|
 | 作者: guonix [guonix]
 论坛用户 |
登录 |
| 病毒特征: 1. Symantec AntiVirus提示C:\Winnt\System32\NetServers.exe有病毒,无法删除。(提示病毒好像是Nimda) 2. 用NetClient(网通拨号程序)拨号上网后,Symantec AntiVirus才有提示,其它时间无提示。 3. 四个可能有关的服务: 第一,显示名称为ll_reg,服务名称为ll_reg,运行Rundll32.exe Task688.dll ondll_server 第二,显示名称为Microsoft NetWork FireWall Services,服务名称为Microsoft NetWork FireWall Services,运行NetServices.exe 第三,显示名称为NetMeeting Remote Desktop (RPC) Sharing,服务名称为NetMeeting Remote Desktop (RPC) Sharing,运行Rundll32.exe Task688.dll ondll_server 第四,显示名称为Windows Management Instrumentation Driver Extension,服务名称为Windows Management Instrumentation Driver,运行C:\WINNT\System32\WinDriver.exe -start_server |
| 地主 发表时间: 05/08 21:53 |
 | 回复: somy [gefujian]  论坛用户 |
登录 |
|
顶一下,我也想知道!我在安全模式杀了一次,而且用搜索也找不到了,可有时诺顿就老是报警此病毒! [此贴被 somy(gefujian) 在 05月09日12时26分 编辑过] |
| B1层 发表时间: 05/09 12:49 |
 | 回复: CyberSpy [cyberspy]  论坛用户 |
登录 |
|
四级蠕虫“恶邮差”新变种 一种通过电子邮件以及网络共享传播的蠕虫病毒。蠕虫对Windows 9x的操作系统不起作用。运行时,蠕虫可能以下面这些文件名拷贝自己的副本到系统目录下:RAVMOND.EXE WINHELP.EXE WINGATE.EXE IEXPLORE.EXE WINDRIVER.EXE WINRPC.EXE KERNEL66.DLL (隐藏文件) 蠕虫文件的大小为107,008字节。 修改注册表启动项、txt文件打开的关联。病毒同时会在系统目录生成kernel66.dll、lly668.dll、Task688.dll、reg678.dll、111.dll文件,这是一个窃取密码的后门。病毒运行后会搜索本地文件目录,找后缀名是.ht*的文件,从这些文件中找邮件地址,并发带毒邮件。病毒还会枚举网上邻居,将病毒自己拷贝到对应机器共享目录中。另外,病毒会对局域网中的NT/2K/XP机器的Administrator、Guest用户进行密码猜测,当猜测中密码,病毒将自己复制到对方机器的的系统目录(system32),文件名为NetServices.exe,然后伪装成名字为“Microsoft NetWork FireWall Services”的服务并启动。从而感染了该机器。 请升级病毒库查杀或者搜索、下载专杀工具查杀,各大杀毒厂商均有专杀的 |
| B2层 发表时间: 05/09 13:24 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 病毒专区
标题: 求救,NetServices.exe病毒!!!