请求共享关于该病毒的资源:updaterv7.exe
目前已知信息如下:
1.攻击端口:135,445
2.注册表修改:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下有如下键值:
Updater Service V7="updaterv7.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
下有如下键值:
Updater Service V7="updaterv7.exe"
4.文件存在:
c:\winnt\system32\下有如下程序:updaterv7.exe
同时,在e:\下生成testfile文件
通过网上资料检索,发觉该病毒应该是高波的变种,利用的漏洞比较多:DCOM,RPC,LSASS,WebDev,SQL等
但google中无法找到解决方法
希望大家帮助,提供解决的方法
谢谢
问题点数:100、回复次数:16Top
1 楼buffoon(悠云[http://buffoon.blog.com.cn])回复于 2005-04-01 11:05:57 得分 0
资料添加:
添加如下服务:
itpvzqn
"\\ip\E$\updaterv7.exe" -service
Top
2 楼oyljerry(【勇敢的心】→ ㊣提拉米苏√㊣)回复于 2005-04-01 15:12:23 得分 0
安全模式下查找文件,删除文件,删除注册表相关内容Top
3 楼oyljerry(【勇敢的心】→ ㊣提拉米苏√㊣)回复于 2005-04-01 15:12:35 得分 0
还有服务也禁用了Top
4 楼jin0706(MSMVP-努力&开心everyday,有事PM我^_^)回复于 2005-04-01 15:47:20 得分 0
google的信息都很少,考虑到google采集信息的时间,可能病毒比较新吧,再过一段时间应该会有更多的信息出来
你已经找得比较全了,可以向反病毒机构报告一下Top
5 楼buffoon(悠云[http://buffoon.blog.com.cn])回复于 2005-04-02 00:04:57 得分 0
回复人: oyljerry(【勇敢的心】→㊣Cherry Blossoming,A za!㊣) ( ) 信誉:100 2005-04-01 15:12:00 得分: 0
安全模式下查找文件,删除文件,删除注册表相关内容
Top
回复人: oyljerry(【勇敢的心】→㊣Cherry Blossoming,A za!㊣) ( ) 信誉:100 2005-04-01 15:12:00 得分: 0
还有服务也禁用了
Top
兄弟,这个方法无效啊
杀了,删了,可过一会还出现
从网上感染的
Top
6 楼buffoon(悠云[http://buffoon.blog.com.cn])回复于 2005-04-02 00:05:47 得分 0
回复人: jin0706(small(努力&开心everyday,有事PM我^_^)) ( ) 信誉:186 2005-04-01 15:47:00 得分: 0
google的信息都很少,考虑到google采集信息的时间,可能病毒比较新吧,再过一段时间应该会有更多的信息出来
你已经找得比较全了,可以向反病毒机构报告一下
OK,向www.cert.org.cn报告一下看看Top
7 楼sgaley(云的清儿)回复于 2005-04-04 10:42:42 得分 25
我朋友机子上也有这个,我mark一下Top
8 楼icuc88(职业特种兵)回复于 2005-04-04 11:06:49 得分 0
很简单啊,在所有的操作之前你需要结束这个进程
另外用taskinfo这个软件查看内存进程情况,发现不明进程立刻咔嚓Top
9 楼icuc88(职业特种兵)回复于 2005-04-04 11:36:22 得分 0
http://community.csdn.net/Expert/topic/3900/3900157.xml?temp=.4048426
单机上我已经可以搞定
但由于封堵不住端口,以至于这个病毒一而再,再而三地进入系统。我现在需要的是能解决网络传播问题的方法。
谢谢老大帮忙
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
安装防火墙问题解决,如果您只想解决自己的机器。Top
10 楼buffoon(悠云[http://buffoon.blog.com.cn])回复于 2005-04-04 12:54:04 得分 0
回复人: icuc88(职业特种兵) ( ) 信誉:180 2005-04-04 11:36:00 得分: 0
http://community.csdn.net/Expert/topic/3900/3900157.xml?temp=.4048426
单机上我已经可以搞定
但由于封堵不住端口,以至于这个病毒一而再,再而三地进入系统。我现在需要的是能解决网络传播问题的方法。
谢谢老大帮忙
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
安装防火墙问题解决,如果您只想解决自己的机器。
==========================
我要解决整个网络,我是在局域网中。
再说防火墙不行,封了145,445还可以进来。资料说agobot可以通过80进入,难道我连80都封了?Top
11 楼icuc88(职业特种兵)回复于 2005-04-04 12:57:19 得分 25
如果是整个网络的,机器不多可以全部断网,多人配合。
或者如果人手不够,把您手工操作步骤写成脚本交由用户执行一下。
要不然就是每台计算机安装防火墙Top
12 楼oyljerry(【勇敢的心】→ ㊣提拉米苏√㊣)回复于 2005-04-04 15:56:39 得分 25
防火墙是一定要装的,然后看是否有最新的安全策略来解决这个病毒额Top
13 楼buffoon(悠云[http://buffoon.blog.com.cn])回复于 2005-04-04 16:15:48 得分 0
政府网,多数人不懂如何处理
而且地域跨度很大
麻烦的
to icuc88:老大脚本的方法我也考虑过
但只要一个人不执行,就还有隐患
to oyljerry:关键就是这个安全策略Top
14 楼jin0706(MSMVP-努力&开心everyday,有事PM我^_^)回复于 2005-04-04 16:59:11 得分 25
关键就是这个安全策略
--------------
先禁止修改注册表看看,清除脚本也要写好
你们不是域管理吗?是域的话,可以用域策略来让用户运行开机脚本Top
15 楼buffoon(悠云[http://buffoon.blog.com.cn])回复于 2005-04-04 20:53:35 得分 0
很不幸,是工作组
N多计算机的大工作组Top
16 楼buffoon(悠云[http://buffoon.blog.com.cn])回复于 2005-04-05 20:05:00 得分 0
结帖吧Top
