1   1  /  1  页   跳转

这是什么病毒?

收藏
我是hailan
头像
初生襁褓狮
  • 帖子:3
  • 注册: 2008-05-30
  • 来自:
发表于: 2008-05-30 23:55 | 只看楼主 短消息 资料
字号: 1楼

这是什么病毒?

请问一下————“netsrv”这 是什么病毒或恶意软件?
我用杀毒软件都杀不掉,用恶意软件清除掉了,从开机启动又能出现!
该如何消除掉它呢?
请教高手!!

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; CNCDialer)
分享到:
gototop
 
梦恋羽翼
头像
强壮不惑狮
  • 帖子:1315
  • 注册: 2007-12-24
  • 来自:武大郎掉的一个烧饼
发表于: 2008-05-31 08:55 | 短消息 资料
字号: 2楼

回复:这是什么病毒?

该贴重复~
gototop
 
Redmond
头像
初生襁褓狮
  • 帖子:35
  • 注册: 2008-05-30
  • 来自:
发表于: 2008-05-31 09:22 | 短消息 资料
字号: 3楼

回复:这是什么病毒?

转别人的
------------------------
Trojan-Dropper.Win32.Agent.env伪装为explorer.exe隐藏在system32文件夹下,而系统正常的explorer.exe文件是在windows目录下的。此恶意程序会下载并运行近30个恶意程序,这些程序会盗取用户的敏感信息,占用系统资源。超级巡警团队提醒广大用户,要经常使用超级巡警进行全盘扫描,以保证系统不受恶意程序困扰。

一病毒相关分析
病毒标签:
病毒名称:Trojan-Dropper.Win32.Agent.env
病毒类型:木马下载者
危害级别:3
感染平台:Windows
病毒大小:4,248(字节)
SHA1 :87e7729f887a1142514fcc4541d705658e281421
加壳类型:Upack
开发工具:VC
病毒行为:
1、自制自身到%System%\explorer.exe
释放文件%System%\netsrv.dll
2、试图注入netsrv.dll系统进程,监控发送到消息队列的消息。
3、生成配置文件%System%\BOLE.INI和%System%\WIN.INI
并根据配置文件下载以下文件:
http://iii.*****.com/wm/1.exe (20,268 字节)
http://iii.*****.com/wm/2.exe (19,583 字节)
http://iii.*****.com/wm/3.exe (18,336 字节)
http://iii.*****.com/wm/4.exe (19,213 字节)
http://iii.*****.com/wm/5.exe (12,208 字节)
http://iii.*****.com/wm/6.exe (12,708 字节)
http://iii.*****.com/wm/7.exe (17,268 字节)
http://iii.*****.com/wm/8.exe (12,568 字节)
http://iii.*****.com/wm/9.exe (15,288 字节)
http://iii.*****.com/wm/10.exe (20,268 字节)
http://iii.*****.com/wm/11.exe (12,184 字节)
http://iii.*****.com/wm/12.exe (17,963 字节)
http://iii.*****.com/wm/13.exe (12,668 字节)
http://iii.*****.com/wm/14.exe (17,436 字节)
http://iii.*****.com/wm/15.exe (18,373 字节)
http://iii.*****.com/wm/16.exe (17,519 字节)
http://iii.*****.com/wm/17.exe (18,829 字节)
http://iii.*****.com/wm/18.exe (17,914 字节)
http://iii.*****.com/wm/19.exe (20,015 字节)
http://iii.*****.com/wm/20.exe (18,483 字节)
http://iii.*****.com/wm/21.exe (11,736 字节)
http://iii.*****.com/wm/22.exe (11,889 字节)
http://iii.*****.com/wm/23.exe (13,192 字节)
http://iii.*****.com/wm/24.exe (12,335 字节)
http://iii.*****.com/wm/25.exe (12,964 字节)
http://iii.*****.com/wm/26.exe (18,280 字节)
http://iii.*****.com/wm/27.exe (20,332 字节)
http://iii.*****.com/wm/28.exe (33,897 字节)
http://iii.*****.com/wm/29.exe (78,919 字节)
4、以上文件运行添加以下启动项,如图:
[attachment=8106]
二解决方案
推荐方案:删除病毒的启动项并安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
超级巡警下载地址:http://www.dswlab.com/d1.html
三安全建议
1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
2、根据实际安全级别需要适当考虑选用防火墙,并进行正确的设置。
3、使用超级巡警的补丁检查功能,及时安装系统补丁。
4、不要随意共享文件或文件夹,共享前应先设置好权限,另外建议共享文件不要设置为可写或可控制。
5、禁用或删除不必要的的帐号,对管理员帐号设置一个强壮的密码。
6、禁用不必要的服务。
7、及时更新常用软件,尤其是聊天工具。
8、不要随便打开不明来历的电子邮件,尤其是邮件附件。

注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%\System,在WindowsNT/2000/XP/2003/VISTA中该变
量指%Windir%\System32。其它:
%SystemDrive% 系统安装的磁盘分区
%SystemRoot% = %Windir% WINDODWS系统目录
%ProgramFiles% 应用程序默认安装目录
%AppData% 应用程序数据目录
%CommonProgramFiles% 公用文件目录
%HomePath% 当前活动用户目录
%Temp% =%Tmp% 当前活动用户临时目录
%DriveLetter% 逻辑驱动器分区
%HomeDrive% 当前用户系统所在分区
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT