标题:
求助。.
[打印本页]
作者:
wx19871124
时间:
2005-7-9 21:52
标题:
求助。.
扫描类型: 实时防护 扫描
事件: 已发现病毒!
病毒名称: W32.Toxbot
文件: C:\WINDOWS\system32\Netlib.exe
位置:C:\WINDOWS\system32
计算机:BILLGATES
用户:wx
采用的操作:清除 失败 : 隔离 失败 : 拒绝访问
发现的日期: 2005年7月9日 21:52:35
作者:
蝴蝶效应
时间:
2005-7-9 22:09
似乎是WIN32病毒的变种,但网上还有没有其资料,按我和病毒对战这些年的经验来说:
找开隐藏文件看看有没有那个文件,删除它,有一些是删除不了,就到注册表删。再到注册表搜索文件名删除它。反正两个不可缺少,再重新开启计算机,再找找。
有一例是这样的,在这个
LOCAL_MACHINE---SOFTWARE---MICROSOFT--WINDOWS--CURENTVERSIONS--RUN 把带有-service有关的键值删掉就可以了
--------------------------------------------------------------------------------
-- 作者: 云儿
-- 发布时间: 2005/04/07 10:57pm
Worm@W32.Toxbot
Toxbot会透过系统漏洞来散播,请客户要泡网做系统更新
Worm@W32.Toxbot是一只网络骇虫,它会开启已中毒计算机上的IRC后门,并且会藉由系统的漏洞来散播。
基本介绍
病毒名称 Worm@W32.Toxbot
病毒别名 W32.Toxbot
病毒型态 Worm
病毒发现日期 2005/03/11
利用漏洞
MS04-011(英文)
MS04-011(中文)
影响平台 Windows 95/98/ME , Windows NT/2000/XP/2003
风险评估
散播程度:中
破坏程度:中
Worm@W32.Toxbot 行为描述:
注:在Win95/98/me %System% 默认值为 C:\windows\System
在WinNT/2000/XP/2003 %System% 系统默认值为 C:\WinNT\System32
骇虫会装置一个后门程序并允许远程的骇客透过IRC频道从已中毒的计算机来散播感染。
后门程序允许远程骇客运行下列的各项行为:
Log keystrokes
End processes
Steal cached passwords
Steal system information
Download remote files
骇虫会生成下列的服务:
Distributed Link Tracking Service
骇虫会开启在下列各项领域其中之一的TCP port6556上的一个后门:
i.randomized.it
0x90.devtech.us
0x41.memzero.info
透过病毒运行后,将骇虫本身复制到%System%
random file name.exe.
TrkWksvc.exe
[random file name]通常会有8个特征,可能的例子包括:
TrkWksrv.exe
dxdllsvc.exe
ciclient.exe
更改登录档,如此开机即会启动骇虫。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\[random file name]
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\[random file name]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\
Minimal\TrkWksvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\
Network\TrkWksvc
名称=(Default) 值=Service
作者:
wx19871124
时间:
2005-7-9 22:13
3Q了 我去试试...郁闷 系统刚装好就跳出这个病毒警告 而且影响网速
作者:
9202302
时间:
2005-7-9 23:05
装个系统啊,简单又方便,机器又象刚洗澡一样干净,,我一星期要装3次系统
欢迎光临 浆糊论坛-RO小站 (http://bbs.rohome.cn/)
Powered by Discuz! 7.2