|
 | 作者: mysky162 [mysky162]
 论坛用户 |
登录 |
| 环境:win2000pro 392M内存,AMD1G,双系统,C盘装98,D盘为win2000。系统刚刚装得几天,就中了病毒。诺顿报警在 日期:2004-4-2,时间:8:29:44, SYSTEM 在 CSD文件:\WINNT\system32\down.com感染了 W32.HLLW.Raleka 病毒。无法修复该文件。 日期:2004-4-2,时间:8:29:44, SYSTEM 在 CSD文件D:\WINNT\system32\down.com感染了 W32.HLLW.Raleka 病毒。 拒绝访问该文件。日期:2004-4-2,时间:8:21:14, SYSTEM 在 CSD文件D:\WINNT\system32\winhlpp32.exe感染了 Bloodhound.Packed 病毒。拒绝访问该文件。我用好几个专杀工具查杀都提示没有病毒,用诺顿也不行,进dos只能删除down.com,另外一个删不了。最重要的是我是用ADSL上网的,一拨号就有每秒钟两万个数据包收到,一般拨号上网一个小时后就会有8-9位数的数据包流量收到。。就算是我连着网络而什么也不动也有两千个数据包每秒钟收到或发送出去。我实在是不知为何!RPC漏洞补丁我已经打过了,可还是不行。请高手帮帮忙!!!小弟感激不尽!   [此贴被 心外飞雪(mysky162) 在 04月02日16时41分 编辑过] |
| 地主 发表时间: 04-04-02 16:38 |
 | 回复: lilang1985 [lilang1985] 论坛用户 |
登录 |
|
你这个好像不是病毒吧, 好像是木马,你到网上去查一下这个病毒名,它会告诉你的,这个是新的, 我还没找到相应的工具,不好意思。 这个病毒可能要手动清除的, |
| B1层 发表时间: 04-04-02 16:46 |
 | 回复: chiru [chiru]  论坛用户 |
登录 |
|
W32.HLLW.Raleka �f明: W32.HLLW.Raleka �绦嗅���有下列�幼� ���D下�d NTrootkit.exe �c NTRootkit.reg , 如果成功���绦� NTrootkit.exe. ���D��由 6667 埠�B�Y下列 IRC 伺服器, 一次一��直到成功�B接: irc.servercentral.net irc.secsup.org irc.nac.net irc.mpls.ca irc.mindspring.com irc.limelight us.irc.isprime.com irc.isdnet.fr irc.ipv6.homelien.no irc.inter.net.il irc.inet.tele.dk irc.homelien.no irc.prison.net irc.desync.com irc.daxnet.no irc.csbnet.se irc.aol.com irc.blessed.net irc.banetele.no irc.red-latina.org irc.Ultra-IRC.net irc.ircsoulz.net NOTE: 如果不能�B接到上列的 IRC 伺服器, ���� client.hopto.org 取得�~外的伺服器列表. 如果成功�B接一��伺服器, ��加入到聊天�l道中. 使用的�糠Q��使用, 前四��字元�殡��X名�Q然後跟�S一���S�C���a. 送出被感染系�y的 IP 位址. 也�S��收到�� IRC �l出的指令. �_�� 32767 之後�S�C的埠等待�h端�B接. ���B接成功��送回四���n案, <current filename>, "service.exe", "ntrootkit.exe", "ntrootkit.reg" �_�� 200 ��介面���D�B接其他���X, 利用 Microsoft DCOM RPC 的漏洞, 使用下列�煞N方法: 前 100 ��介面��攻�襞c受感染�C器 IP 位址��似的���X. 蠕�x��保持IP位址的前����八位元, �K�S�C�a生剩下的����八位元位址. 後 100 ��介面��任意排列 IP 位址的前三��位址, �K在 0 ~ 255 �g�S�C�a生剩下的位址. 如果此蠕�x成功影��系�y, ��在大於 32767 埠�_�⒁����h端 . 在�h端�C器建立�n案 "down.com". "down.com" 是�绦性谶h端�C器上, 使用受影���C器的 IP 位址�c埠��������. 例如: 感染�C器 A A �_���K�A�� 33,768 埠. A 找到�C器 B �K�_�� B 的�h端 shell. A 建立�n案 "down.com" 到 B. A 在 B 上�绦��n案 "down.com" 使用的������ A 的 IP 位址�c 33768 埠. 建立���������n Rpcss.ini �c Svchost.ini , ����所有���D�B接的 IP 位址. �@些�n案��蠕�x不��重�}影��相同的 IP 位址. |
| B2层 发表时间: 04-04-02 19:46 |
| 回复: mysky162 [mysky162] 论坛用户 |
登录 |
补充一点就是在我重装系统前中过msblast的RPC漏洞病毒,现在我在进程栏里又看不出有什么进程有问题的,几乎都是不能结束的。 |
| B3层 发表时间: 04-04-03 07:27 |
 | 回复: snowred [snowred] 论坛用户 |
登录 |
  |
| B4层 发表时间: 04-04-03 11:41 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 病毒专区
标题: 非常棘手的病毒!高手请看~~~