在system.ini文件中,在[BOOT]下面有個「shell=檔案名」。正確的檔案名應該是「explorer.exe」,如果不是「explorer.exe」,而是「shell= explorer.exe 程式名稱」,那ど後面跟著的那個程序就是「木馬」程序,就是說你已經中「木馬」了。
在註冊表中的情況最複雜,通過regedit指令開啟註冊表編輯器,在點擊至:「HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run」目錄下,檢視鍵值中有沒有自己不熟悉的自動啟動檔案,副檔名為EXE。
症狀
在關於 Windows 2000 的電腦上,Services.exe 中的 CPU 使用率可能間歇性地達到100 %,並且電腦可能停止回應(掛起)。出現此問題時,連線到該電腦(如果它是文件伺服器或域控制器)的用戶會被中斷連線連接。您可能還需要重新啟動電腦。如果 Esent.dll 錯誤地處理將文件重新整理到磁牒的方式,則會出現此症狀。
解決方案
Service Pack 訊息
要解決此問題,請獲取最新的 Microsoft Windows 2000 Service Pack。有關其它訊息,請按下下面的文章編號,以檢視 Microsoft 知識庫中相應的文章:
260910 如何獲取最新的 Windows 2000 Service Pack
修復程序訊息
Microsoft 提供了受支持的修補程式,但該程序只是為了解決本文所介紹的問題。只有電腦遇到本文提到的特定問題時才可套用此修補程式。此修補程式可能還會接受其它一些測試。因此,如果這個問題沒有對您造成嚴重的影響,Microsoft 建議您等待包含此修補程式的下一個 Windows 2000 Service Pack。
要立即解決此問題,請與「Microsoft 產品支持服務」聯係,以獲取此修補程式。有關「Microsoft 產品支持服務」電話號碼和支持費用訊息的完整列表,請訪問 Microsoft Web 站點:
注意 :特殊情況下,如果 Microsoft 支持專業人員確定某個特定的更新程序能夠解決您的問題,可免收通常情況下收取的電話支持服務費用。對於特定更新程序無法解決的其它支持問題和事項,將正常收取支持費用。
下表列出了此修補程式的全球版本的文件內容(或更新的內容)。這些文件的日期和時間按協調通用時間 (UTC) 列出。檢視文件訊息時,它將轉換為本機時間。要瞭解 UTC 與本機時間之間的時差,請使用「控制台」中的「日期和時間」工具中的 時區 選擇項。
狀態
Microsoft 已經驗證這是在本文開頭列出的 Microsoft 產品中存在的問題。此問題最初是在 Microsoft Windows 2000 Service Pack 4 中更正的。
這裡切記:有的「木馬」程序產生的文件很像系統自身文件,想通過偽裝矇混過關,如「Acid Battery v1.0木馬」,它將註冊表「HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run」下的Explorer 鍵值改為Explorer=「C:\Windows\expiorer.exe」,「木馬」程序與真正的Explorer之間只有「i」與「l」的差別。
當然在註冊表中還有很多地方都可以隱藏「木馬」程序,如:「HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run」、「HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run」的目錄下都有可能,最好的辦法就是在「HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run」下找到「木馬該病毒也稱為「Code Red II(紅色程式碼2)」病毒,與早先在西方英文系統下流行「紅色程式碼」病毒有點相反,在國際上被稱為VirtualRoot(虛擬目錄)病毒。該蠕蟲病毒利用Microsoft已知的溢位漏洞,通過80連接阜來傳播到其它的Web頁伺服器上。受感染的機器可由黑客們通過Http Get的請求執行scripts/root.exe來獲得對受感染機器的完全控制權。
|