|
 | 作者: haies49 [haies49]
 论坛用户 |
登录 |
| 文件名:windowstm.exe 所在文件夹:windowstm.exe>>c:\winnt\system32 病毒名:worm.agobot.3.ms ===================================== 本人系统有好多.晕, |
| 地主 发表时间: 04-06-18 23:03 |
 | 回复: TecZm [teczm]  版主 |
登录 |
|
[转自趋势] 病毒种类: Worm 具破坏性: 不会 别名: Win32.HLLW.Agobot, Worm/Agobot, W32.HLLW.Gaobot.gen 可侦测的最新病毒码: 689 (1.689.39) 可侦测的最新扫描引擎: 5.600 风险程度: 低度 感染报告: 低度 破坏力: 高度 感染力: 低度 说明: 这种驻留内存的病毒拥有蠕虫和后门程序功能。 就像早期的 AGOBOT 变种一样,该病毒利用下面的 Windows 漏洞通过网络进行传播: * 在 Windows 2000 和 XP 上的Remote Procedure Call (RPC) Distributed Component Object Model (DCOM) 漏洞 * 在Windows NT, 2000, 和 XP 上的 RPC locator 漏洞 * 在 IIS 5.0/WebDav 中的 Buffer Overrun 漏洞 有关这些漏洞的描述可以在下面的微软网页中找到: Microsoft Security Bulletin MS03-026 Microsoft Security Bulletin MS03-001 Microsoft Security Bulletin MS03-007 该病毒还会执行下面的恶意任务: * 连接到 Internet Relay Chat (IRC) 频道并等待远程用户的命令 * 结束某些防病毒和安全程序,以及一些系统文件 * 偷取 Windows 产品 ID 和一些游戏 CD 序列号 * 结束其它恶意程序进程 这种经 UPX 压缩的病毒运行在 Windows 2000 和 XP 系统上。 解决方案: 禁用恶意程序服务 该操作清除运行在 Windows NT, 2000, 和 XP 系统上的恶意程序服务。 1. 打开命令行窗口,点击 开始>运行, 敲入 CMD,回车 2. 在提示符下,敲入: NET STOP ConfiggLoader? 3. 回车。此后显示该服务已经成功结束的信息。 4. 关闭命令行窗口 识别病毒程序 在进行病毒清除前,首先识别该病毒程序。 1. 使用趋势科技的防病毒产品扫描你的系统 2. 记录下所有检测为 WORM_AGOBOT.AV 的文件 趋势科技的用户在扫描系统前应该下载最新病毒码。其它的网络用户可以使用趋势科技的免费在线病毒扫描器 Housecall。 结束病毒程序 该操作结束内存中运行的病毒进程。你需要刚才记录下的文件名。 1. 打开Windows任务管理器 在 Windows 95/98/ME 系统上, 按下 CTRL+ALT+DELETE 在 Windows NT/2000/XP 系统上, 按下 CTRL+SHIFT+ESC, 点击进程标签 2. 在正在运行的程序*列表中,找到刚才检测出的病毒文件 3. 选择其中的一个文件,根据系统的Windows版本,按下结束任务或结束进程按钮。 4. 对正在运行的进程列表中的病毒文件执行相同的操作 5. 关闭任务管理器,再打开,检查该病毒进程是否结束 6. 关闭任务管理器 *注意:在Windows 95/98/ME系统上,任务管理器可能不会显示一下进程。你需要其它的进程查看器来结束病毒进程。否则,在继续下面的步骤时,注意附加建议。 从注册表中删除自动运行键 删除注册表中的自动运行键可以防止病毒在机器启动的时候运行。这也可以结束病毒进程。你需要刚才记录下的文件名。 1. 打开注册表编辑器。点击 Start>Run, 敲入 Regedit, 回车 2. 在左边的面板中,双击下面的项目: HKEY_LOCAL_MACHINE>Software>Microsoft> Windows>CurrentVersion>Run 3. 在右边面板中,找到并删除下面的键: ConfiggLoader = "cart322.exe" 4. 在左边的面板中,双击下面的项目: HKEY_CURRENT_USER>Software>Microsoft> Windows>CurrentVersion>RunServices 5. 在右边面板中,找到并删除下面的键: ConfiggLoader = "cart322.exe" 6. 在左边的面板中,双击下面的项目: HKEY_LOCAL_MACHINE>System>CurrentControlSet>Services>a3 7. 删除子键: a3 8. 关闭注册表编辑器 注意:如果按上面的操作不能结束内存中的病毒进程,重启你的系统。 应用补丁 下载最新补丁。有关该病毒所涉及的安全漏洞的信息和补丁下载,可以参考下面链接: Microsoft Security Bulletin MS03-026 (RPC-DCOM) Microsoft Security Bulletin MS03-001 (RPC locator) Microsoft Security Bulletin MS03-007 (WebDAV) 对 Windows ME/XP 进行清除的附加建议 运行趋势科技防病毒产品 使用 Trend Micro 防病毒产品扫描所有文件并删除检测出的 WORM_AGOBOT.AV 文件。趋势科技的用户在扫描系统前应该下载最新病毒码。其它的网络用户可以使用Trend Micro的免费在线病毒扫描器 Housecall。 |
| B1层 发表时间: 04-06-18 23:08 |
 | 回复: kailangq [kailangq]  版主 |
登录 |
 |
| B2层 发表时间: 04-06-19 02:28 |
| 回复: TecZm [teczm] 版主 |
登录 |
 |
| B3层 发表时间: 04-06-19 03:12 |
 | 回复: lijingxi [lijingxi] 见习版主 |
登录 |
现在的病毒太猖獗了! 到处都是病毒! 恐怖 !怕怕!!!  |
| B4层 发表时间: 04-06-19 11:49 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 病毒专区
标题: 请问,这是什么毒呀!