百城当日达:机器上中了net-worm.win32病毒

来源:百度文库 编辑:杭州交通信息网 时间:2024/04/30 12:14:14
机器上中了net-worm.win32病毒,病毒有后缀,比如:nimda.i,nimda.enc,还有别的。被感染的文件大多是desktop.eml,desktop.nws,还有riched20.dll。我的机器是卡巴斯基杀毒,可是杀不掉啊。一批批的来的特凶。局域网内别的机器也受到了感染。要用什么杀毒软件啊?谁能给推荐一个啊?谢谢。
木马杀客不好用,微点也不行。

警惕最新DIY蠕虫 Net-Worm.Win32.Dasher(黛蛇)

内容:
本周提醒广大用户注意一个最新DIY网络蠕虫:Net-Worm.Win32.Dasher(黛蛇),该病毒已经在最近几天内迅速出现多个变种。最新变种除了利用MS05-051外,还利用MS04-045、MS05-039、MSSQL-Hello等漏洞传播,受威胁的系统为:Windows 2000、Windows XP、Windows 2003。
病毒运行后会释放病毒相关文件到%system%、%program files%目录下,修改注册表文件,添加服务等。

以下是病毒释放的相关文件:
%System%winsResult.txt 结果文件
%System%winsSqlExp.exe Exploit.Win32.MS04-045.k
%System%winsSqlExp1.exe Exploit.Win32.MS05-039.ac
%System%winsSqlExp2.exe Exploit.Win32.MS05-051.d
%System%winsSqlExp3.exe Exploit.Win32.MSSQL-Hello.a
%System%winsSqlScan.exe NetTool.Win32.TCPPortScanner
%System%winsSqltob.exe Net-Worm.Win32.Dasher.b
%ProgramFiles%nzspfrwy.log keylog文件
%ProgramFiles%nzspfrwy.dll Backdoor.Win32.PcClient.ij
%ProgramFiles%nzspfrwy.dl1 Backdoor.Win32.PcClient.hp
%ProgramFiles%nzspfrwy.sys Backdoor.Win32.PcClient.ij
其中文件nzspfrwy.sys驱动HOOK系统SSDT来隐藏nzspfrwy*文件。第一次运行将nzspfrwy.dll插入到svchost进程,并启动一个隐藏的IE进程与远程主机通信。SqlScan.exe、SqlExp*.exe功能为扫描目标主机、溢出主机。

以下是病毒对注册表的操作:
新键键值:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters
键名:SMBDeviceEnabled
键值:dword:00000000
修改键值:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMSDTC
键名:Start
修改为:dword:00000004

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcSsParameters
键名:ServiceDll
修改为:%ProgramFiles%nzspfrwy.dll

病毒还会增加如下服务:
服务名称:nzspfrwy
显示名称:nzspfrwy
执行文件路径:C:Program Filesnzspfrwy.sys

解决方案: (本预警以WIN2000 PRO版为例)
1、任务管理器结束:Sqltob.exe、SqlScan.exe进程。
2、删除%System%wins下对应文件。
3、修改注册表键停止内核驱动:
开始→运行:regedit.exe
定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesnzspfrwy
修改Startdword值为4,重启动系统。
4、重启动后,会在任务管理器中看到没有被隐藏的IE进程,该进程无法用任务管理器结束,可以用ntsd -cq -p pid 结束。
删除%ProgramFiles%对应的病毒文件。
5、删除残余服务表项:
SC delete nzspfrwy
用注册表编辑器删除此键:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_NZSPFRWY
6、恢复HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcSsParameters表项:
键名:ServiceDll
病毒键值:%ProgramFiles%nzspfrwy.dll
恢复为:%SystemRoot%system32rpcss.dll
7、升级系统补丁。
8、在防火墙中屏蔽如下端口:
42
445
1025
1433

安天应急处理小组郑重提醒广大用户:
1.及时安装系统补丁。
2.不要随意点击来自论坛和即时通讯工具的连接,更不要执行远方传输来的可执行程序,不要轻信相关说明,形成二次传播。
3.使用安天木马防线2005+,木马防线全自动升级,可以为你的系统提供透明的保护。

附:
安天木马防线2005+试用版下载地址:
http://www.antiy.com/product/ghostbusters/index.htm
病毒上报信箱: submit@virusview.net

木马防线2005+:
木马防线2005+是安天实验室出品的个人信息安全产品,是木马防线2005的全新升级版,具备高效木马查杀、系统安全管理、实时网络防护等功能。
高效木马查杀:
采用高速智能检测引擎(SVE),能够完全查杀国内外流行的6万余种木马、后门、蠕虫、间谍软件、广告软件、黑客工具、色情拨号程序等,尤其对各类未知有害程序具有极高的检出率。
系统安全管理:
提供了丰富的安全管理工具,能够修复IE和注册表设置,管理系统中各项任务、进程、服务、共享资源和自启动项,监控网络的连接状态和开启的端口。
实时网络防护:
全新的安天盾防火墙功能更加强大,能够实时监控您的系统和网络,随时发现活动的木马等可疑程序,并能查封指定IP地址和端口,有效拦截各类诸如"冲击波""震荡波"的扫描攻击行为。

直接用记事本打开该文件,然后删除

机器上中了net-worm.win32病毒 Net-Worm.Win32.Nimda net-worm.win32.bobic.k_77 Net-Worm.Win32.VB.ac_1 Net-Worm.Win32.Bobic.K_55 我机子中了Net-Worm.Win32.mytob.t病毒,用卡巴斯基杀掉后不久就重新出现,怎么回事?? Net-worm.win32.bobic.k_45怎么清除? Net-Worm.Win32.Bobic.k_61是什么病毒? net-worm.win32病毒如何清除 net-worm.win32.bobic.k_43,是什么????