|
 | 作者: everyday [everyday]
 论坛用户 |
登录 |
| 端口号 协议 远程主机 远程端口 状态 可疑活动 68: UDP 0.0.0.0 0 监听 123: UDP 0.0.0.0 0 监听 135: TCP 0.0.0.0 0 监听 135: UDP 0.0.0.0 0 监听 500: UDP 0.0.0.0 0 监听 1025: TCP 0.0.0.0 0 监听 1026: TCP 0.0.0.0 0 监听 1027: UDP 0.0.0.0 0 监听 Trojan.Huigezi.e 1028: TCP 0.0.0.0 0 监听 1900: UDP 0.0.0.0 0 监听 2234: UDP 0.0.0.0 0 监听 3001: TCP 0.0.0.0 0 监听 3002: TCP 0.0.0.0 0 监听 3003: TCP 0.0.0.0 0 监听 3005: UDP 0.0.0.0 0 监听 3006: TCP 0.0.0.0 0 监听 5000: TCP 0.0.0.0 0 监听 WindowsXP服务器,Blazer 5,Bubbel,Back Door Setup,Sockets de Troie 6767: UDP 0.0.0.0 0 监听 KiLo,UandMe |
| 地主 发表时间: 08/26 11:21 |
| 回复: everyday [everyday] 论坛用户 |
登录 |
|
KiLo,UandMe 其中这个病毒我在GOOGLE搜索 只在几个国外的网站看到 好象是一种木马 |
| B1层 发表时间: 08/26 11:26 |
 | 回复: k_com [k_com]  论坛用户 |
登录 |
|
恭喜啊~有灰鸽子 |
| B2层 发表时间: 08/26 18:49 |
 | 回复: acheron [acheron]  论坛用户 |
登录 |
|
(转载) 这个病毒是Huigezi的最新变种,开辟后门的手法正中普通防火墙的软肋。 一:驻留系统的行为如下: 1.将自己拷贝到系统目录,命名为SVCH0ST.EXE(其中“O”是数字)。 2.释放脚本文件DELETEME.BAT,用来删除自己和临时文件。 3.释放WINSOCKS.DLL。 该木马将WINSOCKS.DLL映射到系统程序explorer中,并在其中创建新的线程。 这样,病毒以系统资源管理器的名誉开始对系统进行破坏: 二、破坏动作如下: 1.注册表: 创建和修改下列键和键值 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RAVMOND HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\RAVMOND HKCU\Software\Microsoft\Windows\CurrentVersion\Run\RAVMOND HKCR\exefile\shell\open\command\ 登记为自启动,破坏exe文件打开方式,取得运行机会。 2.监听UDP 1027 端口,打开系统后门,等待连接。 现在的防火墙都是以进程作为过滤对象,几乎所有的用户会将资源管理器explorer设置为 默认放行对象。这样病毒可以名正言顺地穿过防火墙,对系统进行任意控制。 建议杀毒 |
| B3层 发表时间: 08/27 12:11 |
| 回复: everyday [everyday] 论坛用户 |
登录 |
|
大家能不能给个可行的办法啊比如说格式化重装行不? |
| B4层 发表时间: 08/27 17:17 |
| 回复: k_com [k_com] 论坛用户 |
登录 |
|
如果你那么做,我是不反对的`````~~~答案:可以 |
| B5层 发表时间: 08/30 03:20 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 病毒专区
标题: 我用优化大师查出的大家看看,我该怎么办?