社区应用 最新帖子 精华区 社区服务 会员列表 统计排行 银行
  • 3902阅读
  • 23回复

求助!电脑中标!

楼层直达
级别: 荣誉会员
只看该作者 16楼 发表于: 2004-07-25

JYX你的电脑出现怎样的症状?


我是一只任人溅踏的幼小蚂蚁,只为生存,艰苦地活着

“Weir”更名“战斗妖姬”

呼号:BG7MPL
JYX
级别: 论坛版主
只看该作者 17楼 发表于: 2004-07-25

症状:一上网瑞星不停报警说已拦截worm 2003数据包。因而拖慢系统。已在注册表删除。


SYSTEM32下有个winlogon.exe文件没办法删除拒绝访问。但没见系统有什么异常。祸根!


担心不知道毒瘤几时出现恶化!


级别: 荣誉会员
只看该作者 18楼 发表于: 2004-07-25

系DOS下DEL他拉

级别: 总版主
只看该作者 19楼 发表于: 2004-07-25

你那台拿给24BB玩吧,该换一台了


到电脑论坛上去问问。

纷纷万事 直道而行
君阁车友全国QQ群:426784983
A24
级别: 总版主
只看该作者 20楼 发表于: 2004-07-25
以下是引用石河子在2004-07-25 10:35:58的发言:

你那台拿给24BB玩吧,该换一台了

..........


[fly][/fly]
http://WWW.VR2XUK.com
http://WWW.SZHAM.NET
JYX
级别: 论坛版主
只看该作者 21楼 发表于: 2004-07-25

站这说话不腰疼!那可是IBMA31图形工作站啊!花了我18600个大洋啊!不舍得不舍得

级别: 荣誉会员
只看该作者 22楼 发表于: 2004-07-25

要想杀病毒除了用杀毒软件外,还要不时使用专杀工具。还有近期微软的升级补丁有问题,升级后不但没有效果甚至造成系统运行速度减慢除非服务器,客户机建议不要用屏蔽自动更新吧!


金山毒霸“赛文”(Worm.Swen)专杀工具 2003.9.19.1


该蠕虫在发送病毒邮件时会使用随机的主题、内容和附件名称,且主题的内容信息多以“微软补丁发放、退信”的形式,让人很难加以判断,造成误打开病毒邮件,从而中招。蠕虫还会搜索系统中是否安装像“KaZaA”等点对点工具,或是“IRC”聊天工具,如果安装,它会利用这些工具的文件共享功能进行传播。蠕虫为了获得更强的生命力,它会强制中止大量反病毒软件、病毒防火墙和网络防火墙,以及替换大量文件关联,提高自己激活的机会。蠕虫激活后会造成部份应用程序运行失败,或者被蠕虫禁止运行,比如注册表查看器(Regedit.exe)程序。


家计算机病毒应急处理中心通过对互联网的监测,于2003年5月18日发现一种新型的电子邮件蠕虫病毒,经分析证实该蠕虫病毒是国外正在流行的“老板公司”变种(Worm_Sobig.B)病毒,该病毒在英国爆发情况较为严重,在我国也已经出现,我们接到了一些用户的求助,应急邮箱中也收到了被感染用户的计算机自动发送的病毒邮件。该病毒的主要特性如下:


截止到今天早晨,国内北京、深圳、上海等地都有用户遭受该病毒的感染,被感染用户在100例左右。


该病毒兼有蠕虫和黑客的功能,并能够通过局域网进行传播,局域网中一旦一台计算机被感染,病毒就会扩散到整个局域网,从而导致网内所有计算机均处于被控的危险状态,系统安全和信息安全收到极大的威胁。也就是说该病毒危害最严重的将会是政府部门和企事业单位的局域网。值得注意的是,由于病毒可以通过对Microsoft Outlook和Outlook Express中收到的邮件进行回复的形式向外发送病毒邮件,与以往的病毒邮件相比,更具欺骗性和迷惑性。


有关病毒的技术分析报告如下。


一、 感染系统


Windows 95/98/Me/NT/2000/XP


二、 技术特点


病毒名称:“老板公司”变种(Worm_Sobig.B)


病毒类型:蠕虫


病毒长度:52898


感染系统:Windows 95\\98 \\NT\\2000 \\ME\\XP


病毒特征:


病毒使用Visual C++编写,病毒使用自带的smtp引擎发送电子邮件,它将自身的拷贝发送给其它用户,病毒在具有下列扩展名为.dbx,.eml,.htm,.html,.txt,.wab的文件中搜索地址,将这些地址存入文件hnks.ini,并向他们发送病毒邮件。邮件形式如下:


发件人:support@microsoft.com


主题:(为下列之一)


Approved (Ref: 38446-263)
Cool screensaver
Re: Approved (Ref: 3394-65467)
Re: Movie
Re: My application
Re: My details
Screensaver
Your details
Your password



内容:All information is in the attached file.


附件:为下列之一,名称不同,但后缀名都为.pif



application.pif
approved.pif
doc_details.pif
movie28.pif
password.pif
ref-394755.pif
Screen_doc.pif
Screen_temp.pif
your_details


病毒运行后,在Windows文件夹下生成自身拷贝,并命名为msccn32.exe,同时创建注册表键值,以便在系统启动时,病毒能随系统启动而运行。


HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run


System Tray = %Windows%\\msccn32.exe


HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run


System Tray = %Windows%\\msccn32.exe


(%Windows%为Windows文件夹,通常默认安装的路径为C:\\Windows 或 C:\\WINNT)


病毒还在Windows目录下生成文件msdbrr.ini和hnks.ini
%Windows%\\MSDBRR.INI
%Windows%\\HNKS.INI


病毒还可以通过网络共享进行传播,它将自身拷贝到以下文件夹中,并通过网络共享进行传播
Documents and Settings\\All Users\\Start Menu\\Programs\\Startup
Windows\\All Users\\Start Menu\\Programs\\StartUp


蠕虫从4个Web站点下载文件,通过此种方法进行更新,并有可能在被感染的系统中执行一些操作,例如安装木马程序等。如果系统时间大于2003年5月31日,病毒将停止传播行为,而仅进行下载补充文件的行为。


国家计算机病毒应急处理中心再次提醒广大计算机用户及时升级杀毒软件并启动实时监控功能,关闭不必要的端口,以提高系统的安全性和可靠性,同时留意病毒邮件特征并谨慎收取电子邮件,可疑邮件及时删除。


国家计算机病毒应急处理中心通过对互联网的监测,于2003年5月12日通发现一种新型的邮件蠕虫病毒,经分析证实该蠕虫病毒是国外正在流行的“菲滋”(Worm_Fizzer.A)病毒。该病毒的主要特性如下:


病毒名称:“菲滋”(Worm_Fizzer.A)


病毒类型:蠕虫


感染系统:Windows 95/98/Me/NT/2000/XP


病毒特征:


病毒通过染毒电子邮件的附件进行传播,并可以通过IRC聊天工具,Kazaa点对点文件共享程序传播,另外,病毒还会记录键盘录入信息,终止反病毒软件的运行。通过自身定义的端口实现远程控制。


1、 通过电子邮件进行传播


通过邮件进行传播时,邮件的主题、内容和附件都不是固定的。病毒从Outlook中的联系人地址和Windows地址簿(WAB)中搜索邮件地址,并向这些地址发送带有病毒附件的电子邮件。染毒邮件的发件人有可能是伪造的电子邮件地址,而并不是真正的发件人地址。附件的扩展名为下列之一:.com, .exe, .pif, .scr。


染毒邮件的实例之一:
主题: Fwd: why?
正文: The peace
附件: desktop.scr


2、 生成病毒文件


一旦染毒附件被运行,病毒在Windows目录下释放病毒文件,其中initbak.dat和iservc.exe都是病毒自身的拷贝,ProgOp.exe为蠕虫部分,iservc.dll用于捕捉键盘的录入信息,而iservc.klg则为键盘录入信息的记录,即病毒获取键盘输入并将其加密存储与文件iservc.klg中。


3、 修改注册表


病毒创建注册表键值,以便病毒能随系统启动而自动运行


在HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\ Run 下创建
SystemInit = C:\\WINDOWS\\ISERVC.EXE
或SystemInit = C:\\WINNTS\\ISERVC.EXE


病毒用“.txt”的处理程序来注册自身,在此之后,在访问.txt文件的时候,病毒便随之运行。


4、 通过IRC传播


病毒对一些IRC服务器进行ping操作,一旦收到响应,就该服务器的通道建立连接,并等待攻击者的进一步指令。


5、 后门


病毒在81端口运行http服务,从而为攻击者提供远程控制的功能。>


6、 终止反病毒程序的运行


病毒会终止一些特定反病毒软件的运行,从而使得系统失去最基本的防护。


我是一只任人溅踏的幼小蚂蚁,只为生存,艰苦地活着

“Weir”更名“战斗妖姬”

呼号:BG7MPL
级别: 热心会员
只看该作者 23楼 发表于: 2004-07-26

是呀是呀,JYX成天逛咸网出事不值得同情!
偶奇怪的是石老大的资源有70%,为什么我的系统资源只有百分之三十多呢?偶是XP的.

快速回复

限100 字节
 
认证码:
上一个 下一个