关于Worm.MSN.Hellmsn.b病毒请大家帮忙！ - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛关于Worm.MSN.Hellmsn.b病毒请大家帮忙！

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

关于Worm.MSN.Hellmsn.b病毒请大家帮忙！

19831021 初生襁褓狮帖子:3 注册: 2005-11-08 来自:	发表于： 2005-11-08 17:59 \| 只看楼主短消息资料字号：小中大 1楼关于Worm.MSN.Hellmsn.b病毒请大家帮忙！中了Worm.MSN.Hellmsn.b后我用瑞星怎么都杀不完，每次启动都会再次出现hellmsn.exe文件。也不知从那个母文件释放出来的！请版版和大家帮帮我，每次上网要先ctrl+alt+del终止hellmsn.exe瑞星才能正常杀掉他！Worm.MSN.Hellmsn.b的所有文件怎么才能都删掉呢！ 2005-11-08 19:41:07
19831021 初生襁褓狮帖子:3 注册: 2005-11-08 来自:	分享到：

19831021 初生襁褓狮帖子:3 注册: 2005-11-08 来自:	发表于： 2005-11-08 19:18 \| 只看楼主短消息资料字号：小中大 2楼没有人能帮助我吗！你们没中过这个病毒吗？
19831021 初生襁褓狮帖子:3 注册: 2005-11-08 来自:

神之一手拙长孩提狮帖子:70 注册: 2004-05-26 来自:	发表于： 2005-11-08 19:23 \| 短消息资料字号：小中大 3楼最新的三个变种传播方式没什么变化，邮件、漏洞仍是其主要传播方式，安装MS04-011、MS03-026补丁仍是广大用户需要注意的。下面对三个变种作一下简单的介绍： Mytob.aa，大小不等，FSG加壳。病毒运行后，会释放TASKGMR.EXE和HELLMSN.EXE，HELLMSN.EXE还会释放三个文件funny_pic.scr、my_photo2005.scr、see_this!!.scr。同时还修改注册表 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run asdasd = "taskgmsr.exe" HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices asdasd = "taskgmsr.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run asdasd = "taskgmsr.exe" HKEY_LOCAL_MACHINE\Software\Microsoft\Ole asdasd = "taskgmsr.exe" HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Lsa asdasd = "taskgmsr.exe" HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa asdasd = "taskgmsr.exe" HKEY_CURRENT_USER\Software\Microsoft\Ole asdasd = "taskgmsr.exe" HKEY_CURRENT_USER\System\CurrentControlSet\Control\Lsa asdasd = "taskgmsr.exe" 蠕虫还会尝试链接irc服务器，进行后门的行为。并且修改hosts文件，阻止用户访问防病毒厂商的主页。 Mytob.ab，大小73,757Bytes，MEW加壳。病毒运行后，会生成COOLBOT.EXE，eminem vs 2pac.scr、funny pic.scr、photo album.scr，同时还释放出一个释放器winsys.exe，该释放器能释放一个取得权限的木马TROJ_ROOTKIT.H。并且修改注册表： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HELLBOT3 = "coolbot.exe" HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices HELLBOT3 = "coolbot.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HELLBOT3 = "coolbot.exe" HKEY_LOCAL_MACHINE\Software\Microsoft\Ole HELLBOT3 = "coolbot.exe" HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Lsa HELLBOT3 = "coolbot.exe" HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa HELLBOT3 = "coolbot.exe" HKEY_CURRENT_USER\Software\Microsoft\Ole HELLBOT3 = "coolbot.exe" HKEY_CURRENT_USER\System\CurrentControlSet\Control\Lsa HELLBOT3 = "coolbot.exe" 蠕虫还会尝试链接irc服务器，进行后门的行为。并且修改hosts文件，阻止用户访问防病毒厂商的主页。 Mytob.ac，45,270 Bytes。病毒运行后，会生成RNATHCHK.EXE、my_picture.scr、pic.scr、see_this!.pif。并修改注册表： HKEY_CURRENT_USER\System\CurrentControlSet\Control\Lsa RealPlayer Ath Check = "rnathchk.exe" HKEY_CURRENT_USER\Software\Microsoft\OLE RealPlayer Ath Check = "rnathchk.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run RealPlayer Ath Check = "rnathchk.exe" HKEY_LOCAL_MACHINE\Software\Microsoft\Ole RealPlayer Ath Check = "rnathchk.exe" HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices RealPlayer Ath Check = "rnathchk.exe" HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run RealPlayer Ath Check = "rnathchk.exe" HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa RealPlayer Ath Check = "rnathchk.exe"
神之一手拙长孩提狮帖子:70 注册: 2004-05-26 来自:

19831021 初生襁褓狮帖子:3 注册: 2005-11-08 来自:	发表于： 2005-11-08 19:41 \| 只看楼主短消息资料字号：小中大 4楼你说的这些！文件名我的电脑上都没有啊！
19831021 初生襁褓狮帖子:3 注册: 2005-11-08 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT