病毒?木马?还是正常进程?(200分)

  • 主题发起人 主题发起人 Johnny_du
  • 开始时间 开始时间
J

Johnny_du

Unregistered / Unconfirmed
GUEST, unregistred user!
最近在所管理的机器上面发现了wuauclt.exe的进程,按理说该进程应该是Windows客户端更新的正常进程,并且在系统任务托盘中也出现了相关的更新图标与进度提示.但是奇怪的是该进程总是显示更新进行到7%,而且从未有过变化.并且从任务管理器中Kill掉后不一会儿就又冒出来了.所以狐疑是否病毒或木马进程,然后到Google搜了一通儿,果然发现有类似"坏蛋",但是该"罪犯"特征(如:位于windows目录下而非位于windows/system32目录下,以及存在C:/windows/wuauclt.exe,C:/windows/bbyb.exe,C:/windows/bbybs.exe,C:/windows/bbyb.dll,C:/windows/ies.dll等一系列作案特征等竟然一概未发现!).所以没有了主张,因而来此向各位讨个办法,或者说说到低这个东东是什么?有没有哪位碰到过类似的情况?欢迎踊跃发言!
 
wuauclt.exe 好像不是木码
 
进程文件:wuauclt.exe
进程名称:autoupdate for windows
描述:wuauclt.exe是windows自动升级管理程序。该进程会不断在线检测更新。删除该进程将使你无法得到最新更新信息。
出品者:microsoft corp
属于:microsoft windows
系统进程:是
后台进程:是
使用网络:是
硬件相关:否
常见错误:未知
内存使用:未知
安全等级:0
间谍软件:否
广告软件:否
病毒:否
木马:否
 
抄的
关于进程wuauclt.exe及如何彻底关掉这个进程- -


wuauclt.exe是MS的第五代更新程序。安装完微软最新的更新程序后,会在C:/windows/system32(如果你的系统安装在c盘的话)下生成wuauclt.exe和一个面板文件,并且每次启动计算机,都会自动后台运行wuauclt.exe,注册表启动是里找不到该值的,删除了wuauclt.exe后马上又会自动恢复,这是windows的文件保护机制,所以要先显示隐藏文件和系统文件后在system32里会看到dllcache这个文件,里面都是系统文件的备份,所以先删除dllcache里的wuauclt.exe,然后再删除system32里的wuauclt.exe,之后系统会弹出框,按取消再yes,这下启动计算机时进程里没了wuauclt.exe,但一上网,后台仍然会自动下载。

关闭方法如下:

1、点击“开始”→“运行”,输入命令“services.msc”,打开“服务”对话框,(注意:必须以管理员进入)。
2、找到“Automatic Updates”(自动更新):改为手动启动并停止它。Background Intelligent Transfer Service(空闲网络传输--专用与WINODWS升级有关的程序):改为手动启动并停止它。
3、关闭WINDOWS的自动更新功能。右键点击桌面上“我的电脑”的属性,进入“自动更新”,关闭它。

当你想升级时在开启上述3个程序,即可。

此方法适用于XP专业版,我已经试过了,的确好用,其他系统不知道,以后有时间我会试试。


在此感谢中国分布式计算论坛的SETI4413和zhh-happyhome
 
这个我也知道,就像是我说的一样,正常情况下“它”是个良民(是Windows的客户端更新程序),但是向我描述的这种有种种可疑表现的wuauclt.exe就值得怀疑了,总是觉得这个“它”像是打入人民内部的特务或恐怖分子一样...
 
下个ewido anti-spyware扫描一下吧 
 
转两贴给你看看:

wuauclt.exe病毒解决方案<script src="/aitd/aitd02.js"></script>
%system%文件夹中的wuauclt.exe是WINDOWS 自动更新的客户端。
然而,今天说的这个wuauclt.exe非%system%文件夹中的那个wuauclt.exe。这个位于%windows%文件夹中。
今天VirusTotal多引擎扫描结果,只有4家报,其中3家报可疑;AntiVir的启发式报“恶意程序。4家均未给出具体名称。
连接网络时,运行这个wuauclt.exe,它通过80端口访问61.128.196.671创建下列文件:

C:/windows/wuauclt.exe
C:/windows/bbyb.exe
C:/windows/bbybs.exe
C:/windows/bbyb.dll
C:/windows/ies.dll
C:/windows/noruns.reg(将其中内容导入注册表后,此文件被自动删除。)
在系统分区以外的所有分区根目录以及U盘根目录下创建sxs.exe和autorun.inf。
其中C:/windows/bbyb.dll动态插入应用程序进程。

C:/windows/wuauclt.exe删除注册表中瑞星、KV、卡巴斯基以及雅虎助手的启动项和服务项。有意思的是,它还删除一个流行木马NTdhcp.exe的启动项。

添加的注册表启动项为:
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
Microsoft

查杀:

结束C:/windows/wuauclt.exe进程。
该进程结束后,U盘中的sxs.exe和autorun.inf可直接删除。删除后,将U盘拔出。
然后,删除下列文件:
C:/windows/wuauclt.exe
C:/windows/bbyb.exe
C:/windows/bbybs.exe
C:/windows/bbyb.dll
C:/windows/ies.dll
删除其启动项。
 
wuauclt.exe是MS的第五代更新程序。安装完微软最新的更新程序后,会在C:/windows/system32(如果你的系统安装在c盘的话)下生成wuauclt.exe和一个面板文件,并且每次启动计算机,都会自动后台运行wuauclt.exe,注册表启动是里找不到该值的,删除了wuauclt.exe后马上又会自动恢复,这是windows的文件保护机制,所以要先显示隐藏文件和系统文件后在system32里会看到dllcache这个文件,里面都是系统文件的备份,所以先删除dllcache里的wuauclt.exe,然后再删除system32里的wuauclt.exe,之后系统会弹出框,按取消再yes,这下启动计算机时进程里没了wuauclt.exe,但一上网,后台仍然会自动下载。

关闭方法如下:

1、点击“开始”→“运行”,输入命令“services.msc”,打开“服务”对话框,(注意:必须以管理员进入)。
2、找到“Automatic Updates”(自动更新):改为手动启动并停止它。Background Intelligent Transfer Service(空闲网络传输--专用与WINODWS升级有关的程序):改为手动启动并停止它。
3、关闭WINDOWS的自动更新功能。右键点击桌面上“我的电脑”的属性,进入“自动更新”,关闭它。

当你想升级时在开启上述3个程序,即可。

此方法适用于XP专业版
 
to:aizhuzhu:
感谢你的热心参与,这两帖我也看过(你可能没有看清出我写的问题,我的问题中已经包含了对帖子一描述问题的回答了...)不过还是要谢谢你:)
 
欢迎继续踊跃参与发言!大家群策群力彻底揭开这个程序的面纱...
 
怎么气氛一点儿也不热烈啊!?200分应该不算少了吧??
 
用进程杀手先封住进程,再杀,绝对行得通,本人亲身亲历过,
去下载一个进程杀手
 
这个不能单纯的从文件名称判断是不是病毒,用杀毒软件看看!但是,windows里有很多程序是无法kill掉的,因为为了防止某些关键进程被异常结束,windows会为所有关键进程保存为一个快照,从而不断监视!如果病毒把线程注入到某个关键进程中当然也不会被关闭,各大防病毒网站都有病毒上报,你看你安装的是哪个杀毒软件,就到哪个网站上把该文件上传,请工程师为你检测!注意必须是正版用户才可以哦!因为会让你提交序列号还有网上升级的id!
 
用IceSword
 
感谢各位回答!周一回来散分^_^
 
有打开新端口就是木马
 
多人接受答案了。
 
您必须登录或注册才可回复。

Similar threads

Ray
[转]终于可以发布Delphi下收点OSGI精髓皮毛而设计的插件框架WisdomPluginFramework
回复
4
查看
5K
chlkuei
C
S
讨厌的 worm.concept 病毒 (100分)
回复
8
查看
132
smallbs
S
T
是不是“金山毒霸”惹的祸? 高分但求一解, 请大家一定看看吧!!!(100分)
回复
19
查看
338
Adnil
A
L
大家看看,是木马还是病毒? (100分)
回复
7
查看
160
liuyan
L
M
引导区病毒?(100分)
回复
9
查看
211
maomicn
M
后退
顶部