Top
首页 > 老文章 > 正文

我的服务器怎么了?――“广外女生”的查杀过程

这两天,自己在公司的一台Win2000服务器老是出现一些怪现象,不知怎么了,运行程序总是比较缓慢,而且经常 
发布时间:2002-08-02 16:42        来源:        作者:许永超
这两天,自己在公司的一台Win2000服务器老是出现一些怪现象,不知怎么了,运行程序总是比较缓慢,而且经常出现死机的现象,金山毒霸和天网防火墙也无法正常运行了。 而且使用任务管理器察看系统性能时,CPU的使用率总是100%。仔细察看了一下进程,老是有一个“DIAGFG.EXE”的陌生程序在运行,并且此程序对CPU的使用率总是在0%~98%之间变化,也不知道这个进程是不是导致我的服务器出现问题的原因,如果是,那么它对我的系统究竟做了什么?出现的这一大堆问题,真是让我手足无措,无奈,只得抱者这些问题到网上去寻求一些帮助了。 经过一段时间的查找与分析,终于发现了原来是一个叫“广外女生”病毒在我的服务器上作怪。这种病毒类似著名的特洛依木马病毒,能够远程监控及修改视窗系统的注册表,而且是专门冲着国内软件“金山毒霸”和“天网防火墙”而来,可以让这两者失去作用。“广外女生”原名为Trojan.GWGirls10A.192000,是广东外语外贸大学网络小组的“杰作”。它能运行于Win98/WinME/WinNT/Win2000系统中,除了可以让发出者操控受害者的计算机,还可以利用视窗系统的漏洞,破坏金山毒霸及天网防火墙的文件。该木马程序运行后,将会在系统的SYSTEM目录下生成一份自己的拷贝,名称为DIAGCFG.EXE,并关联.EXE文件的打开方式,如果直接删除了该文件,将可能会导致视窗系统所有.EXE文件无法打开。 病毒清除方法: 注意:这个步骤的次序不能颠倒,否则可能无法完全清除掉此木马。 1.按“开始”菜单,选择“运行”,输入regedit,按确定。打开下面键值: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\,但是先不要修改,因为如果这时就修改注册表的话,DIAGCFG.EXE进程仍然会立刻把它改回来的。 2.打开“任务管理器”,找到DIAGCFG.EXE这个进程,选中它,按“结束进程”来关掉这个进程。注意,一定也不要先关进程再打开注册表管理器,否则执行regedit.exe时, 就又会启动DIAGCFG.EXE。 3.把HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\ open\command\的键值由原来的C:\WINNT\System32\DIAGCFG.EXE "%1" %*改为"%1" %*。 4.这时就可以删除C:\WINNT\System32\目录下的DIAGCFG.EXE了。切记万万不可首先删除这个文件,否则的话就无法再系统中运行任何可执行文件了。 经过上面的一系列操作步骤之后,我的服务器恢复正常了。不过这时自己也是虚惊一场,如果一开始武断的认为那个陌生的DIAGFG.EXE程序是非法程序,而就把它直接删除的话,那后果将不堪设想。看来在做类似这样操作的时候,建议大家一定先要了解原因,并通过各种途径获知解决问题的办法,经过详细的分析后,再决定因该做些什么。不然,很有可能会导致整个系统的瘫痪。 
加载更多

专题访谈

合作站点
stat