返回列表 发帖

求助。.

扫描类型: 实时防护 扫描
事件: 已发现病毒!
病毒名称: W32.Toxbot
文件: C:\WINDOWS\system32\Netlib.exe
位置:C:\WINDOWS\system32
计算机:BILLGATES
用户:wx
采用的操作:清除 失败 : 隔离 失败 : 拒绝访问
发现的日期: 2005年7月9日 21:52:35

装个系统啊,简单又方便,机器又象刚洗澡一样干净,,我一星期要装3次系统

TOP

3Q了 我去试试...郁闷 系统刚装好就跳出这个病毒警告 而且影响网速

TOP

似乎是WIN32病毒的变种,但网上还有没有其资料,按我和病毒对战这些年的经验来说:

找开隐藏文件看看有没有那个文件,删除它,有一些是删除不了,就到注册表删。再到注册表搜索文件名删除它。反正两个不可缺少,再重新开启计算机,再找找。

有一例是这样的,在这个
LOCAL_MACHINE---SOFTWARE---MICROSOFT--WINDOWS--CURENTVERSIONS--RUN 把带有-service有关的键值删掉就可以了








--------------------------------------------------------------------------------

-- 作者: 云儿
-- 发布时间: 2005/04/07 10:57pm


Worm@W32.Toxbot

Toxbot会透过系统漏洞来散播,请客户要泡网做系统更新


Worm@W32.Toxbot是一只网络骇虫,它会开启已中毒计算机上的IRC后门,并且会藉由系统的漏洞来散播。

基本介绍

病毒名称 Worm@W32.Toxbot
病毒别名 W32.Toxbot
病毒型态 Worm
病毒发现日期 2005/03/11
利用漏洞
MS04-011(英文)
MS04-011(中文)
影响平台 Windows 95/98/ME , Windows NT/2000/XP/2003

风险评估

散播程度:中
破坏程度:中

Worm@W32.Toxbot 行为描述:
注:在Win95/98/me %System% 默认值为 C:\windows\System

在WinNT/2000/XP/2003 %System% 系统默认值为 C:\WinNT\System32

骇虫会装置一个后门程序并允许远程的骇客透过IRC频道从已中毒的计算机来散播感染。

后门程序允许远程骇客运行下列的各项行为:

Log keystrokes

End processes

Steal cached passwords

Steal system information

Download remote files

骇虫会生成下列的服务:

Distributed Link Tracking Service

骇虫会开启在下列各项领域其中之一的TCP port6556上的一个后门:

i.randomized.it

0x90.devtech.us

0x41.memzero.info




透过病毒运行后,将骇虫本身复制到%System%

random file name.exe.
TrkWksvc.exe

[random file name]通常会有8个特征,可能的例子包括:

TrkWksrv.exe

dxdllsvc.exe

ciclient.exe


更改登录档,如此开机即会启动骇虫。

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\[random file name]

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\[random file name]

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\

Minimal\TrkWksvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\

Network\TrkWksvc

名称=(Default) 值=Service

TOP

返回列表