你好 我的机器 也发生了 和你一样的情况 怎么 解决啊?望指教!
由 zhurui 发表于 2005年12月10日 下午12時42分我暂时只是把%windows%/system32 目录下的ftp.exe的所有权限关闭,任何人都无法使用此程序。把%windows$/temp目录清空。
你是否也有运行emule,并连到了特定的服务器。我发现我的emule会自动连接到国内的一组服务器,而不是我指定的razorbak2
我也一样,
请求办法
这么简单处理是没用的,
看看你的进程列表里是不是有一个remote.exe,那是黑客的木马。
到底怎么 办呢 我 用防火墙 不知是否档住
由 zhurui 发表于 2005年12月10日 下午06時05分我的问题不是remote.exe引起的,猜测最可能的原因是emule造成,我要确知有问题的几位是否也开着emule并会被强制连接到特定的服务器?
可以先查一下sqlexp.exe等可能的文件在注册表是否有记录,这个木马是一个dll文件,我清除可能的问题文件之后,似乎只要不开emul就没有问题。开了也没什么可怕的。:)
我的也是这个问题!不过我的没有安装EM,进程里有一个remote.exe,另外中毒的时候还有一个SQLTOB。EXE程序在运行,我把这个结束之后就好了!
由 xw 发表于 2005年12月12日 上午04時43分Modify 2005-12-11 20:49
基本确定为Worm@W32.Fanbot这个蠕虫.利用了这个windows的漏洞,先下载补丁。此蠕虫会在修改注册表记录如下。
我是做无盘网吧系统的,近来我发现有近十家左右的网吧这两天中了这种病毒!在进程里多了两个程序:sqltob.exe sqlexp.exe. 在%system%\temp目录里多了几个文件.还出现顶楼兄弟说的一模一样的CMD.EXE窗口内容.我用瑞星.北信源都杀不出病毒.好像中了这种毒后,瑞星就失效了.我怀疑是我下的瑞星升级包有问题,或是瑞星公司搞的鬼!兄弟你们怎么看?
由 我心最酷 发表于 2005年12月12日 下午02時24分对了.还没说完的.
上面兄弟说到是:Worm@W32.Fanbot病毒.可我2K系统里已经打过MS05-039(中文) 补丁了.但还是一样的中了呀!!!
他就是利用了即插即用服务的远程写入漏洞并可提升权限(应该可以轻易拿到admin权限),这个漏洞可能引发的危害相当大。补丁先打好再说吧。瑞星从来不用,用Sophos,Tr Micro,symantec的杀毒工具应该都可以有效检测到。我用的卡巴虽然检测到了,不过似乎杀得不彻底。看来,这个蠕虫波及面还不小。
另外,我这个清除的方法可能并不彻底。