2007.02.17更新:


这个watchclient.exe可能有点特殊.最终经过证实.此文件确为北信源 的某款ip-mac类监控软件进程.分析原因可能是该软件对ip监控造成的.虽然如此,本文的解决步骤还是有一定意义的.

 

 

 

 

本文是一个比较郁闷的病毒    的后续文章,重新组织一下,偏于骗分。

    故障:一内网机器突然无法上网,CMD下ipconfig/all常规检查时,发现地址为0.0.0.0/255.0.0.0;而在tcp/ip属性中则显示为192.168.0.2/255.255.255.0(假设为分配地址),当光标点中ip地址框内准备重新输入ip时,系统提示“指定了一个无效的ip地址”(大概就是这个意思了)。把TCP/IP协议删除重装并填入正确的ip地址信息后,机器上网正常。

            正准备收工闪人时,机器又无法上网了,ipconfig/all显示地址仍为0.0.0.0/255.0.0.0。

    分析:因在现场时未带任何工具,于是运行msconfig,发现启动项中加载了不少可疑进程。初步判断为病毒,但印象中好象没有类似的病毒现象啊!!(至今没有找到相关的个例,希望有这方面经验的朋友能给俺解惑)

    处理一:将机器带回后从光驱引导winxpe光盘杀毒.病毒n,重起后无效。

    处理二:看来病毒是加了壳啦!!只能手工查杀。

这里推荐
Process Explorer10.2. :查看启动项、进程、服务
 
 
 
icesword:比pe功能更多,比如定位删除文件等,国产
 
 
KillBox:删除顽固文件,支持延迟删除
 
 
 
 
     通过PE10。2,发现了一个名为“watchclient.exe”的进程,此前的杀毒过程中我没考虑这个进程,因为这个进程对应了系统服务中一个名为“VRVWATCHSERVER”的服务。本机中还有vrvedp_m.exe、vrvsafec.exe、vrvrf-c.exe等进程,当时想当然的把vrvwatchserver服务和后3个进程视作同一个软件;而后2个进程是 北信源  公司的一款内网监控软件驻留内存的程序。
    经网上搜索,得知watchclient.exe文件可能是灰鸽子的服务端。
需要注意的是,vrvwatchserver服务无法在正常模式下手动停止,我是用pe10。2停止的。然后使用killbox删除watchclient.exe,最后删除HK_LOCAL_MACHINE_MACHINE\SYSTEM\CURRENT CONTROLSET\SERVICES下残留的“vrvwatchserver服务”项。
    另外,在c盘还有个隐藏文件为"vrvreg.log",用记事本打开后,发现为灰鸽子的运行日志,记载了watchclient.exe运行后自动从某处下载2个文件(记不清楚了),使用killbox删除。
 
重起后,机器测试正常。