荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: sweetman (*baby*angel), 信区: Virus
标 题: [合集] [求救]W32.Rontokbro@mm用什么来杀?
发信站: 荔园晨风BBS站 (Fri Jul 7 22:15:49 2006), 站内
☆─────────────────────────────────────☆
hawk (happyesen) 于 (Thu Jun 22 13:04:35 2006) 提到:
删除"%Profiles%\Local Settings\Application Data下的
CSRSS.EXE
INETINFO.EXE
LSASS.EXE
SERVICES.EXE
SMSS.EXE
WINLOGON.EXE
删除:HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Tok-Cirrhatus = "
%Profiles%\Local Settings\Application Data\<filename.exe>" 这个项。
注:<filename.exe>引用以上所列文件名。
在计算机中删除:
bronstab.exe
ElnorB.exe
sempalong.exe
如果注册表不能打开,使用“木马助手”,清理后打开注册表。
删除时应使用安全模式启动或从DOS启动。
【 在 sophiafly (sophia) 的大作中提到: 】
: 呜呜~~~
: 中了这个病毒,W32.Rontokbro@mm
: 请问各位大侠,用什么杀毒软件杀?在哪里有的下载
☆─────────────────────────────────────☆
hawk (happyesen) 于 (Thu Jun 22 13:07:31 2006) 提到:
病毒名称:蠕虫病毒Win32.Robknot Family
其它名称:WORM_RONTOKBRO (Trend), W32/Rontokbro.gen@MM (McAfee), W32.Rontokb
ro@mm (Symantec)
病毒属性:蠕虫病毒 危害性:中等危害 流行程度:高
具体介绍:
病毒特性:
Win32.Robknot是一族通过邮件和修改系统设置的蠕虫病毒。
感染方式:
运行时,Robknot可以多次复制自身到"%Profiles%\Local Settings\Application Data
"目录,它使用以下文件名复制病毒:
§ CSRSS.EXE
§ INETINFO.EXE
§ LSASS.EXE
§ SERVICES.EXE
§ SMSS.EXE
§ WINLOGON.EXE
随后运行所有的文件,依次修改注册表,以确保每次系统启动时运行病毒:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Tok-Cirrhatus = "%Profile
s%\Local Settings\Application Data\<filename.exe>"
注:<filename.exe>引用以上所列文件名。
Robknot还会复制到"%Windows%\ShellNew"目录,病设置以下注册表键值,为了在每次系
统启动时运行复制的文件:
HKLM\software\microsoft\windows\currentversion\run\Bron-Spizaetus = "%Window
s%\ShellNew\<filename.exe>"
目前发现的这种蠕虫的变体使用以下文件名复制到这个目录中:
§ bronstab.exe
§ ElnorB.exe
§ sempalong.exe
Robknot还会复制到"%Profiles%\Templates"目录中,并将这个文件添加到预定任务列表
中,为了在每天下午5:08运行病毒。Robknot变体使用以下文件名复制到这个目录中:
§ bararontok.com
§ WowTumpeh.com
§ Brengkolang.com
Robknot为了复制病毒,还会搜索文件夹。如果蠕虫在一个文件夹中发现一个可运行程序
,那么它就会使用文件夹的名称复制自身到这个文件夹中,蠕虫还会替代文件夹中的与
文件夹相同文件名的任意可运行程序。
Robknot变体使用文件夹的图标:
蠕虫还会修改以下注册表,可以在资源管理器浏览中隐藏所有文件的扩展名;因此Robk
not变体显示为一个文件夹而不是可运行程序:
HKCU\software\microsoft\windows\currentversion\explorer\advanced\HideFileExt
= 1
注:%Profiles%是一个可变的路径,指向用户的Profiles文件夹。病毒通过查询操作系
统来决定Profiles文件夹的位置。一般为C:\Documents and Settings\<username>。
'%Windows%'是一个可变的路径。病毒通过查询操作系统来决定Windows文件夹的位置。
Windows 2000 and NT默认的系统安装路径是C:\Winnt; 95,98 和 ME 的是C:\Windows;
XP 的是C:\Windows。
【 在 hawk (happyesen) 的大作中提到: 】
: 删除"%Profiles%\Local Settings\Application Data下的
: CSRSS.EXE
: INETINFO.EXE
: LSASS.EXE
: SERVICES.EXE
: SMSS.EXE
: WINLOGON.EXE
: 删除:HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Tok-Cirrhatus = "
: %Profiles%\Local Settings\Application Data\<filename.exe>" 这个项。
: 注:<filename.exe>引用以上所列文件名。
: ...................
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店