9,506
社区成员
发帖
与我相关
我的任务
分享中毒了,谁帮我,谢谢
注册表里run下面有下列这几项:
Microsoft Updata msconfg.exe
Microsoft Updata Machine wuamgrd.exe
Microsoft Updatao Machine abdo.exe
Patches Value WinGasys.exe
症状:不停往外面发包,造成网络堵塞 怀疑是盗传奇帐号的
系统重装过好几次了,可是一会儿又染上了, 不想把其它几个区也格式化...
谁可以告诉我这是什么病毒... 给点相关资料 谢谢.
Microsoft Updata msconfg.exe
Microsoft Updata Machine wuamgrd.exe
Microsoft Updatao Machine abdo.exe
Patches Value WinGasys.exe
症状:不停往外面发包,造成网络堵塞 怀疑是盗传奇帐号的
系统重装过好几次了,可是一会儿又染上了, 不想把其它几个区也格式化...
谁可以告诉我这是什么病毒... 给点相关资料 谢谢.
...全文
请发表友善的回复…
发表回复
k4 2004-07-06
- 打赏
- 举报
“RBot”(Hack.RBot)黑客、后门、蠕虫病毒。能随机自启动,利用RPC漏洞和弱密码在网络中大量传播,阻塞网络。还会在系统上开后门等待黑客连接,窃取系统信息,中止大量安全软件,降低系统安全性,导致系统不稳定。以下是该病毒的详情。
病毒信息:
病毒名称: Win32.Hack.RBotGen
威胁级别: 2C
受影响系统: WinNT/Win2000/WinXP/Win2003
传染条件:
病毒利用RPC漏洞和弱密码对网络中没打补丁的系统进行攻击,成功后,会将病毒主动发送到被攻击的系统,并立即运行,使系统感染该病毒。
破坏方法:
1、向网络大量发包、传播病毒,阻塞网络
2、对指网页发起DoS攻击,导致网页不可用
3、中止大量安全软件,导致系统安全性下降
4、留后门,等待黑客连接
5、导取系统信息发送给非法攻击者,造成泄密
技术特点:
1、拷贝自身到%System%目录,名为:wuamgrd.exe
2、通过打开互斥体rx01来防止重复运行
3、可以登录到预定的irc服务器,并接受攻击者的命令,然后将自身拷贝到一些固定的windows自启动项中:
WINDOWS\All Users\Start Menu\Programs\StartUp
WINNT\Profiles\All Users\Start Menu\Programs\Startup
WINDOWS\Start Menu\Programs\Startup
Documenti e Impostazioni\All Users\Start Menu\Programs\Startup
Dokumente und Einstellungen\All Users\Start Menu\Programs\Startup
Documents and Settings\All Users\Start Menu\Programs\Startup
4、向注册表添加以下键值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"Microsoft Update" = "wuamgrd.exe"
以便病毒可随机自启动
5、记录键盘操作,然后将这些信息藏在%System%的一个随机名文件中。
解决方案:
· 请使用金山毒霸2004年06月10日的病毒库可完全处理该病毒;
· 可以到http://online.kingsoft.net/免费下载试用版进行查杀;
· 请注意升级系统补丁到最新,等别是IE的漏洞和RPC、LSASS漏洞补丁一定要打。可以
使用金山毒霸漏洞扫描程序来检测是否打上这些关键补丁;
· 修改系统管理员密码更为强状,建议使用4个数字和4个字母的组合。
病毒信息:
病毒名称: Win32.Hack.RBotGen
威胁级别: 2C
受影响系统: WinNT/Win2000/WinXP/Win2003
传染条件:
病毒利用RPC漏洞和弱密码对网络中没打补丁的系统进行攻击,成功后,会将病毒主动发送到被攻击的系统,并立即运行,使系统感染该病毒。
破坏方法:
1、向网络大量发包、传播病毒,阻塞网络
2、对指网页发起DoS攻击,导致网页不可用
3、中止大量安全软件,导致系统安全性下降
4、留后门,等待黑客连接
5、导取系统信息发送给非法攻击者,造成泄密
技术特点:
1、拷贝自身到%System%目录,名为:wuamgrd.exe
2、通过打开互斥体rx01来防止重复运行
3、可以登录到预定的irc服务器,并接受攻击者的命令,然后将自身拷贝到一些固定的windows自启动项中:
WINDOWS\All Users\Start Menu\Programs\StartUp
WINNT\Profiles\All Users\Start Menu\Programs\Startup
WINDOWS\Start Menu\Programs\Startup
Documenti e Impostazioni\All Users\Start Menu\Programs\Startup
Dokumente und Einstellungen\All Users\Start Menu\Programs\Startup
Documents and Settings\All Users\Start Menu\Programs\Startup
4、向注册表添加以下键值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"Microsoft Update" = "wuamgrd.exe"
以便病毒可随机自启动
5、记录键盘操作,然后将这些信息藏在%System%的一个随机名文件中。
解决方案:
· 请使用金山毒霸2004年06月10日的病毒库可完全处理该病毒;
· 可以到http://online.kingsoft.net/免费下载试用版进行查杀;
· 请注意升级系统补丁到最新,等别是IE的漏洞和RPC、LSASS漏洞补丁一定要打。可以
使用金山毒霸漏洞扫描程序来检测是否打上这些关键补丁;
· 修改系统管理员密码更为强状,建议使用4个数字和4个字母的组合。
henryyj 2004-07-06
- 打赏
- 举报
...............这么几个删除谁不会啊...
我要知道还有哪里受感染了... 为什么系统重装后还会感染 以及其它的信息
我要知道还有哪里受感染了... 为什么系统重装后还会感染 以及其它的信息
xjp6688 2004-07-06
- 打赏
- 举报
up
henryyj 2004-07-06
- 打赏
- 举报
谢了
seawind999 2004-07-05
- 打赏
- 举报
删除注册表run项下的wuamgrd.exe、abdo.exe、WinGasys.exe项>重启!!!
