究竟有谁能帮的了我？关于generic host process for win32 services

从昨天起，电脑只要一上网就会出现generic host process for win32 services这个东东，重做系统无效，只能怀疑是病毒，在瑞星网站上一看，明白了。
[快讯]8月14日上午，瑞星全球反病毒监测网在国内率先截获到两个利用系统高危漏洞进行传播的恶性病毒——“魔波（WormMocbota）”和“魔波变种B(WormMocbotb)病毒。据瑞星客户服务中心统计，目前国内已有数千用户遭受到该病毒攻击。
瑞星反病毒专家介绍说，该病毒会利用微软MS06-040高危漏洞进行传播。当用户的计算机遭受到该病毒攻击时，会出现系统服务崩溃，无法上网等症状。由于该病毒出现离微软发布补丁程序只有短短几天时间，有很多用户还没有来得及对系统进行更新。
因此，瑞星发出（三级）安全警报，瑞星反病毒专家预测将会有更多的电脑受到该病毒攻击，“魔波”病毒甚至有可能会像“冲击波”、“震荡波”病毒一样大规模爆发。
（图为系统遭受病毒攻击，出现服务崩溃症状）
根据分析，“魔波”病毒会自动在网络上搜索具有系统漏洞的电脑，并直接引导这些电脑下载病毒文件并执行。只要这些用户的电脑没有安装补丁程序并接入互联网，就有可能被感染。感染该病毒的计算机会自动连接特定IRC服务器的特定频道，接受黑客远程控制命令。用户的yhk帐号、密码及其它隐私信息都有可能被黑客窃取。由于病毒连接的IRC服务器在中国镜内，因此该病毒很有可能为国人编写。
针对此恶性病毒，瑞星已经升级。瑞星杀毒软件2006版184001版及更高版本可彻底查杀此病毒，请广大用户及时。同时，瑞星建议用户开启瑞星个人防火墙2006版，并关闭139及445端口。同时，登陆微软网站下载并安装MS-06-040补丁程序以防范此病毒攻击。遭受到该病毒攻击的用户，也可以拨打反病毒急救电话：010-82678800寻求帮助。

僵尸病毒 僵尸网络病毒，通过连接IRC服务器进行通信从而控制被攻陷的计算机。僵尸网络(英文名称叫BotNet)，是互联网上受到黑客集中控制的一群计算机，往往被黑客用来发起大规模的网络攻击，如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等，同时黑客控制的这些计算机所保存的信息也都可被黑客随意“取用”。因此，不论是对网络安全运行还是用户数据安全的保护来说，僵尸网络都是极具威胁的隐患。僵尸网络的威胁也因此成为目前一个国际上十分关注的问题。然而，发现一个僵尸网络是非常困难的，因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”，这些主机的用户往往并不知情。因此，僵尸网络是目前互联网上黑客最青睐的作案工具。 此病毒有如下特征： 1、连接IRC服务器； 1）连接IRC服务器的域名、IP、连接端口情况如下： 域名IP 端口 所在国家 0x80 194 64 194 64202167129 TCP/6556，TCP/1023 美国 0x80my-securename 1941091165 TCP/6556，TCP/1023 荷兰 0xffmemzeroinfo 无法解析 TCP/6556，TCP/1023 2）连接频道：#26#，密码：g3t0u7。 2、扫描随机产生的IP地址，并试图感染这些主机； 3、运行后将自身复制到System\netddesrvexe； 4、在系统中添加名为NetDDE Server的服务，并受系统进程servicesexe保护。 按照以下方法进行清除： 该蠕虫在安全模式下也可以正常运行。但可以通过清除注册表的方式在正常模式下清除蠕虫。手工清除该蠕虫的相关 *** 作如下： 1、断开网络； 2、恢复注册表； 打开注册表编辑器，在左边的面板中打开并删除以下键值： HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minmal\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minmal\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minmal\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetDDEsrv 3、需要重新启动计算机； 4、必须删除蠕虫释放的文件； 删除在system下的netddesrvexe文件。（system是系统目录,在win2000下为c:\winnt\system32，在winxp下为 c:\windows\system32） 5、运行杀毒软件，对电脑系统进行全面的病毒查杀； 6、安装微软MS04-011、MS04-012、MS04-007漏洞补丁

IRC是Internet Relay Chat 的英文缩写，中文一般称为互联网中继聊天。它是由芬兰人Jarkko Oikarinen于1988年首创的一种网络聊天协议。经过十年的发展，目前世界上有超过60个国家提供了IRC的服务。在人气最旺的EFnet上，您可以看到上万的使用者在同一时间使用IRC。很多人称其为继bbs后的一种即时闲聊方式，相比于bbs来说，它有着更直观，友好的界面，在这里你可以畅所欲言、而且可以表现动作化，是故使众多的网虫们留连忘返。
相比于ICQ来说，它更具人性化，而且是即时式的聊天，更接近真实的聊天情景。
IRC的工作原理非常简单，您只要在自己的PC上运行客户端软件，然后通过因特网以IRC协议连接到一台IRC服务器上即可。它的特点是速度非常之快，聊天时几乎没有延迟的现象，并且只占用很小的带宽资源。所有用户可以在一个被称为\\"Channel\\"(频道)的地方就某一话题进行交谈或密谈。每个IRC的使用者都有一个Nickname(昵称)，所有的沟通就在他们所在的Channel内以不同的Nickname进行交谈。
2004年年初，IRC后门病毒开始在全球网络大规模出现。一方面有潜在的泄漏本地信息的危险，另一方面病毒出现在局域网中使网络阻塞。
IRC - Stands for "Instant Relay Chat" Used for real time chat and transferring files over the Internet
IRC - Instant Relay Chat的缩写, 可以用来实时聊天和传送资料。
不要接受别人的文件（包括）, 除非他是一个你非常非常熟悉的人 如果你接受一个文件,当执行时没有任何反应或者执行后显示该执行文件为零字节( 0k ),那么你一定感染了病毒!
IRC原理介绍
================================================================
中转
理解 IRC 原理的关键就是理解其"中转"功能 什么是中转呢 我们来做
一个比较说明 假设, A 与 B 要交谈 如果不采用中转, 那么 A 直接建
立一条到达 B 的通信隧道, 二者通过这条通信隧道进行信息交流, 信息
流的方向为: A->B 和 B->A; 如果采用中转, 则需要有一个第三方来担任
中转角色, 设为 C, A 建立一条到达 C 的通信隧道, B 也建立一条到达
C 的通信隧道, 然后 A 与 B 通过 C 来间接进行通信, 信息流的方向为:
A->C->B 和 B->C->A C 就起着 A 与 B 间的中转站的作用 中转有什
么优点呢 中转的最大优点是使"群聊"能够方便地进行 恰当地说, 中转
模式为信息广播提供了方便 我们来举例子 假设 A, B 和 D 三者要一
起聊天 如果没有 C 的中转, 那么 A 要将所说的每句话分别发给 B 和
D; 如果有 C 做中转, 那么 A 将所说的话发给 C, 然后 C 将 A 的话分
别发给 B 和 D 可见, 当没有中转时, 每个参与聊天的计算机都要执行
信息广播的任务, 当存在中转时, 信息广播的任务全由中转者来执行
中转站 C 的存在使得信息交流过程中的工作任务发生分离, 可以把网络
环境好、机器配置高的计算机作为中转站来提供服务功能 这就形成了
IRC 的服务器-客户端 模型, 聊天者作为客户端, 连接到中转站服务器上
----------------------------------------------------------------
服务器网络
在上面的例子里, 只有一个中转者 C 来承担服务 当聊天者数量很多时,
会使 C 不堪重负 解决的办法是, 使用多个服务器, 服务器之间互相连
接成网络, 把聊天者分散到各个服务器上 服务器网络以树型结构互相连
通, 见下图 聊天者可以任选一个服务器连接 举例来说, 在北京建立一
个 IRC 服务器, 称为 BJ, 在上海建立一个 IRC 服务器, 称为 SH, 然后
将 BJ 和 SH 连接起来, 组成一个只有两个服务器的 IRC 网络 北京的
用户连接到 BJ 上, 上海的用户连接到 SH 上, 这样北京的用户就可以与
上海的用户聊天了 其他地区的用户可以根据地理位置的远近选择使用
BJ 或 SH 服务器 概括地说, 聊天网络上的每个服务器都是一个中转站,
当它从一个服务器或客户收到一条消息时, 就将该消息转发给其它服务器,
同时也根据具体情况, 决定是否将消息转发给连接到自己的用户
----------------------------------------------------------------
频道
频道的本质是广播组 用户可以进入一个频道, 也可以离开一个频道 当
一个用户朝频道说话时, 频道里的其他用户都能收到他的话(由服务器中
转) 当第一个用户进入频道时, 频道被创建, 当最后一个用户离开频道
时, 频道被取消 因此, 从用户的角度看, 频道就是聊天室 下面说说频
道之所以被称为"频道"的原因 如果一个聊天网络有多个服务器, 频道要
由服务器共同维护 举一个例子 有三个服务器, 连接方式为 A-B-C 在
服务器A上, 有第一个用户进入 #IRC 频道, 这时, 服务器A上即创建频道
"#IRC", A 将频道 "IRC" 的创建消息发给 B 和 C 由于 B 和 C 上都没
有用户位于 #IRC 频道, 因此不执行任何 *** 作 在这以后, 服务器C上有
一个用户进入 #IRC 频道, 此时服务器C上也创建频道 "#IRC", C 将
"#IRC" 的创建消息发给 A 和 B 之后, 需要执行以下 *** 作: B 上建立频
道 "#IRC" 并将 A 与 C 的 "#IRC" 频道连接起来, 组成一个统一的
#IRC 现在, 虽然 B 上没有用户位于 #IRC 频道内, 但是 B 上也开通
了 #IRC 频道 可见, 频道好像一条通信管道, 将所有开通此频道的服务
器贯穿起来, 信息流在这个管道中流通
----------------------------------------------------------------
请求与应答
IRC上的信息交流采用请求与应答的模式 请求是由服务器或客户端发出
的, 其目的是请求(另)一个服务器执行某个 *** 作或提供某些信息; 应答是
服务器对一个请求的回应信息 请求通常被称为命令; 由于对每种应答都
规定了一个三位数字做标识, 应答也称为数字应答(numeric reply)

BackDoorRBotaaa
破坏方法：RBot变种。
集黑客，蠕虫，后门功能于一体。通过局域网共享目录和利用系统漏洞进行传播。
体内带有弱口令字典，用户如不注意设定密码则系统很容易被攻破。
写了注册表启动项，每次开机病毒都能启动。
运行后连接特定IRC服务器的特定频道，接受黑客控制，发送本地信息。
接收黑客发来的命令在本地执行。并将执行结果发回IRC聊天频道。
病毒会扫描网段内的机器并猜测共享密码，会占用大量网络带宽资源，容易造成局域网阻塞。
一、IRC（Internet Relay Chat）连接。
试图通过"cccoxywwcom" 的TCP 34601 端口建立通讯。
二、文件和注册表
1 复制自己到系统目录，命名为“systemexe”。
2 在下列键添加启动项“Login”使病毒随Windows的启动而自动运行。每隔一分钟进行一次修改。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion
\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion
\RunServices
3 修改系统设置。每隔两分钟进行一次修改。
HKEY_LOCAL_MACHINE\Software\Microsoft\OLE\EnableDCOM = N
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
\restrictanonymous = 0x1
三、监听本地113端口，建立通讯后，接收远程控制命令。可以进行下列控制 *** 作。
1 偷用户正版游戏的序列号。
Command & Conquer Generals 、
FIFA 2003 、NFSHP2 、SOF2 、
Soldier of Fortune II - Double Helix
Battlefield 1942
Project IGI 2 、Unreal Tournament 2003
Half-Life
2 猜测局域网内其他机器的ipc连接密码。一旦成功连接，把病毒复制过去，并运行起来，进行新的破坏。病毒带有一个密码字典，包含一百多个数字、字母、词汇的简单组合。
3 记录键盘输入。通过这种方式可以获得用户的各种密码（Windows登陆、邮箱、论坛、游戏、网络支付等等）。
4 发动SYN 攻击，造成指定机器拒绝服务。
5 下载文件并运行。往往用作传递新的远程控制程序，进行直接控制。
6 终止系统的进程和线程。
四、病毒频繁的扫描内存进程，终止并禁止反病毒软件的运行。
五、病毒可以建立一个>