|
|
那就赶紧先把网线拔掉
[关闭] [编辑] [删除] [管理] [表状]
然后杀毒.
我的移动硬盘也插过那台笔记本,看到您帖后赶紧杀毒.但是我到我用的瑞星的网上的病毒库里没有搜索到这种病毒.所以能否找出有疑问.
百度里搜到一条信息如下:
Tombai.worm处理方法- -
http://saturn2h.blogchina.com/3246151.html
这个病毒在国内好像很流行,通过移动介质传播,不过讨论得不多
病毒名称:Backdoor.Win32.Tompai.b [Kaspersky Lab]
发现日期:不详
其他名称:W32/Tombai.worm、Win32/Tompai.NAA、W32/Tompai.B、Backdoor.Nightcraw
相关技术分析:
1、文件大小为 65,204 字节,使用 UPX加壳
2、修改注册表位置以保证自启动:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
3、感染硬件设备的根目录,包括移动设备(U盘、移动硬盘)
生成文件:autorun.inf 和 iexplores.exe,文件属性:隐藏、系统
4、在系统目录生成如下文件:以 WINDOWS XP 为例
WINDOWS\mapserver.exe
WINDOWS\SYSTEM\mainsv.exe
WINDOWS\SYSTEM\ptsnopt.exe
5、病毒激活后会自动、定时检测文件夹属性设置,如不符合以下设置,则更改为:
不显示隐藏文件和文件夹、隐藏已知文件类型扩展名、不显示受保护的操作系统文件
--------------------------------------------------------------------------------
清除方法:
1。关闭系统还原
2。进入保护模式用最新病毒库的Mcafee查杀
3。查看任务管理器,看其中是否还有iexplores.exe在运行,注意区别iexplore和explore两个正常进程,如有,终止该进程
4。在注册表项中查找
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
删除Windows%\driver.com
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Runservices
删除System%\mainsv.exe
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run
删除Windows%\mapserver.exe
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Runonce
删除System%\mainsv.exe
删除HKEY_CURRENT_USER>Software>VB and VBA Program Settings>Doom
5。重新启动系统。
- 作者: saturn2h 访问统计:132 2005年10月17日,
—————————
燃烧的梦想
流水的时光
—————————
[ My WeBlog ]
本帖由 火箭人 于2005-12-14 12:41:21发表
[关闭] [编辑] [删除] [管理] [表状]
[相关文章]
● 火箭,关于移动硬盘病毒问题 【老普】2005-12-14 11:42:39 [3029] (194)
○ 我查了本子,没有发现病毒。 【一动不动】2005-12-18 10:27:43 [3100] (无内容)
○ 那就赶紧先把网线拔掉 【火箭人】2005-12-14 12:41:21 [3102] (2K)
■ 这个病毒的信息不多 【火箭人】2005-12-14 12:55:49 [2992] (260)
■ 我的也有:( 【火箭人】2005-12-14 12:58:50 [2908] (300)
■ 恩,还有竹子的本子... 【火箭人】2005-12-14 13:05:10 [2970] (无内容)
|
|