瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 Hack.Exploit.Win32.MS08-067.hd每一小时出现一次,我在试怎么删除

12   1  /  2  页   跳转

[已解决] Hack.Exploit.Win32.MS08-067.hd每一小时出现一次,我在试怎么删除

Hack.Exploit.Win32.MS08-067.hd每一小时出现一次,我在试怎么删除

瑞星报告发现病毒:记录如下:
病毒名称                  处理结果  发现日期  查杀方式  访问染毒文件的进程  文件                                                           
Hack.Exploit.Win32.MS08-067.hd 删除染毒文件成功 2009-05-30 14:00:00 文件监控 C:\WINNT\SYSTEM32\RUNDLL32.EXE C:\WINNT\SYSTEM32\NLZYCGF.NJL
Hack.Exploit.Win32.MS08-067.hd 删除染毒文件成功 2009-05-30 13:00:00 文件监控 C:\WINNT\SYSTEM32\RUNDLL32.EXE C:\WINNT\SYSTEM32\NLZYCGF.NJL
Hack.Exploit.Win32.MS08-067.hd 删除染毒文件成功 2009-05-30 12:00:00 文件监控 C:\WINNT\SYSTEM32\RUNDLL32.EXE C:\WINNT\SYSTEM32\NLZYCGF.NJL
奇怪的是每一小时出现一次,后来用sreng2[1].71.1261版查有任务计划,把任务计划停了,另附log文件如下:
SREngLOG.log 
停用后没出现此病毒,现在时间是15:06了。还有,任务中有个记录:
[url=file://\\10.69.82.xx\Admin$\eraseme_68060.exe]\\10.69.82.xx\Admin$\eraseme_68060.exe[/url],但这个文件找不到,自己都erase了,怎么找?本人水平不足,特找帮忙。

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)

附件附件:

文件名:SREngLOG.log
下载次数:270
文件类型:application/octet-stream
文件大小:
上传时间:2009-5-30 15:04:22
描述:log

最后编辑54lili 最后编辑于 2009-06-02 17:47:01
分享到:
gototop
 

回复:Hack.Exploit.Win32.MS08-067.hd每一小时出现一次,我在试怎么删除

打上MS08-067补丁
关闭IPC$共享
给管理员用户加上强壮密码
找到是中毒机,在安全模式下查杀。
如果你能找到这个病毒的EXE文件的话,那可真是不错了。
gototop
 

回复:Hack.Exploit.Win32.MS08-067.hd每一小时出现一次,我在试怎么删除

这个是残余的服务项,去删除即可:

==================================
服务
[67725 / 67725][Stopped/Manual Start]
  <\\10.69.82.129\Admin$\eraseme_68060.exe><(File is missing)>

[windowsnetwork / windowsnetwork][Stopped/Auto Start]
  <"C:\WINNT\winkernel32.exe"><(File is missing)>

这里下载费尔木马强力清除助手,点选“抑制文件再生”删除下面文件。
http://bbs.ikaka.com/attachment.aspx?attachmentid=446804
删除:
C:\WINNT\Tasks\At1.job
C:\WINNT\Tasks\At10.job
C:\WINNT\Tasks\At11.job
C:\WINNT\Tasks\At12.job
C:\WINNT\Tasks\At13.job
C:\WINNT\Tasks\At14.job
C:\WINNT\Tasks\At15.job
C:\WINNT\Tasks\At16.job
C:\WINNT\Tasks\At17.job
C:\WINNT\Tasks\At18.job
C:\WINNT\Tasks\At2.job
C:\WINNT\Tasks\At3.job
C:\WINNT\Tasks\At4.job
C:\WINNT\Tasks\At5.job
C:\WINNT\Tasks\At6.job
C:\WINNT\Tasks\At7.job
C:\WINNT\Tasks\At8.job
C:\WINNT\Tasks\At9.job

不论删除结果如何立即重启电脑,看情况如何。
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复 2F byxxdrls 的帖子

你意思是局域网内其他电脑影响的??

我记不得这玩意
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复:Hack.Exploit.Win32.MS08-067.hd每一小时出现一次,我在试怎么删除

conficker
gototop
 

回复:Hack.Exploit.Win32.MS08-067.hd每一小时出现一次,我在试怎么删除

上述补丁已打;二个进程用卡卡去除;IPC$共享没关,我二个网卡,内网还要用;昨日用瑞星在安全下杀没找到任何东东,还是在今天开机后每小时报一次;任务计划已停,好象没事了,重启一下再看。我是在瑞星中没搜到有关Hack.Exploit.Win32.MS08-067.hd的解决方法才发的贴,可能是我找的方法不对。关键是.exe文件没找到,一定改得面目全非让人想不到的名字,也没办法一个一个查吧。
gototop
 

回复:Hack.Exploit.Win32.MS08-067.hd每一小时出现一次,我在试怎么删除

可查看染毒计算机windows\system32目录下是否存在netapi32.dll文件。
windows2000 sp4系统下,此文件的版本应该为:5.0.2195.7203
windows xp sp2/sp3系统下,此文件的版本为:5.1.2600.3462/5694
windows 2003 SP1/SP2系统下,此文件版本为:5.2.3790.3229/4392
windows 2008 vista系统下,此文件版本为:6.0.6000.16764;6.0.6000.20937;6.0.6001.18157;6.0.6001.22288
如果版本正确说明系统已经成功修补了此漏洞,升级瑞星至最新版本,可以彻底根除。
若没有此文件或者版本不符,说明此补丁没有打上或者没有打全,建议在控制面板-添加删除程序中将其卸载,而后重新修补漏洞。
gototop
 

回复:Hack.Exploit.Win32.MS08-067.hd每一小时出现一次,我在试怎么删除

这玩意

我只有建议这一堆专杀试了

http://bbs.ikaka.com/showtopic-8612678.aspx

没好办法了
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复:Hack.Exploit.Win32.MS08-067.hd每一小时出现一次,我在试怎么删除

删除计划任务后没出现此问题。捣乱的文件在内网机器也未找到。windows2000 sp4系统下,此文件的版本应该为:5.0.2195.7203这是对的。也不是U盘类的,因为我对文件敏感,根目录下从来不放任何文件;正在用windows-kb890830-v2.10.exe在安全方式下扫。过后再说吧。
1个已找到:worm:win32/conficker.B
最后编辑54lili 最后编辑于 2009-05-30 16:21:34
gototop
 

回复:Hack.Exploit.Win32.MS08-067.hd每一小时出现一次,我在试怎么删除

跟楼主一样的问题,是公司的服务器,系统是2003,弄了很久都杀不掉,LZ解决了请一定要告诉我怎么杀啊。。
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT