瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 致:“ Lindbergh704”——sndriv32.exe的查杀

1   1  /  1  页   跳转

致:“ Lindbergh704”——sndriv32.exe的查杀

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-12-08 14:30 | 只看楼主 短消息 资料
字号: 1楼

致:“ Lindbergh704”——sndriv32.exe的查杀

sndriv32.exe是个后门——Backdoor.Win32.Agobot.gen。

我用你发来样本感染系统(XPSP2+所有补丁)后,观察到:
一、病毒在%system%下释放病毒文件sndriv32.exe。
二、hosts文件被篡改(见附图)。
三、进程中可见sndriv32.exe。此进程可直接结束。
四、注册表改动:
1、在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run分之添加:
"sndriv32"="sndriv32.exe"
2、在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices分之添加:
"sndriv32"="sndriv32.exe"
未监测到你说的其它目录及C以外的分区内的sndriv32.exe病毒文件。

处理建议:
结束病毒进程。
删除sndriv32.exe。
删除hosts文件中病毒添加的内容,保存hosts文件。
删除病毒添加的注册表项。
运行WINDOWS UPDATE,给系统打上所有补丁。

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-12-8 14:30:05
描述:



最后编辑2005-12-09 15:07:42
分享到:
gototop
 
Lindbergh704
头像
初生襁褓狮
  • 帖子:4
  • 注册: 2005-12-07
  • 来自:
发表于: 2005-12-09 14:50 | 短消息 资料
字号: 2楼

谢谢您的回复

我们局域网的问题是:互相之间传染

我曾经全部断网,手工删除之后,一接上网络,又被传染

win2000补丁我 设定 每天中午12点自动下载并自动安装

最近的补丁是微软恶意软件清除,应该补丁都打上了

还是互相传染,或者是一个不被windows update下载的补丁造成的?


传染时瑞星显示攻击的是本地135端口
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-12-09 15:01 | 只看楼主 短消息 资料
字号: 3楼

【回复“Lindbergh704”的帖子】
这类病毒——一只苍蝇坏一锅汤!
只要你局域网中有电脑具备以下特征,就会反复染毒、扩散:
1、补丁没打全;
2、该关闭的系统服务没关闭;
3、系统用户没口令或口令过于简单。
局域网管理——麻烦啊!
gototop
 
Lindbergh704
头像
初生襁褓狮
  • 帖子:4
  • 注册: 2005-12-07
  • 来自:
发表于: 2005-12-09 15:07 | 短消息 资料
字号: 4楼

暂时使用 本地安全策略 停止135端口

现在有用,继续观察
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT