为系统既然还原了,在别的染毒电脑上有记录的只有网卡的MAC,而且PING别的机器是好的,因ARP病毒在更改ARP缓存中的网关MAC,所以叫朋友通过注册表换了网卡的MAC,此时PING网关完全正常。
基本确定了是ARP欺骗类型的木马,不断在更改他所记录的MAC地址网卡缓存内的网关MAC,所以时断时通。就叫朋友用ARP -S绑定出问题几台电脑的正确网关MAC。此时电脑都正常了。
还有一个关键问题没查出来,那就是此病毒的根在哪,哪台电脑在不停发包?
这个办法是这样的
在出问题的电脑上用ARP -A命令查看网关对应的MAC,情况应该是这样,有时网关IP对应的是正确的MAC,有时是病毒根电脑的MAC,这样就好办了,把病毒电脑的MAC记下来。用SNIFFER PRO的局域网扫描IP+MAC功能扫描 整个局域网,一一对应的IP -MAC列表就出来了,一比较就知道哪台电脑出问题了。
找到那台电脑,病毒如下:
G_Server2.0.exe
okserver.exe
VKTServ.exe
winsmd .exe
都注册为了服务,前两个很清楚是灰鸽子,VKTSERV就不知道了,GOOGLE上也找不到百度也找不到,估计是新病毒,winsmd也不清楚是什么病毒,不过肯定是病毒。
灰鸽子停止服务
vktserv停止服务时出现一个错误说不能停止,当然不能用普通办法结束进程了,用ICESWORD强制结束进程,服务改为禁用
winsmd加载到了注册表的RUN下,运行MSCONFIG,勾去掉。进程结束。
文件都删除,再安装上NOD32,升级到最新病毒库,扫描一遍电脑,一切OK。
至于到底是哪个病毒,我还是怀疑两个灰鸽子,众所周知,灰鸽子是盗密码的,利用ARP网关欺骗可以在交换机环境下盗取局网中所有他指定的密码,是个好东西。
老规则 病毒上传供测试,最后一个没上传,因为被杀了。
vktserv.exe NOD32还是说是未知的PE病毒。
==========================================================
手工杀毒的一般方法和步骤
首先查看进程,微软自带的任务管理器就可以.查看是否有可以的进程,找到后肯定不能直接结束的使用命令ntsd -c q -p PID号 这个命令可以结束,这个命令不会用可以ntsd /?来查看帮助.XP用户还可以使用ntsd -c q -pn 名称.exe一般这个东西是可以结束普通病毒所占用的进程的.任务管理器有个缺点就是不能查这个进程所在的应用程序的路径.推荐个东西ICEWORD.我一直用他,很好用,可以通过他找到病毒文件所在的位置,找到后删除,并记下名字搜索注册表相关内容删除.
一般这种病毒都很好杀的.还有另外一种就是在进程中没有这个进程的,可以使用ICEWORD 中的查看模块信息来查看加载了哪些东西.这种注入其它进程中的病毒稍微上了点档次,当你想删除一个你怀疑是病毒的文件的时候提示该文件正在使用中的时候你就该考虑是不是被注入了。不用怕这种病毒也算是简单的.查看模块信息后找到你删除文件时候删除不料的哪个文件,结束掉,注意有的病毒不止注入一个进程中,所以要每个进程都要查,查到后结束就可以删除了。还有一种办法是在安全模式下删除.
还有一种病毒是这样的,隐藏服务,进程,文件,注册表的所有关于他的信息,这种病毒一般叫RING0层病毒,杀除的方法有点复杂.象灰鸽子这种只能叫RING3层木马,在安全模式下他就不会运行,所以在windows下的G_SERVER.exe 之类的文件都可以删除,顺便把服务中的服务也删除使用命令sc 这个命令删除(XP用户),搜索注册表也能找到,对于RING0层的病毒有可能做到在安全模式下也能加载到进程中去,而且你又根本查不出来.建议使用专门的查杀ROOTKIT的工具,只要在进程中杀了他之后,他所隐藏的所有东西都出来了。
==========================================================
建议新装好的系统(包括应用软件),执行以下命令:
XP用户
cd windows
cd system32
dir *.exe >d:exeback.txt & dir *.dll >d:dllback.txt
我已经给写成批处理文件了内容如下:
@echo 备份系统文件列表
@pause
@cd
@cd windows
@cd system32
:execute
@dir *.exe >d:exeback.txt & dir *.dll >d:dllback.txt
@if level==1 goto succesfull
@if level==0 goto end
:succesfull
@echo 备份成功
@echo 正在修改备份文件属性
@pause
@echo 正在设置exe文件列表属性
@attrib +r +s -a +h d:exeback.txt
@echo 正在设置dll文件列表属性
@attrib +r +s -a +h d:dllback.txt
@echo 按任意键退出
@pause
goto end
:end
等怀疑自己电脑有病毒的时候在运行一下这个东西,注意要把名字改了,不然就替换掉以前的文件了。
可以使用FC 比较两个文件的不同,就可以得出哪个是多出来的可疑文件了
【相关文章:】
巧妙破解开别人ASP木马密码的方法
系统中毒电脑无法显示隐藏文件的解决方法
利用思易ASP木马追捕入侵站点
防止ASP木马在服务器上运行
从木马的隐藏技俩检查与清除
如何确定电脑是否中毒-排查顺序与技巧
系统重装后如何预防病毒二次侵袭
用Windows命令识别木马蛛丝马迹
保证Windows操作系统无毒技巧两则
4招解除病毒威胁MP3设备
【发表评论】【打印此文】【关闭窗口】【点击数: 】
今天朋友单位的局网7、8台电脑出现这样的情况
PING网关时断时续,PING别的机器正常,换上自带的笔记本则完全没问题,而且几台系统还原了,还是老样子,如果是一台电脑有问题那可能是网卡的问题了,现在多台电脑这样,应该不是网卡的问题
怀疑局网中有网络ARP类型的木马,因为系统既然还原了,在别的染毒电脑上有记录的只有网卡的MAC,而且PING别的机器是好的,因ARP病毒在更改ARP缓存中的网关MAC,所以叫朋友通过注册表换了网卡的MAC,此时PING网关完全正常。
基本确定了是ARP欺骗类型的木马,不断在更改他所记录的MAC地址网卡缓存内的网关MAC,所以时断时通。就叫朋友用ARP -S绑定出问题几台电脑的正确网关MAC。此时电脑都正常了。
还有一个关键问题没查出来,那就是此病毒的根在哪,哪台电脑在不停发包?
这个办法是这样的
在出问题的电脑上用ARP -A命令查看网关对应的MAC,情况应该是这样,有时网关IP对应的是正确的MAC,有时是病毒根电脑的MAC,这样就好办了,把病毒电脑的MAC记下来。用SNIFFER PRO的局域网扫描IP+MAC功能扫描 整个局域网,一一对应的IP -MAC列表就出来了,一比较就知道哪台电脑出问题了。
找到那台电脑,病毒如下:
G_Server2.0.exe
okserver.exe
VKTServ.exe
winsmd .exe
都注册为了服务,前两个很清楚是灰鸽子,VKTSERV就不知道了,GOOGLE上也找不到百度也找不到,估计是新病毒,winsmd也不清楚是什么病毒,不过肯定是病毒。
灰鸽子停止服务
vktserv停止服务时出现一个错误说不能停止,当然不能用普通办法结束进程了,用ICESWORD强制结束进程,服务改为禁用
winsmd加载到了注册表的RUN下,运行MSCONFIG,勾去掉。进程结束。
文件都删除,再安装上NOD32,升级到最新病毒库,扫描一遍电脑,一切OK。
至于到底是哪个病毒,我还是怀疑两个灰鸽子,众所周知,灰鸽子是盗密码的,利用ARP网关欺骗可以在交换机环境下盗取局网中所有他指定的密码,是个好东西。
老规则 病毒上传供测试,最后一个没上传,因为被杀了。
vktserv.exe NOD32还是说是未知的PE病毒。
==========================================================
手工杀毒的一般方法和步骤
首先查看进程,微软自带的任务管理器就可以.查看是否有可以的进程,找到后肯定不能直接结束的使用命令ntsd -c q -p PID号 这个命令可以结束,这个命令不会用可以ntsd /?来查看帮助.XP用户还可以使用ntsd -c q -pn 名称.exe一般这个东西是可以结束普通病毒所占用的进程的.任务管理器有个缺点就是不能查这个进程所在的应用程序的路径.推荐个东西ICEWORD.我一直用他,很好用,可以通过他找到病毒文件所在的位置,找到后删除,并记下名字搜索注册表相关内容删除.
一般这种病毒都很好杀的.还有另外一种就是在进程中没有这个进程的,可以使用ICEWORD 中的查看模块信息来查看加载了哪些东西.这种注入其它进程中的病毒稍微上了点档次,当你想删除一个你怀疑是病毒的文件的时候提示该文件正在使用中的时候你就该考虑是不是被注入了。不用怕这种病毒也算是简单的.查看模块信息后找到你删除文件时候删除不料的哪个文件,结束掉,注意有的病毒不止注入一个进程中,所以要每个进程都要查,查到后结束就可以删除了。还有一种办法是在安全模式下删除.
还有一种病毒是这样的,隐藏服务,进程,文件,注册表的所有关于他的信息,这种病毒一般叫RING0层病毒,杀除的方法有点复杂.象灰鸽子这种只能叫RING3层木马,在安全模式下他就不会运行,所以在windows下的G_SERVER.exe 之类的文件都可以删除,顺便把服务中的服务也删除使用命令sc 这个命令删除(XP用户),搜索注册表也能找到,对于RING0层的病毒有可能做到在安全模式下也能加载到进程中去,而且你又根本查不出来.建议使用专门的查杀ROOTKIT的工具,只要在进程中杀了他之后,他所隐藏的所有东西都出来了。
==========================================================
建议新装好的系统(包括应用软件),执行以下命令:
XP用户
cd windows
cd system32
dir *.exe >d:exeback.txt & dir *.dll >d:dllback.txt
我已经给写成批处理文件了内容如下:
@echo 备份系统文件列表
@pause
@cd
@cd windows
@cd system32
:execute
@dir *.exe >d:exeback.txt & dir *.dll >d:dllback.txt
@if level==1 goto succesfull
@if level==0 goto end
:succesfull
@echo 备份成功
@echo 正在修改备份文件属性
@pause
@echo 正在设置exe文件列表属性
@attrib +r +s -a +h d:exeback.txt
@echo 正在设置dll文件列表属性
@attrib +r +s -a +h d:dllback.txt
@echo 按任意键退出
@pause
goto end
:end
等怀疑自己电脑有病毒的时候在运行一下这个东西,注意要把名字改了,不然就替换掉以前的文件了。
可以使用FC 比较两个文件的不同,就可以得出哪个是多出来的可疑文件了
【相关文章:】
巧妙破解开别人ASP木马密码的方法
系统中毒电脑无法显示隐藏文件的解决方法
利用思易ASP木马追捕入侵站点
防止ASP木马在服务器上运行
从木马的隐藏技俩检查与清除
如何确定电脑是否中毒-排查顺序与技巧
系统重装后如何预防病毒二次侵袭
用Windows命令识别木马蛛丝马迹
保证Windows操作系统无毒技巧两则
4招解除病毒威胁MP3设备
【发表评论】【打印此文】【关闭窗口】【点击数: 】
★好玩的休闲小游戏★
网友评论:
数据载入中,请稍后……