吟兄，萧兄，瘟兄,沧海兄等等高手请进来指点

云雾山 · 发表于 2005-4-1 15:06

[这个贴子最后由云雾山在 2005/04/02 10:04pm 第 1 次编辑]

从前天开始，偶的机子不知道出啥毛病了，光电鼠标移动不灵便了，非常非常涩，网络上不了，页面打不开。
用资源管理器查看进程没有变，但是cpu使用率一直都在80％以上。主要是一个ctfmon进程，一出现就涩，kv自带的木马一杀光提示出来，不管关闭提示、关闭进程都变涩。
我的系统是xp的，杀毒软件是kv、木马克星、Microsoft AntiSpyware。
昨天下午重新装了系统，刚开始的时候很正常，不久又出现了那个问题，正准备换瑞星杀毒软件的时候，今天上午在用Excel表格干活的时候莫名其妙的好了。
新系统的优化都是常规做法，基本和以前一样。有两个功能是以前的系统没有做过的，一个是dll清除出内存，还有就是启用了休眠功能（原来是取消了的）。
究竟是什么问题，吟兄，萧兄，瘟兄，沧海兄等等高手请指点一二。

吟风听月 · 发表于 2005-4-1 15:14

病毒，木马都升级杀过了？

云雾山 · 发表于 2005-4-1 15:30

恩，我的kv升级到3月30日的也没有杀出啥来，木马克星我看到最新的病毒库是3月31日的，但是已经没有办法升级了。
kv是正版，木马克星是d版但是可以自动升级的。
估计是啥系统问题，非常疑惑，请几位高手指点指点：）

吟风听月 · 发表于 2005-4-1 15:46

排除了病毒，木马，就是驱动问题了，还有就是硬件问题。这样，你先如下操作一下：控制面板—管理工具—服务—RISING REALTIME MONITOR SERVICE点鼠标右键，改为手动。试试看

云雾山 · 发表于 2005-4-1 17:11

谢谢吟兄。但是我现在还是用的kv。
嗯，忘记了一个重要细节。
在用ghost恢复的时候，发现恢复到一半的时候就停住了，连续两次都是这样，提示说影像中发现错误。
在重新装系统的时候，在没有删除分区之前无法安装，删除了c盘，重新格式化（还不能快格，只能慢慢格式，我当时已经很火了，想真不行就全盘低格掉），还好格式化之后安装就正常了。
可能是硬件问题。驱动应该没动的。

云雾山 · 发表于 2005-4-1 17:12

疑惑的是这个问题新系统装好之后也一度出现，所以特请诸位高手指教。

zdzd8888 · 发表于 2005-4-2 11:26

你装Office了吗～

云雾山 · 发表于 2005-4-2 19:27

老系统装的是office2002，新系统装的是office2000。

zdzd8888 · 发表于 2005-4-2 21:26

哦～
这个问题不好判断～
不过ctfmon是office的输入法进程～曾经有过这个进程存在问题的报告~

云雾山 · 发表于 2005-4-2 22:06

哦，好，把那个玩意干掉，估计是微软拼音3.0捣鬼。
谢谢，试试去

骨头 · 发表于 2005-4-3 18:50

路过，闪先。

野汉 · 发表于 2005-4-4 21:27

偶去前也碰到过这样的情况,..当时装的是win2000...最后查出是pack的问题..重新装过也就好了....
刚刚装好的系统病毒的可能性不太大...如果总是这样的话.有可能是硬件问题.看看内存是不是松动了

沧海十一狼 · 发表于 2005-4-5 10:02

严格的来说，ctfmon不是系统进程，它是控制Alternative User Input Text Processor (TIP)和Microsoft Office语言条。Ctfmon.exe提供语音识别、手写识别、键盘、翻译和其它用户输入技术的支持。我也怀疑是你的某些软件冲突。

云雾山 · 发表于 2005-4-5 17:41

下面引用由野汉在 2005/04/04 09:27pm 发表的内容：
偶去前也碰到过这样的情况,..当时装的是win2000...最后查出是pack的问题..重新装过也就好了....
刚刚装好的系统病毒的可能性不太大...如果总是这样的话.有可能是硬件问题.看看内存是不是松动了

谢谢兄台指点。
我没有动内存的，连机箱都没有开。硬件似乎没有问题，新系统的滚动条滚16下就启动了，而出问题的老系统启动的时候要滚38下。也许是某个漏洞问题吧。pack是某个溢出吗？能详细点说说吗？谢谢。2k和xp的内核基本一致，估计这个很有可能是真正的原因。

云雾山 · 发表于 2005-4-5 17:54

下面引用由沧海十一狼在 2005/04/05 10:02am 发表的内容：
严格的来说，ctfmon不是系统进程，它是控制Alternative User Input Text Processor (TIP)和Microsoft Office语言条。Ctfmon.exe提供语音识别、手写识别、键盘、翻译和其它用户输入技术的支持。我也怀疑是你的某　...

谢谢沧海兄指点。
估计是某些软件冲突引发了系统的某个漏洞吧，偶只装了两个系统补丁（震荡波和冲击波的）。最早停用了木马克星之后好了一下子，因为那个软件老和kv的木马一扫光互相攻击说对方是木马。新系统运行到现在一切顺利。
再次对各位的支持和指教表示衷心的感谢：）！

云雾山 · 发表于 2005-5-19 01:46

终于发现问题了。
看这个，果然是蠕虫。吟兄看得很准。
蠕虫别名：W32/Sasser.worm [McAfee] 震荡波[瑞星]
蠕虫信息：
　　W32.Sasser蠕虫是一个利用微软操作系统的Lsass缓冲区溢出漏洞（ MS04-011漏洞信息请参见http://www.ccert.edu.cn/announce/show.php?handle=101 ）进行传播的蠕虫。由于该蠕虫在传播过程中会发起大量的扫描，因此对个人用户使用和网络运行都会造成很大的冲击。
详细信息：
蠕虫感染系统后会做以下操作：
　　1.在系统中创建一个互斥体以保证系统中在任何时候有且只有一个蠕虫进程在运行。
　　
　　2.将自身拷贝为%Windir%\avserve.exe或者%Windir%\avserve2.exe（注意%windir%是个变量，它根据系统版本和安装路径不同而有所不同，通常情况是c:\windows或者c:\winnt）
　　
　　3.修改注册表，在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run　项中添加"avserve.exe"="%Windir%\avserve.exe"值这个操作保证蠕虫在系统重新启动后能够自动运行。
　　
　　4.利用AbortSystemShutdown函数（系统意外中断错误重起函数）使系统重新启动
　
　　5.开启一个FTP服务在TCP 5554端口，用来向其他被感染的机器传送蠕虫程序
　　6.产生随机的网络地址，尝试连接这些地址的TCP 445端口并发送攻击程序,一旦攻击成功，蠕虫会在被攻击的机器的TCP 9996端口上创建一个远程的shell,然后利用这个远程的shell执行命令让被攻击的机器连接到发起攻击的机器的FTP 5554端口上下载蠕虫文件并运行。这个被下载来的蠕虫文件名是由4-5个随机的阿拉伯数字和_up.exe组成的（如23423_up.exe）
　　
　　随机的地址按如下规则生成：
　　　　* 50%的机会是由系统随机生成的
　　　　* 25%的机会随机生成的ip地址的前八位（二进制）与本地的IP地址的前八位相同，也就是说在被感染IP地址相同的A类地址段中随机生成
　　　　* 25%的机会随机生成的ip地址的前16位（二进制）与本地IP地址的前十六位相同，也就是说在被感染IP地址相同的B类地址中随机生成
　　 7.发起128个线程对上面产生的IP地址进行扫描。新的变种会发起1024个线程扫描。蠕虫的这个操作会占用大量的系统资源，可能使CPU的负载到达100%无法响应系统的正常请求。

检测控制方法
个人用户控制方法：
* 安装相应的补丁程序
* 如果无法及时安装补丁程序，请使用防火墙阻断以下端口的数据连接
　135/tcp
　139/tcp
　445/tcp
　1025/tcp
　5554/tcp
　9996/tcp
网络控制方法：
　在边界路由器上添加如下规则阻断445端口上的数据
　access-list 110 deny tcp any any eq 445
查杀办法：
检查是否被感染的方法：
如果系统中存在以下特征就表明您已被W32.Sasser蠕虫感染了
　　* 系统进程中存在名为avserve.exe的进程
　　* 系统目录中存在avserve.exe文件
　　* 注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中存在"avserve.exe"="%Windir%\avserve.exe值
注意蠕虫在传播过程中如果失败，会导致系统产生异常错误重起，如果您的系统发现这种情况，请尽快安装相应的补丁程序。

吟风听月 · 发表于 2005-5-19 07:55

这类病毒有的真的是可恨，有的不在硬盘，所以即便是你格了也是没用。

紫贝壳 · 发表于 2005-5-19 09:19

这只虫上周也让我伤透心，生气之余，格了，还好它就死掉了

		自动登录	找回密码
密码			注册