IP地址莫名其妙变为0.0.0.0 
2007.02.17更新:
本文是一个比较郁闷的病毒 的后续文章,重新组织一下,偏于骗分。 故障:一内网机器突然无法上网,CMD下ipconfig/all常规检查时,发现地址为0.0.0.0/255.0.0.0;而在tcp/ip属性中则显示为192.168.0.2/255.255.255.0(假设为分配地址),当光标点中ip地址框内准备重新输入ip时,系统提示“指定了一个无效的ip地址”(大概就是这个意思了)。把TCP/IP协议删除重装并填入正确的ip地址信息后,机器上网正常。 正准备收工闪人时,机器又无法上网了,ipconfig/all显示地址仍为0.0.0.0/255.0.0.0。 分析:因在现场时未带任何工具,于是运行msconfig,发现启动项中加载了不少可疑进程。初步判断为病毒,但印象中好象没有类似的病毒现象啊!!(至今没有找到相关的个例,希望有这方面经验的朋友能给俺解惑) 处理一:将机器带回后从光驱引导winxpe光盘杀毒.病毒n,重起后无效。 处理二:看来病毒是加了壳啦!!只能手工查杀。
这里推荐
Process Explorer10.2. :查看启动项、进程、服务
 icesword:比pe功能更多,比如定位删除文件等,国产
 KillBox:删除顽固文件,支持延迟删除
 通过PE10。2,发现了一个名为“watchclient.exe”的进程,此前的杀毒过程中我没考虑这个进程,因为这个进程对应了系统服务中一个名为“VRVWATCHSERVER”的服务。本机中还有vrvedp_m.exe、vrvsafec.exe、vrvrf-c.exe等进程,当时想当然的把vrvwatchserver服务和后3个进程视作同一个软件;而后2个进程是北信源 公司的一款内网监控软件驻留内存的程序。
经网上搜索,得知watchclient.exe文件可能是灰鸽子的服务端。
需要注意的是,vrvwatchserver服务无法在正常模式下手动停止,我是用pe10。2停止的。然后使用killbox删除watchclient.exe,最后删除HK_LOCAL_MACHINE_MACHINE\SYSTEM\CURRENT CONTROLSET\SERVICES下残留的“vrvwatchserver服务”项。
另外,在c盘还有个隐藏文件为"vrvreg.log",用记事本打开后,发现为灰鸽子的运行日志,记载了watchclient.exe运行后自动从某处下载2个文件(记不清楚了),使用killbox删除。
重起后,机器测试正常。
|
alcatelzz
博客统计信息
热门文章
最新评论
友情链接