高考问答电影孤城客:电脑中病毒!!急!!!
来源:百度文库 编辑:高考问答 时间:2024/04/29 00:53:05
对象名:C:\windows\system32\netddesrv.exe
病毒名:W32.Toxbot
这个病毒我杀毒软件(诺顿)杀不了,隔离不了,我又无法删除,该怎么办啊?
有时电脑回无辜出现窗口倒计时重起,不知道是不是这个原因啊,哪位高人帮帮忙.
病毒名就显示的是W32.Toxbot,怎样找到病毒服务啊,麻烦大家说详细点吧,我会加分的
文件名称:netddesrv.exe
文件长度:23,040字节
类型:蠕虫
名称:
W32.Toxbot (Symantec);Backdoor.Win32.Codbot.at (Kaspersky Lab);W32/Sdbot.worm.gen (McAfee);Win32.Detox.based (Doctor Web);W32/Codbot-Z (Sophos);Worm/CodBot.19792 (H+BEDV);Dropped:Trojan.Deletme.A (SOFTWIN);W32/Sdbot.EZD.worm
(Panda);Win32/Codbot (Eset)
受影响系统:
Windows 95;Windows 98;Windows 2000;Windows NT; Windows Me;Windows XP
蠕虫特征
蠕虫运行后会产生如下特征:
1.连接IRC服务器;
1)连接IRC服务器的域名、IP、连接端口情况如下:
域名 IP 端口 所在国家
0x80.online-software.org 194.109.11.65 TCP/6556,TCP/1023 荷兰
0x80.martiansong.com 64.202.167.129 TCP/6556,TCP/1023 美国
0x80.my1x1.com 194.109.11.65 TCP/6556,TCP/1023 荷兰
0x80.goingformars.com 64.202.167.129 TCP/6556,TCP/1023 美国
0x80.my-secure.name 194.109.11.65 TCP/6556,TCP/1023 荷兰
0xff.memzero.info 无法解析 TCP/6556,TCP/1023
2)连接频道:#26# ;密码:g3t0u7
2.扫描随机产生的IP地址,并试图感染这些主机;
3.运行后将自身复制到%System%\netddesrv.exe;
4.在系统中添加名为NetDDE Server的服务,并受系统进程services.exe保护。
手工清除方法
该蠕虫在安全模式下也可以正常运行。但可以通过清除注册表的方式在正常模式下清除蠕虫。手工清除该蠕虫的相关操作如下:
1.断开网络;
2.恢复注册表;
打开注册表编辑器,在左边的面板中打开并删除以下键值:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minmal\NetDDEsrv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\NetDDEsrv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetDDEsrv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minmal\NetDDEsrv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\NetDDEsrv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetDDEsrv
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SafeBoot\Minmal\NetDDEsrv
HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet \Control\SafeBoot\Network\NetDDEsrv
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\NetDDEsrv
3.重新启动计算机;
4.删除蠕虫释放的文件;
删除在%system%下的netddesrv.exe文件。(%system%是系统目录,在win2000下为c:\winnt\system32,在winxp下为c:\windows\system32)
5.运行杀毒软件,对系统进行全面的病毒查杀;
6.安装微软MS04-011、MS04-012、 MS04-007漏洞补丁。
可以重新启动按F8选择安全模式登陆系统,启动杀毒软件进行全面查杀,清理完病毒后再重新启动即可。
可以告诉我病毒的名称吗?也好给你推荐专门的杀毒工具,这样会比较直接一些。
这个病毒不简单,劝你到http://www.kingsoft.com下载最新金山毒霸2006,基本可以杀掉那些病毒!
w32.toxbot病毒查杀方法 首先,结束病毒的进程Rpcmon.exe
然后,删除病毒文件%Windows%\System32\Rpcmon.exe
最后,删除病毒建立的服务项信息:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rpcmon]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Rpcmon]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Rpcmon]
如果不结束病毒的进程,也可以先修改或删除掉病毒的服务:
首先,找到病毒服务“Remote Procedure Call (RPC) Monitoring”,把“启动类型”改为“已禁用”(或者直接删除病毒服务项[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rpcmon])
然后,重新启动计算机
重新启动后就直接删除病毒文件%Windows%\System32\Rpcmon.exe
最后,删除病毒建立的服务项信息:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rpcmon]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Rpcmon]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Rpcmon]
LZ,我们一样惨哎,可是我太笨了还是不会用,惨了啊!
蠕虫病毒,最好是在DOS下杀就好。