论坛: 病毒专区 标题: 一上网就提示说有病毒! 复制本贴地址    
作者: linyuan_25 [linyuan_25]    论坛用户   登录
我的机子一上网江民杀毒软件就提示发现病毒!而且是在system32文件夹里面的文件!病毒好像每次提示都是后门病毒!但是我如果把网断了,用杀毒软件(最新升级过的)杀一下,结果没有病毒,请问有什么好的解决办法!

地主 发表时间: 04-08-24 09:53

回复: lqfrla [lqfrla]   论坛用户   登录
最后的灌水

B1层 发表时间: 04-08-24 13:17

回复: clark008 [clark008]   论坛用户   登录
可能是震荡波

B2层 发表时间: 04-08-24 18:34

回复: lijingxi [lijingxi]   见习版主   登录
是不是 人家把木马捆绑到你的拨号程序上了!

B3层 发表时间: 04-08-24 20:48

回复: NetSilence [friendship]   论坛用户   登录
自动监控发现病毒都隔离掉了。是什么系统?发现的病毒名字是什么?系统帐号设置密码了吗?

B4层 发表时间: 04-08-25 09:16

回复: linyuan_25 [linyuan_25]   论坛用户   登录
多谢各位的回复!是这样的,如果一上网,就会在C盘D盘出现explorer.exe这个文件,杀毒软件就提示有病毒,病毒名为Trojan/win32.VirtwalRoot
还有就是一些名字为:Backdoor/RBot.r、Backdoor/Agobot.wm

B5层 发表时间: 04-08-25 09:31

回复: moley [moley]   论坛用户   登录
DOS杀毒!

B6层 发表时间: 04-08-25 13:15

回复: NetSilence [friendship]   论坛用户   登录
对,用卡巴斯基,卡巴斯基是已知的病毒最多的,而且杀毒能力很强。不想诺顿,只会查不会杀。

B7层 发表时间: 04-08-25 13:35

回复: linyuan_25 [linyuan_25]   论坛用户   登录
多谢各位的热心回复,我下载一个试一下!

B8层 发表时间: 04-08-25 15:51

回复: linyuan_25 [linyuan_25]   论坛用户   登录
我下载了一个卡巴斯基,但是在安装的时候出现了如下的错误!该杀毒软件的运行环境:Win9x/NT/2000/XP,我的系统是:win2000服务器版!

请问这是怎么回事,再有没有更好的解决办法???

B9层 发表时间: 04-08-25 19:08

回复: tuzi [tuzi]   版主   登录
不能安装上NT操作系统上 2000是NT5.0
引用:
该杀毒软件的运行环境:Win9x/NT/2000/XP,我的系统是:win2000服务器版!


是不是你下错了


B10层 发表时间: 04-08-25 19:25

回复: NetSilence [friendship]   论坛用户   登录
我用的是卡巴斯基5.0.149,但没在服务器上用过。

B11层 发表时间: 04-08-25 20:34

回复: linyuan_25 [linyuan_25]   论坛用户   登录
我的机子以前就一直出现这样的病毒,前天我把机子重新安装了一下(格式化了C盘),但是等一上网,同样的问题又出现了,只是两次的病毒名不同而已,其他的一模一样呀!象explorer文件在C、D盘出现 ,一杀毒就没有了,但是如果一上网就会又出现,真是烦死人了!有没有专门的清除这种病毒的方法???

B12层 发表时间: 04-08-25 21:26

回复: TSnew [tsnew]   论坛用户   登录
反弹木马啊

B13层 发表时间: 04-08-25 21:28

回复: NetSilence [friendship]   论坛用户   登录
Backdoor.RBot这个病毒以前帮别人杀过,用的是瑞星,在安全模式杀的。

B14层 发表时间: 04-08-25 22:51

回复: caesar000 [caesar000]   论坛用户   登录
有没有和其他人建立过IPC$连接?

B15层 发表时间: 04-08-26 02:56

回复: linyuan_25 [linyuan_25]   论坛用户   登录
没有建立IPC$呀!

B16层 发表时间: 04-08-26 08:15

回复: linyuan_25 [linyuan_25]   论坛用户   登录
应该不是吧,如果报错了的话,C、D盘又怎么会出现explorer.exe文件呢?
而且用杀毒软件可以杀出此文件有病毒,杀完后就没有了,但是下次就又会出现!

B17层 发表时间: 04-08-26 17:52

回复: Ocean [friendship]   论坛用户   登录
杀毒软件报错了?
怎么能有这种现象?除非特征码有问题。

B18层 发表时间: 04-08-27 01:36

回复: linyuan_25 [linyuan_25]   论坛用户   登录
那有没有什么更好的杀毒软件呀!

B19层 发表时间: 04-08-27 09:28

回复: Ocean [friendship]   论坛用户   登录
我用过Symantec的,卡巴,KV,觉得卡巴最好。
你去下服务器版的卡巴斯基,单机版的在Server系统上不能装。

B20层 发表时间: 04-08-27 10:58

回复: wq7777777 [wq7777777]   论坛用户   登录
那会不会是你的杀毒软件中网络安全设置中的“安全级”设的过高了。

B21层 发表时间: 04-08-27 15:35

回复: linyuan_25 [linyuan_25]   论坛用户   登录
多谢大家的回复,今天我已经找到病毒的解决方法了,现粘贴在下面供大家一看!
原来我中的是这个病毒:Trojan.Win32.VirtualRoot  0.2%  红色带码病毒
Trojan.Win32.VirtualRoot & IIS.I-Worm.Body

一、病毒基本特性

病毒类型

特洛伊木马
蠕虫

--------------------------------------------------------------------------------

病毒传播平台

启动了IIS且曾装过MS Index Server 2.0 的WIN 2K/NT
启动了IIS且曾装过Win Indexing Service 的WIN 2K/NT

--------------------------------------------------------------------------------

病毒来源

■?

病毒特性

通过IIS平台传播
修改注册表
驻留内存
开设后门
开机加载(附带的木马)



故意破坏
降低系统运行速度

危险系数:5级


二、病毒命名对照

  命名
AVP Trojan.Win32.VirtualRoot
IIS.I-Worm.body

流行叫法 Red CODE 2

三、病毒介绍

这是一个蠕虫木马双特型病毒。

实际上和第一个RED CODE 蠕虫病毒相比,这并不是一个简单的变种,与RED CODE 相比,这个新蠕虫是极度危险的,因为它不是简单的修改主页,而是通过同样的IIS漏洞实现对一个木马文件的上载和运行。但它们使用的攻击方式是基本一样的,所以这样我们也可以用修补预防RED CODE 的方式来预防RED CODE II(参见本站联接)。但是“RED CODE II” 和 RED CODE I来比较,我们可以感觉到这是对中国黑客编写RED CODE的一个报复性产品,而且杀伤力大的多。

这个分析被分成3 部分:

感染
传播
特洛伊木马程序
RED CODE II的攻击原理和最初的RED CODE 一样,所以修复方法和RED CODE I是一样的
微软公司安全补丁下载页面:
Http://www.Microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-033.asp

用户自己修改IIS的配置避免感染的方法我们在 IIS-Worm.Body (RED CODE) 中已经提供了配图说明。

如果想检查你的机器是否被感染,你可以看看下列文件是不是存在:
c:\explorer.exe 或 d:\explorer.exe

你IIS的script 文件夹和文件夹msadc中是否有ROOT.EXE这个文件。
如果有的话则你很可能是已经被感染了。

注意:以前曾有一个叫做 sadmin unicode 的蠕虫,也会吧CMD.EXE文件改名为root.exe ,所以不能只凭是否有ROOT.EXE存在来判断是否已经中毒。

 

1、感染
================

第一次感染: 首先这个蠕虫会给自己建立一个环境,之后取得本地IP,用来分析子网掩码(将用来传播),并且确认当前系统没有被重复感染。之后判断当前操作系统的语言,是繁体中文还是简体中文。之后判断是否已经被RED CODE感染,如果是的话,这个进程将转入永远休眠。

之后RED CODE II根据操作系统来增加线程,非中文系统为300条。如果是中文系统那么将打开600条线程。此时它把大量的繁殖线程转入后台,大规模的复制自己。(这些线程被用于向其他IP地址发送GET .IDA漏洞请求,参见 IIS-Worm.Body (RED CODE) 介绍)之后这个它将在系统中安装一个特洛伊木马。

RED CODE II的潜伏期,如果是非中文操作系统他会潜伏1天,对于中文系统它会潜伏2天。

2、转播
================

用来进一步传播这个蠕虫,这是它会设置一个本地 IP_STORAGE 变量用来储存本地IP,这个变量用于确定机器不会被重复感染。之后获取系统时间,如果当前时间在2002年后,或者月份在10月以后,那么这个蠕虫将重起计算机,这样就将转播可能限制在3个月内。之后蠕虫开始按一定规律生成目标主机IP地址并试图连接一个远程主机,如果能建立连接那么立刻去试图感染对方主机。

3、特洛伊程序
================

蠕虫会有计划的把cmd.exe 以root.exe的名字复制到msadc 和scripts 目录下,更名为root.exe,成为了一个可怕的后门。(cmd.exe是黑客攻击NT时梦寐以求的东西,好比UNIX SHELL)。并且将蠕虫中包含的一段2进制代码拆离成件名为explore.exe的木马到本地的驱动器(c:\和d:\)。

这个后门,可能会通过修改注册表,把你的c:\,d:\变成iis的虚拟目录。以上两点都是非常可怕的后门。

四、清除

请用病毒观察独家提供的查杀工具RedCode 2 KILLER 检测清除。

可以 清除redcode II,修复redcode II造成的安全隐患,并为系统提供一个简单的打补丁,打补丁后无论是redcode还是redcode II,以及其他利用这个漏洞的蠕虫都不能感染你的系统。

为防止不法之徒篡改本程序,如果您是在其他站点下在的本工具,请用本站公钥viusview.asc ,通过以下文件 killrc2.exe.sig 对程序验签。

这是手动预防和清除的方法:

1、在管理工具IIS管理器/Internet 信息服务机器名上右键属性/WWW服务/主目录/应用程序设置/配置(按钮)
中把应用程序映射的.ida和.idq 删除。
2、把%windowsdir%\system32中的idq.dll备份后删除。
3、终止c:\explorer.exe或d:\explorer.exe 的进程,之后删除这两个文件和IIS目录中的msadc 和scripts目录下的root.exe。
4、在注册表中:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots
删掉/C和/D 这两个键值。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
删掉SFCDisable这个键值。

这样RED CODE和RED CODE 2已经完全被你从系统中清除了。而且也达到了免疫的目的。

当然也可以下载微软的官方补丁(http://www.microsoft.com/technet/security/bulletin/MS01-033.asp)
和病毒观察独家提供的查杀工具(http://127.0.0.1/download/sptools/other/killrc2.exe)检测清除。

最后值得一提的是RED CODE作为病毒,它已经完全脱离了文件这一传统病毒载体,它的传播程序全部都是驻留在系统内存中的。从一台机器再通过互联网感染到另一台机器的内存中……只要一台机器的内存中有病毒它就回不停的传播下去,直到所有的机器都打上补丁。看来我们可以说,互联网的出现和普及使病毒获得全新的传播渠道。


B22层 发表时间: 04-08-27 17:27

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号