微软技术崇拜者

Start:2005-08-05 一个ITer的Blog/微软技术追随者--谁是最会利用网络的人?--网络居士 =====活好当下,才有将来!=====
  首页  :: 新随笔  :: 联系 :: 订阅 订阅  :: 管理

services.exe倒计时1分钟关机

Posted on 2006-09-16 13:08  2006 Jackie Qin  阅读(4558)  评论(0编辑  收藏  举报

services.exe倒计时1分钟关机

星云电脑教程 文章来源:网络 作者:星云 更新时间:2006-6-20 15:38:50 有问必答
本文转自:星云电脑教程www.gonet8.com

  昨天晚上开机不到一小时,打开了几个不知名的小网站,过了一会,发现ie什么网站都打不开了,qq还可以正常运行!同时发现开始中的只剩下了“设定程序访问和默认值和windows update”这两个了,打开卡巴斯基杀毒软件发现很多功能也不能正常显示,windows任务管理器打开后发现性能这个栏目什么也不能显示,这样的问题还是第一次见到,只好重新启动电脑,只有强行关机!
  结果让人很失望,开机马上出现倒计时1分钟关机!
  提示c:\windows\system32\services.exe 不能用,代码0
  幸好电脑上做了ghost备份!
今天在网上找了一下关于这样的问题,把他们整理如下:

services.exe

我新装的win2000sp4 ,在上网升级杀毒软件以后作了ghost 镜像备份。在上网后出现电脑死机,重启后出现系统自动关机(60秒):报错为 :c:/winnt/system32/services.exe    错误代码128。我以为是系统漏洞所致病毒感染,于是用ghost启动盘重新恢复系统。然后又可以正常使用了,上网下载了2000的补丁程序。过了一阵子又出现上述的错误,自动关机,我再用ghost恢复,还是上网一阵子又出现同样的错误。查看注册表,不像是振荡波病毒感染,用将民杀毒也没用。请高手帮帮忙,我该怎么办呢?谢谢


8月15日,金山反病毒应急处理中心截获一个针对微软系统严重漏洞进行主动攻击的病毒,并命名为zotob(worm.zotob.a)。金山的反病毒专家说,zotob病毒利用漏洞主动传播,对于个人电脑的危害非常大,其危害程度与当年的震荡波相似,一旦被攻击,用户的电脑将会出现不断重启、系统不稳定等情况。病毒作者叫嚣杀掉这个病毒的杀毒软件将于24小时内被剿杀!
zotob利用5天前微软刚刚公布的严重系统漏洞,windows plug and play 服务漏洞 (ms05-039), 攻击tcp端口445,和冲击波、震荡波方法类似,攻击代码向目标系统的445端口发送漏洞代码,使目标系统造成缓冲区溢出,同时运行病毒代码,进行传播。    病毒攻击目标系统时,可能造成系统不断重启,与震荡波、冲击波发作的时候类似,只不过在zotob影响的进程变了,变为系统关键进程“service.exe”, zotob其实是mytob的最新变种。mytob是前一阵大肆泛滥的邮件病毒。此次变种,更是加入了5天前才公布漏洞补丁的系统严重漏洞(windows plug and play 服务漏洞 (ms05-039) )进行主动攻击,使其大大提高了病毒传播的广度。因此,zotob除了利用漏洞攻击外,还具有邮件传播、自动下载新病毒等等这些与邮件病毒所具有的危害,使中毒用户遭受打击。
病毒运行后,将在系统目录下创建botzor.exe文件,大小为22528字节。在注册表中添加下列启动项:
hkey_local_machine\software\microsoft\windows\currentversion\run]  "windows system" = botzor.exe ; [hkey_local_machine\software\microsoft\windows\currentversion\runservice

"windows system" = botzor.exe
这样,在windows启动时,病毒就可以自动执行。
“极速波”病毒通过tcp端口8080连接irc服务器,接受并执行黑客命令。可导致被感染计算机被黑客完全控制。并在tcp端口33333开启ftp服务,提供病毒文件下载功能。利用微软即插即用服务远程代码执行漏洞(ms05-039)进行传播。如果漏洞利用代码成功运行,将导致远程目标计算机从当前被感染计算机的ftp服务上下载病毒程序。如果漏洞代码没有成功运行,未打补丁的远程计算机可能会出现services.exe进程崩溃的现象。
该病毒的危害还在于,病毒会修改%systemdir%\drivers\etc\hosts文件,屏蔽大量国外反病毒和安全厂商的网址。并对反病毒厂商提出公开挑战:第一个发现的反病毒软件 将在24小时内遭到“剿杀”。(msg to avs: the first av who detect this worm will be the first killed in the next 24hours!!!)

影响系统:
microsoft windows xp sp2
microsoft windows xp sp1
microsoft windows server 2003 sp1
microsoft windows server 2003
microsoft windows 2000sp4
microsoft windows即插即用(pnp)功能允许操作系统在安装新硬件时能够检测到这些设备。
microsoft windows即插即用功能中存在缓冲区溢出漏洞,成功利用这个漏洞的攻击者可以完全控制受影响的系统。
起因是pnp服务处理包含有过多数据的畸形消息的方式。在windows 2000上,匿名用户可以通过发送特制消息来利用这个漏洞;在windows xp service pack 1上,只有通过认证的用户才能发送恶意消息;在windows xp service pack 2和windows server 2003上,攻击者必需本地登陆到系统然后运行特制的应用程序才能利用这个漏洞。
该代码危害极大,可以远程获得计算机的全部权限而该电脑只要连接到intelnet或者局域网内即可,还可以制作zotob类似病毒,请勿使用该代码从事非法活动!
注意如果不采取防护措施,即使什么都没有做也会中毒同震荡波一样!
提醒大家升级杀毒软件,及时打好系统补丁
该代码危害极大,可以远程获得计算机的全部权限而该电脑只要连接到intelnet或者局域网内即可,还可以制作zotob类似病毒,请勿使用该代码从事非法活动! 
注意如果不采取防护措施,即使什么都没有做也会中毒同震荡波一样!
先锋提醒大家升级杀毒软件,及时打好系统补丁
厂商补丁:
  microsoft
microsoft已经为此发布了一个安全公告(ms05-039)以及相应补丁:
ms05-039:vulnerability in plug and play could allow remote code execution and elevation of privilege (899588)
链接:[url]http://www.microsoft.com/technet/security/bulletin/ms05-039.mspx@pf=true[/url] 0>
补丁下载:
microsoft windows 2000 service pack 4 – 下载更新:
[url]http://www.microsoft.com/downloads/details.aspx@displaylang=zh-cn!amp;familyid=e39a3d96-1c37-47d2-82ef-0ac89905c88f[/url]
microsoft windows xp service pack 1和microsoft windows xp service pack 2 – 下载更新:
[url]http://www.microsoft.com/downloads/details.aspx@displaylang=zh-cn!amp;familyid=9a3bfbdd-62ea-4db2-88d2-415e095e207f[/url]


使用网络防火墙,或是使用ip安全策略屏蔽住445端口即可!


这个问题近期出现比较多,我这里暂时还没找到很有效的办法
只能凭空提几个建议:
1。保证杀毒软件的及时更新
2。保证系统补丁的完整
3。关掉不常用而又有危险的服务,根据情况自行调整
4。关掉一些危险端口如135 137 138 139 445等端口(可使用一些防火墙来定义)
5。登陆的administrators组的帐号,把密码给设置稍复杂些(弱口令或空口令非常容易被攻击)

所能说的也只有这么多了,希望能尽快找到解决办法

可能是系统不能升级,中了阻击波。快打上补丁,现在有的杀软已经出专杀工具了。