主题 : [求助] 帮看下 是不是 木马
级别: 模拟新血
UID: 1273
精华: 0
发帖: 15
威望: 0 星
金钱: 2625 浮游币
贡献值: 0 点
好评度: 0 点
人气: 0 点
在线时间: 0(时)
注册时间: 2004-04-01
最后登录: 2004-08-15
楼主  发表于: 2004-04-28 13:06

[求助] 帮看下 是不是 木马

C:\WINDOWS\System32\wuamgrd.exe
是的话 怎么删除 谢谢
级别: 模拟之星
UID: 1243
精华: 0
发帖: 1057
威望: 0 星
金钱: 830 浮游币
贡献值: 10 点
好评度: 7 点
人气: 0 点
在线时间: 13(时)
注册时间: 2004-04-01
最后登录: 2024-08-06
沙发  发表于: 2004-04-28 13:54

这种还是找个杀毒软件,瑞星不错
级别: 模拟专家
UID: 20
精华: 0
发帖: 691
威望: 0 星
金钱: 2453 浮游币
贡献值: 0 点
好评度: 6 点
人气: 0 点
在线时间: 9(时)
注册时间: 2004-03-24
最后登录: 2018-09-27
板凳  发表于: 2004-04-28 14:05

在WINDOWS\System32\目录下的不明执行文件,请对它进行200%的怀疑!
级别: 论坛版主

UID: 22
精华: 1
发帖: 2665
威望: 2 星
金钱: 375873 浮游币
贡献值: 8700 点
好评度: 4049 点
人气: 600 点
在线时间: 422(时)
注册时间: 2004-03-24
最后登录: 2024-08-06
地板  发表于: 2004-04-28 14:07

看看这里,删除的话试试进安全模式看!
http://bbs.kingsoft.net/viewthread.php?tid...ge=1&sid=2HHwB4
级别: *
UID: 0
精华: *
发帖: *
威望: * 星
金钱: * 浮游币
贡献值: * 点
好评度: 0 点
人气: 0 点
在线时间: (时)
注册时间: *
最后登录: *
草席  发表于: 2004-04-28 14:07

KILL进程,再删除,这么简单的方法都不会?

PS:我WINXP里无此文件。
级别: 模拟新血
UID: 1273
精华: 0
发帖: 15
威望: 0 星
金钱: 2625 浮游币
贡献值: 0 点
好评度: 0 点
人气: 0 点
在线时间: 0(时)
注册时间: 2004-04-01
最后登录: 2004-08-15
5楼  发表于: 2004-04-28 14:26

删了 又出来
在安全模式下 删除也一样
级别: 模拟新血
UID: 1273
精华: 0
发帖: 15
威望: 0 星
金钱: 2625 浮游币
贡献值: 0 点
好评度: 0 点
人气: 0 点
在线时间: 0(时)
注册时间: 2004-04-01
最后登录: 2004-08-15
6楼  发表于: 2004-04-28 14:27

是冲击波阿 不可能哦
化身肥宅,躺平!
级别: 联盟成员

UID: 17
精华: 2
发帖: 6284
威望: 8 星
金钱: 290287 浮游币
贡献值: 7204 点
好评度: 8681 点
人气: 0 点
在线时间: 322(时)
注册时间: 2004-03-24
最后登录: 2024-03-16
7楼  发表于: 2004-04-28 15:48

引用 (热血魔王 @ 2004-04-28 13:08:31)
C:\WINDOWS\System32\wuamgrd.exe
是的话 怎么删除 谢谢

不是木马,我在一台机器上见过(系统2000),在控制面板里有设置选项(是做什么用的忘了)

也不是冲击波啊,那台机器一直工作正常的,一直装着网镖6的
枯れない花
级别: 论坛版主
UID: 11
精华: 0
发帖: 2266
威望: 8 星
金钱: 381185 浮游币
贡献值: 8813 点
好评度: 7896 点
人气: 1049 点
在线时间: 1384(时)
注册时间: 2004-03-24
最后登录: 2023-04-20
8楼  发表于: 2004-04-28 18:36

跑不了是worm了~~引自Sophos
W32/RBot-A is a worm with a backdoor component that spreads on weakly protected network shares on the Windows platform. The worm spreads by scanning random IP addresses for open SMB ports (445) and trying to copy itself to the Windows system folder on the remote Admin$ and C$ shares as the file wuamgrd.exe.


如果需要删除的话~~

先得删除%HomeDrive%\debug.txt

然后编辑注册表
HKEY_LOCAL_MACHINE :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Microsoft Update = wuamgrd.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\
Microsoft Update = wuamgrd.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Microsoft Update = wuamgrd.exe


HKU\[code number]\Software\Microsoft\Windows\
CurrentVersion\Run\Microsoft Update = wuamgrd.exe

HKU\[code number]\Software\Microsoft\Windows\
CurrentVersion\RunRunOnce\Microsoft Update = wuamgrd.exe

如果有,就删除~~~HKU那个不太容易找到的是[code number] 反正,搜索吧~~~~

方法译自Sophos~~~:)
最后充启~~~我想应该就没有了~~~:)
级别: 模拟专家
UID: 138
精华: 0
发帖: 518
威望: 0 星
金钱: 2102 浮游币
贡献值: 0 点
好评度: 69 点
人气: 0 点
在线时间: 34(时)
注册时间: 2004-03-25
最后登录: 2012-09-25
9楼  发表于: 2004-04-29 00:49

肯定是木马,在系统里有一个系统文件名字和她类似,可以肯定是!
级别: 模拟之星
UID: 331
精华: 0
发帖: 1280
威望: 0 星
金钱: 483 浮游币
贡献值: 0 点
好评度: 321 点
人气: 0 点
在线时间: 55(时)
注册时间: 2004-03-26
最后登录: 2012-12-03
10楼  发表于: 2004-04-29 17:55

大哥,这个病毒我发过了,怀疑是本人第一个发现此病毒,当时建议斑竹置顶没采纳

删除方法:1瑞星最新版
2手工删除1。用任务管理器结束此进程2,搜索注册表所有包含wuamgrd.exe的字段,删除(3-4个,基本都在启动相关键值)3进入安全模式,搜索wuamgrd.exe文件,删除

ps:当时我发现的时候还没有任何杀毒软件能杀,之后我发现此病毒并成功提取样本(按常规方法无法提取该病毒),之后2天后,将该病毒上报瑞星(打算领奖品,嘿嘿)结果2天后瑞星发出新版本,并向我回信说xx版已经查杀此病毒(即是刚发的这个新版本)强烈晕倒中!!!

pps:此病毒的危害是使其他计算机无法从网络访问该计算机(超级防火墙?em32.gif),并使计算机速度变慢