请问一下winlogon.exe占用内存的问题？？？

显示全部楼层 · 2005-5-18 01:01:53

我的服务器装的是win2003企业版，最近发现可用内存越来越小。我查看进程，发现占用内存最大的竞然是winlogon.exe，占用了100多M。而我的服务器的oracle和tomcat占用的内存合起来也不过120多m，请问这刀底是怎么回事？？如何能够减少winlogon.exe占用的内存

千问 · 2005-5-18 01:01:53

顶一下，高手们给指点一下

千问 · 2005-5-18 01:01:53

北京江民新科技术有限公司病毒快速反应小组最新捕获新的网络蠕虫程序：I-Worm/Welyah, 该病毒使用的是Visual B编写的，该网络蠕虫程序与其他的网络蠕虫一样，是通过利用微软的Outlook邮件客户端程序的漏洞
来传播的。
　　我们知道微软的OUTLOOK邮件客户端程序*.wab和*.mbx程序文件中存放着一些电子邮件地址信息，另外的邮件程序还有以下的一些文件扩展名称：EML、DBX、XLS、XLT、MDB等。该网络蠕虫程序正是通过搜索这些文件来获得传播该网络蠕虫程序自身的电子邮件程序，而且该网络蠕虫不使用OUTLOOK程序设置的SMTP（发送邮件服务器）来发送邮件，而是使用自身的SMTP引擎来发送EMAIL带病毒信件。
　　SMTP的邮件地址是210.177.111.***, 域名是：mail.*****speed.com.hk。
　　含有病毒的邮件的附件是一个TXT纯文本文件，扩展名称还含有pif。
　　当该网络蠕虫被自动执行后，它将自身拷贝到WINDOWS的目录下，文件名称是Winlogon.exe,并且修改系统的注册表项目，使得每次系统启动时，该网络蠕虫程序都会被执行。修改的注册表的键值是：
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Winlogon]
　　除了文件Winlogon.exe外，它还会在当前目录下释放文件EMAIL.TXT以及EMAILINFO.TXT文件，这两个文件的内容是：EMAIL.TXT文件是病毒程序本身；EMAILINFO.TXT文件是邮件感染的地址列表。
　　该网络蠕虫利用的微软的MIME漏洞是：
　　http://www.microsoft.com/windows ... q290108/default.asp
　　在IE5.01、IE5.5以及IE6下的补丁程序分别是如下的下载地址：
　　http://www.microsoft.com/windows ... e501sp2/default.asp
　　http://www.microsoft.com/windows ... ie55sp2/default.asp
　　http://www.microsoft.com/windows/ie/downloads/ie6/default.asp
　　该网络蠕虫有变种，该网络蠕虫程序还有破坏性，驻留内存，发送带病毒邮件直接通过SMTP命令来发送，通过的是电子邮件来发送：含有病毒的信件的格式如下：
　　信件的主题是:Welcome to Yahoo!Mail
　　信件的内容是：Welcome to Yahoo!Mail
　　信件的附件文件名称是：README.TXT______________.PIF
　　值得一提的是，这个网络蠕虫程序的附件文件名称：README.TXT______________.PIF
　　比较有特点是这个附件的两个扩展名称TXT和PIF之间的空格长达125个空格，一般的用户会误认为没有PIF这个扩展名称。该网络蠕虫程序的破坏性表现在会随机删除当前目录下的文件。由于网络蠕虫将该病毒文件存放在WINDOWS的目录下，因此会随机删除WINDOWS下的系统文件，病毒修改的注册表键值如下：
　　(1)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run删除键数值：WINLOGON.EXE 其数值是：Windows\WINLOGON.EXE
　　(2)HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run删除键数值：WINLOGON.EXE 其数值是：Windows\WINLOGON.EXE
　　(3)HKEY_USER\.Default\Software\Microsoft\Windows\CurrentVersion\Run删除键数值：WINLOGON.EXE 其数值是：Windows\WINLOGON.EXE
　　内置的EXE文件不会在MICROSOFT OUTLOOK中看出来，附件的文件的类型是：audio/x-wav(声音文件),如果您不打补丁的话，当使用OE打开邮件时候，通常默认的应用程序Windows Media Player(媒体播放器)会自动将该文件打开。该网络蠕虫程序使用一个FTP服务器ftphd.pchome.com.tw并且使用内置的用户名称或者密码，
建立一个感染病毒的EMAIL地址。