怎么启动ups.exe服务
“新版灰鸽子”的一些特点及手工查杀举例
目前,新版灰鸽子开始流行。看了几个网友的杀毒报告和HijackThis1.99.1扫的日志,归纳出以下特点,供朋友们自己动手查杀时参考:
1、木马文件所在位置不定。目前,看到三种情况:
(1)木马文件在%windows%文件夹中。这和“灰鸽子2005”没太大区别。
(2)木马文件在%windows%\Internet Explorer\文件夹中(这个文件夹是灰鸽子创建的)。
(3)木马文件在%system%\drviers\文件夹中。
2、可执行文件.exe的文件名变化不定。目前见到的有:
C:\windows\Internet Explorer\svchost.exe
C:\WINDOWS\system32\drivers\UPS.exe
3、共同的特点:
(1)以前的.DLL文件没了,改成了一个.DAT文件。可执行文件.exe与.DAT文件同在一个位置。.exe和.DAT文件名随机。我拿到的一个样本,感染系统后,在C:\windows\下创建一个名为Internet Explorer的文件夹;生成的木马文件位于C:\windows\Internet Explorer\文件夹内(杀毒前,用资源管理器看不到其中的木马文件)。用IceSword可看到这个文件夹中的两个木马文件svchost.exe和XXXXXX.DAT(XXXXXX为可变的大写英文字母)。
(2)HijackThis1.99.1日志中可以发现异常系统服务项O23。如:O23 - NT 服务: Network Device Host (virtual) - Unknown owner - C:\windows\Internet Explorer\svchost.exe。其中,括弧中的virtual就是要删除的注册表项;C:\windows\Internet Explorer\是木马可执行文件所在的文件夹,svchost.exe是木马的可执行文件。
(3)感染系统后,那个.DAT通过iexplore.exe插入系统中当前活动的多个正常程序的进程(见附图中的红色部分)。这正是灰鸽子难杀的根本原因。
4、手工查杀(以我拿到的那个样本为例):
在IceSword的“设置”中勾选“禁止进程创建,结束木马进程(本例是C:\windows\Internet Explorer\svchost.exe)、iexplore.exe(IE浏览器进程)。
用IceSword删除C:\windows\Internet Explorer\svchost.exe。
用IceSword删除木马添加的注册表项(本例是virtual和mchInjDrv,均位于HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\分支)。
在IceSword的“设置”中取消“禁止进程创建”,重启系统。
将C:\windows\Internet Explorer\整个文件夹删除。
按照这些步骤来配置 UPS: 操作: 1. 单击 开始 , 单击 设置 , 并再指向控制面板。
2. 双击 电源选项 。
3. 单击 UPS 选项卡。
4. 单击 选择 。
5. 选择制造商, 要配置, 然后单击完成。 (选一般.自定义,下一步全选正极)然后在管理工具-服务中启动。
用于 Microsoft Windows NT 4.0
1. 开始 , 指向 设置 , 依次 控制面板 。
2. 双击 UPS 。
3. 单击以选中复选框, 安装不间断电源 , 然后选择一个端口框列表中。
4. UPS 配置 , 下设置配置, 并单击 确定 。
症状
您无法配置不间断供电系统 (UPS)。UPS 服务无法启动,而且您可能会在 Ups.exe 中收到 Dr. Watson 访问冲突或应用程序错误信息。
原因
在下列情况下可能会发生这种问题: �6�1 将基于 Microsoft Windows 98 的计算机升级到 Microsoft Windows 2000。
�6�1 将基于 Windows 2000 的计算机升级到 Microsoft Windows XP。
解决方案
要解决此问题,请获取最新的 Windows XP Service Pack。有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322389 ( http://support.microsoft.com/kb/322389/) 如何获取最新的 Windows XP Service Pack
此更新可从 Microsoft Windows Update Web 站点获得。
立即下载 UPS Update ( http://windowsupdate.microsoft.com/)
发布日期:2001 年 10 月 25 日
有关如何下载 Microsoft 支持文件的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
119591 ( http://support.microsoft.com/kb/119591/) 如何从联机服务获取 Microsoft 支持文件
Microsoft 已对此文件进行了病毒扫描。Microsoft 使用的是该文件发布时可以获得的最新病毒检测软件。该文件存储在安全性得到增强的服务器上,以防止在未经授权的情况下对其进行更改。 此修复程序的英文版应具有以下文件属性或更新的文件属性:
你好,楼主只要你去微软的官方网站下载一个UPS的升级补丁的话问题就可以解决了http://support.microsoft.com/kb/310437/zh-cn这个网站提供下载的
答:运行里启动‘服务’的命令是:services.msc (本地服务)1、开始 - 运行输入services.msc;2、点击确定或按下键盘上的Enter回车键,就可以打开服务(本地)。
答:calc.exe 计算器 Bootvrfy.exe 通报启动成功 cacls.exe 显示和编辑ACL cdplayer.exe CD播放器 change.exe 与终端服务器相关的查询 (XP不可用) charmap.exe 字符映射表 chglogon.exe 启动或停用会话记录 (XP不可用) chgport.exe ...
答:(系统服务) ups.exe 管理连接到计算机的不间断电源(UPS)。(系统服务) wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。(系统服务) llssrv.exe License Logging Service(system service) ntfrs.exe 在...
答:(10)[lsass.exe] 进程文件: lsass or lsass.exe 进程名称: 本地安全权限服务 描述: 这个本地安全权限服务控制Windows安全机制。管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序等。 介绍:这是一个本地的安全...
答:方法二:使用sc.exe命令点击"开始→运行",键入"cmd"进入"命令提示符"窗口,键入"sc config RpcSs start= auto"命令,系统会显示"SC ChangeServiceConfig SUCCESS",这样就可以成功启动RPC服务。注意:要想使用...
答:你的电脑应该没用UPS,甚至,如果你用笔记本电脑,却使用了台式机系统,就会有控制面板显示:UPS 服务目前停止的状况。说了半天,就是,你应该没装UPS。 电脑自己重启,1 应该是你的电脑电源有问题:换电源。2 或者系统硬件...
答:一部分用户在激活电脑系统后,发现SoftwareProtection服务无法启动。SoftwareProtection服务对应的进程为sppsvc进程,其文件路径为C:\Windows\system32\sspsvc.exe。当要启动该服务的时候会提示“Windows无法启动SoftwareProtection服务”...
答:用终端服务得出查询结 果tsshutdn.exe -> Shutdown the system 关闭系统 unlodctr.exe -> Part of performance monitoring 性能监视器的一部分 upg351db.exe -> Upgrade a jet database 升级Jet数据库 ups.exe -> UPS service ...
答:(系统服务) GNe=Ar8 %%Ce/!7gf 3、ups.exe管理连接到计算机的不间断电源(UPS)。(系统服务) $aH:{'. GU ) \ 4、wins.exe为注册和解析NetBIOS 型名称的TCP/IP 客户提供NetBIOS 名称服务。(系统服务) T3% ...
答: 3、如果启动菜单是灰色的(不可用)服务属性→启动类型→自动或者手动→应用→启动→确定。 4、如果这个Software Protection服务(服务名称sppsvc)没有,需要从好的相同的操作系统中...