社区应用 最新帖子 精华区 社区服务 会员列表 统计排行 银行
  • 3907阅读
  • 23回复

求助!电脑中标!

楼层直达
JYX
级别: 论坛版主
收到无名邮件,打开后在我的C:WINDOWS/SYSTEM32下生成Winlogon.exe文件。2004版瑞星杀它不到。要删也拒绝访问。怎么办???操纵系统是瘟XP!
级别: 总版主
只看该作者 1楼 发表于: 2004-07-24

蠕虫病毒 Win32.Netsky.F 普及度:高 04年03月03


病毒名:Win32.Netsky.F
别名:I-Worm.NetSky.f (Kaspersky),
W32/Netsky.F@mm (F-Secure),
W32/Netsky.f@MM (McAfee),
W32/Netsky.gen@MM (McAfee),
WORM_NETSKY.F (Trend)
种类:Win32
类型:蠕虫

传播性:低
破坏性:低
普及度:高


特征:
Win32.Netsky.D是一种通过邮件和对等网的共享传播的蠕虫病毒。病毒是大小为17,424字节的可执行文件,

感染方式:
当病毒运行时它建立一个叫"[SkyNet.cz]SystemsMutex",的互斥体,来确保同时只有一个Netsky.D在运行。


病毒拷贝自己到:
%Windows%\\WINLOGON.EXE
病毒修改注册表来使自己能在WINDOWS启动时自动启动:
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\ICQ Net = "%Windows%\\winlogon.exe -stealth"


注释:’%system’是一个可变的目录。蠕虫根据被感染机器的操作系统决定当前的系统文件夹。默认情况下, WIN2000和NT的安装位置是C:\\WINNT\\SYSTEM32 ;95,98和ME的是c:\\windows\\system;xp的是c:\\windows\\systm32.


传播方式:
Netsky.F在以下扩展名的文件中查找邮件地址:
adb
asp
......
vbs
wab


它避免使用以下字符串:
icrosoft
......
fbi
abuse
病毒查找驱动器C到Z,但不会搜索光驱。


病毒利用自己的SMTP引擎发送邮件。邮件的发件人地址和收件人地址都使用搜索到的邮件地址。


邮件主题从下边这些里边选择:
Re: Document
Re: Re: Document
......
Re: Your website
邮件内容从这个列表里选择:
Your document is attached.
......
Your file is attached.
可能的附件名:
your_document.pif
......
your_website.pif


以下是一个由病毒产生的邮件的例子:




病毒建立16线程来进行邮件的发送,这样能提高病毒的传播速度。
蠕虫用会尝试使用本地的DNS服务器来决定目标地址的邮件服务器地址。如果病毒没能使用DNS服务器,那么它会在自己带的一个列表里查找。


危害:
病毒删除以下注册表键值,这些键值都是和别的病毒有关的:
HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\Taskmon
......
HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\Windows Services Host
HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices\\system.


病毒删除带以下字段的注册表键值:
HKCR\\CLSID\\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\\InProcServer32
HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\PINF
HLKM\\System\\CurrentControlSet\\Services\\WksPatch


发出噪音:
如果系统日期是2004年3月2日,时间是6,7,8点,病毒能让机器发出嘟嘟声,间隔在0。5秒左右。

纷纷万事 直道而行
君阁车友全国QQ群:426784983
级别: 总版主
只看该作者 2楼 发表于: 2004-07-24

此病毒有多个变种,由于你的防病毒软件查不出是哪一个,只能自己对照试试:


Worm_Netsky.C是“网络天空”病毒的又一个变种。该病毒通过邮件传播的蠕虫病毒,病毒邮件的发信人、主题、内容和附件都是不固定的。当病毒运行时,会生成病毒文件、修改和删除注册表项,并在共享文件夹下生成病毒文件。


清除该病毒的相关操作

1、终止病毒进程
在Windows 9x/ME系统,同时按下CTRL+ALT+DELETE,在Windows NT/2000/XP系统中,同时按下CTRL+SHIFT+ESC,选择“任务管理器——〉进程”,选中正在运行的病毒进程,并终止其运行。


2、注册表的恢复
点击“开始——〉运行”,输入regedit,运行注册表编辑器,依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run或


HKEY_CURRENT_USER\\Software\\Microsft\\Windows\\CurrentVersion\\Run ,


并删除面板右侧的<4到8个随机的小写字母>" = "%System%\\<生成的病毒的文件名>


注意:由于病毒可能关闭注册表进程,导致注册表无法正常打开。用户可以在对注册表编辑前,先查找到注册表文件regedit.exe,将其改名,如改为r.exe,然后再找到r.exe,打开并进行编辑,在杀毒后,再将r.exe更改为原来的名称regedit.exe即可。


3、运行杀毒软件对系统进行全面的病毒查杀,删除查找到的病毒文件


》》》》


专杀工具下载》


http://www.nctu.edu.tw/virus/virus%20tool/FxNetsky.exe

纷纷万事 直道而行
君阁车友全国QQ群:426784983
级别: 总版主
只看该作者 3楼 发表于: 2004-07-24

另外建议你更换杀毒软件,国内的这些瑞星、金山什么的炒作厉害,碰到真枪实刀就不行了。


杀毒软件的病毒库有无及时更新?


我一直用熊猫卫士(欧洲最好的杀毒软件),每日自动更新,到现在还没中过毒。再加iparmor木马克星,再加天网防火墙,再加IE保护器,再加微软的所有补钉,打造成一个超级无敌铜墙铁壁。

纷纷万事 直道而行
君阁车友全国QQ群:426784983
JYX
级别: 论坛版主
只看该作者 4楼 发表于: 2004-07-24

哇!那关光装补钉就要花去半天哦!

我先杀毒再说!

谢了!

XwX
级别: 荣誉会员
只看该作者 5楼 发表于: 2004-07-24

在DOS下杀毒最彻底。

http://www.crsky.com/soft/3302.htm

dos下的KV2004。找台干净的机器刻张启动光盘。

另,病毒防火墙要及时更新才可以防杀新病毒的,国内国外的软件都一样。

神决定了谁是你的亲戚,幸运的是在选择朋友方面他给了你留了余地. 
级别: 荣誉会员
只看该作者 6楼 发表于: 2004-07-24
小心,win2k/XP本身确实自带一个winlogon.exe文件它是系统登陆的重要文件,目前大多数部分病毒不再感染该文件,因它极容易被发现,但为安全起见用金山毒霸检测,毒霸对该种病毒是有告警的,另外该文件正确日期为2002.10.7这个日期与系统的其他文件日期相同。

我是一只任人溅踏的幼小蚂蚁,只为生存,艰苦地活着

“Weir”更名“战斗妖姬”

呼号:BG7MPL
JYX
级别: 论坛版主
只看该作者 7楼 发表于: 2004-07-24
以下是引用Weir在2004-07-24 10:16:32的发言:
小心,win2k/XP本身确实自带一个winlogon.exe文件它是系统登陆的重要文件,目前大多数部分病毒不再感染该文件,因它极容易被发现,但为安全起见用金山毒霸检测,毒霸对该种病毒是有告警的,另外该文件正确日期为2002.10.7这个日期与系统的其他文件日期相同。

真有这么一说?怪不的那些杀毒软件都不把它当病毒喽!

快速回复

限100 字节
 
认证码:
上一个 下一个