|
作者: niulong [niulong] 论坛用户 | 登录 |
我的机子的系统是windows me的,最近染了尼幕达,型号是worm.concept.57344。请问怎么拆除!!!谢谢大家了!!! 5555555555555―― |
地主 发表时间: 11/04 11:26 |
回复: hatorry [hatorry] 论坛用户 | 登录 |
金山毒霸专杀工具! 或者断网就可以手工清除了! |
B1层 发表时间: 11/04 19:53 |
回复: CyberSpy [cyberspy] 论坛用户 | 登录 |
Worm.Concept.57344概念蠕虫病毒简介(蠕虫病毒) 尼姆达专杀工具 这个病毒会通过email传播,当用户邮件的正文为空,似乎没有附件,实际上邮件中嵌入了病毒的执行代码,当用户用OUTLOOK、OUTLOOK EXPRESS(没有安装微软的补丁包的情况下)收邮件,在预览邮件时,病毒就已经不知不觉中执行了。病毒执行时会将自己复制到临时目录,再运行在临时目录中的副本。病毒还会在windows的system目录中生成load.exe文件,同时修改system.ini中的shell从shell=explorer.exe改为explorer.exe load.exe -dontrunold,使病毒在下次系统启动时仍然被激活。另外,在system目录下,病毒还会生成一个副本:riched20.dll。而riched20.dll目录在windows系统中就存在,而它就把它覆盖掉了。 而病毒复制到临时目录下的副本(有两个文件,文件名为???????.tmp.exe),病毒会在系统下次启动时将他们删除(修改wininit.ini文件)。 为了通过邮件将自己传播出去,病毒使用了MAPI函数读取用户的email并从中读取SMTP地址和email地址。病毒还在windows的临时目录下生成一个eml格式的临时文件,大小为79225字节,该文件已经用BASE64编码将病毒包含进去。然后,病毒就用取得的地址将带毒邮件发送出去。 病毒的第二种传播途径就是用跟CodeBlue极其相似的方法,使用了IIS的UNICODE漏洞。 病毒的第三种传播途径是通过局域网的共享,传播到其它windows系统下。 另外,病毒运行时会利用ShellExcute执行系统中的一些命令如:NET.EXE、USER.EXE、SHARE.EXE等命令,将Guest用户添加到Guests、Administrators组(针对NT/2000/XP),并激活Guest用户。还将C盘根目录共享出来。 |
B2层 发表时间: 11/04 23:11 |
回复: niulong [niulong] 论坛用户 | 登录 |
请问怎么手工删除? 谢谢啦!!!:( |
B3层 发表时间: 11/05 15:09 |
回复: CyberSpy [cyberspy] 论坛用户 | 登录 |
1、打开进程管理器,查看进程列表; 结束其中进程名称为“xxx.tmp.exe”以及“Load.exe”的进程(其中xxx为任意文件名);病毒此时已经没有运行了~ 2、切换到系统的TEMP目录,寻找文件长度为57344的文件,删掉它们;切换到系统的System目录,寻找名称为Riched20.DLL的文件; 3、查看Riched20.DLL的文件大小,系统的正常文件大小应该在100K以上,而Concept病毒的副本大小为57344字节,如果有长度为57344字节的Riched20.DLL,删掉它; 4、继续在系统的System目录下寻找名称为load.exe、长度为57344字节的文件,删掉它;如果出现“此程序正在被用,文件不能被删除”,则再结束进程一下~ 5、在C:\、D:\、E:\三个逻辑盘的根目录下寻找Admin.DLL文件,如果在根目录下存在该文件,则删除它; 6、打开System.ini文件,在[load]中如果有一行“shell=explorer.exe load.exe -dontrunold”,则改为“shell=explorer.exe”,这是在系统进入是就运行的一种方法~ 7、如果是WinNT或者Win2000以及WinXP系统,则打开“控制面板|用户和密码”,将Administrator组中的guest帐号删除,防止被攻击~ 8、打开共享文件夹管理,将共享“C$”去除,该共享为本地C:\的完全共享; 9、搜索整个机器,查找文件名为Readme.eml的文件,如果文件内容中包含 “<HTML><HEAD></HEAD><BODY bgColor=3D#ffffff><br> <iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0><br> </iframe></BODY></HTML> ” 以及 “Content-Type: audio/x-wav; name="readme.exe" Content-Transfer-Encoding: base64 ”,则删掉该文件。 应该ok了~ |
B4层 发表时间: 11/05 20:11 |
回复: niulong [niulong] 论坛用户 | 登录 |
我的那个进程里面没有exe的东西,但是有一个叫做cq的exe文件。不知道是不是你说的那个文件,还有,我用瑞行2003的杀毒软件,但是最后还是没有杀干警,天哪 |
B5层 发表时间: 11/06 15:14 |
回复: CyberSpy [cyberspy] 论坛用户 | 登录 |
到安全模式或者纯dos下杀 |
B6层 发表时间: 11/06 22:57 |
回复: liuqingzhi [liuqingzhi] 论坛用户 | 登录 |
杀呀! |
B7层 发表时间: 01/28 17:35 |
回复: china04561 [china04561] 论坛用户 | 登录 |
老大~~使用金山毒霸专杀工具!简单有效呀!干嘛使用手工呢~如果你不熟悉的话! |
B8层 发表时间: 01/31 13:08 |
回复: baboo [baboo] 论坛用户 | 登录 |
升级病毒库啊,要是盗版的话,就快去买正版的啊 |
B9层 发表时间: 02/03 18:30 |
回复: liuqingzhi [liuqingzhi] 论坛用户 | 登录 |
杀! |
B10层 发表时间: 02/09 15:52 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号