微点交流论坛

标题: MS08-067漏洞病毒变种(Hack.Exploit.Win32.MS08-067.ia)病毒 [打印本页]

作者: zhaochangl 时间: 2009-7-15 12:52 标题: MS08-067漏洞病毒变种(Hack.Exploit.Win32.MS08-067.ia)病毒

MS08-067漏洞病毒变种(Hack.Exploit.Win32.MS08-067.ia)病毒，瑞星杀不掉，并感染局域网多台电脑，微点能否清除，怎么做。

[ Last edited by zhaochangl on 2009-7-15 at 12:54 ]

作者: wufeng 时间: 2009-7-15 15:04
这个你应该先把所有机器都打上系统补丁，打好系统补丁后安装下微点看看呗

作者: zhaochangl 时间: 2009-7-15 15:19
微点无法打补丁,用360打MS08-067漏洞补丁打了,还是杀不掉!

[ Last edited by zhaochangl on 2009-7-15 at 15:21 ]

作者: wufeng 时间: 2009-7-15 15:20
装上微点看下另外你帖下瑞星的报警信息太少

作者: zhaochangl 时间: 2009-7-15 15:23
瑞星扫描记录如下（如：CJMT-LB 192.168.4.78）：
-------------------------------------------------------------------------------
Worm.Win32.MS08-067.a 蠕虫 15  杀毒成功远程查杀 svchost.exe svchost.exe>>C:\WINDOWS\System32 2009-7-13 09:13:30 2009-7-13 11:58:25
-------------------------------------------------------------------------------
Worm.Win32.MS08-067.a 蠕虫 1 CJMT-LB 192.168.4.78  杀毒成功远程查杀 svchost.exe svchost.exe>>C:\WINDOWS\system32 2009-7-13 09:13:35 2009-7-13 09:13:35
-------------------------------------------------------------------------------
Hack.Exploit.Win32.MS08-067.ia 黑客工具 1 CJMT-LB 192.168.4.78  删除文件客户端定时查杀 x C:\WINDOWS\system32 2009-7-13 11:03:56 2009-7-13 11:03:56
-------------------------------------------------------------------------------
Hack.Exploit.Win32.MS08-067.ia 黑客工具 1 CJMT-LB 192.168.4.78  删除文件客户端定时查杀 hqqnuenx[1].bmp C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\KLUZ89M3 2009-7-13 11:12:00 2009-7-13 11:12:00
-------------------------------------------------------------------------------
Hack.Exploit.Win32.MS08-067.ia 黑客工具 1 CJMT-LB 192.168.4.78  删除文件客户端定时查杀 cexrkwjg[1].bmp C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\KLUZ89M3 2009-7-13 11:12:00 2009-7-13 11:12:00
-------------------------------------------------------------------------------
Hack.Exploit.Win32.MS08-067.ia 黑客工具 1 CJMT-LB 192.168.4.78  删除文件客户端定时查杀 qiiiwa[1].bmp C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\8LY38XQB 2009-7-13 11:12:00 2009-7-13 11:12:00
-------------------------------------------------------------------------------
Hack.Exploit.Win32.MS08-067.ia 黑客工具 1 CJMT-LB 192.168.4.78  删除文件客户端定时查杀 izeov[1].png C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\8LY38XQB 2009-7-13 11:12:00 2009-7-13 11:12:00
-------------------------------------------------------------------------------
Hack.Exploit.Win32.MS08-067.ia 黑客工具 1 CJMT-LB 192.168.4.78  删除文件客户端定时查杀 vsoqw[1].png C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\8LMZKLQZ 2009-7-13 11:12:00 2009-7-13 11:12:00
-------------------------------------------------------------------------------
Hack.Exploit.Win32.MS08-067.ia 黑客工具 1 CJMT-LB 192.168.4.78  删除文件客户端定时查杀 muvkkyil[1].png C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\8LMZKLQZ 2009-7-13 11:12:00 2009-7-13 11:12:00
-------------------------------------------------------------------------------
Hack.Exploit.Win32.MS08-067.ia 黑客工具 1 CJMT-LB 192.168.4.78  删除文件客户端定时查杀 tbun[1].png C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\KTYVCDUZ 2009-7-13 11:12:00 2009-7-13 11:12:00
-------------------------------------------------------------------------------
Hack.Exploit.Win32.MS08-067.ia 黑客工具 1 CJMT-LB 192.168.4.78  删除文件客户端定时查杀 nunwugp[1].jpg C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\KTYVCDUZ 2009-7-13 11:12:01 2009-7-13 11:12:01
-------------------------------------------------------------------------------
其中Worm.Win32.MS08-067.a为MS08-067漏洞病毒，Hack.Exploit.Win32.MS08-067.ia黑客工具为MS08-067漏洞病毒变种。

作者: wufeng 时间: 2009-7-15 15:24
192.168.4.78 这台是局域网的那台还是本机？

作者: zhaochangl 时间: 2009-7-15 15:27
是局域网上的一台
具体中毒者:CJMT-LB、CJMT-XQ、CJMT-YL、CJMT-YYM、CJMT-LZD、CJMT-YHQ1、CJMT-XGX、CJMT-DYM、CJMT-MSK、CJMT_YHY等，这是系统漏洞病毒，能在192.168.4段网内传播。

作者: zhaochangl 时间: 2009-7-15 15:28
不知微点扫描版能不能杀掉!

作者: wufeng 时间: 2009-7-15 15:31
建议你还是给这些机器安装微点主防吧省事

作者: zhaochangl 时间: 2009-7-15 15:36
我公司安装的是瑞星网络版(2008)，个人安装的是微点家庭版，不在一个段内。网上查不到Hack.Exploit.Win32.MS08-067.ia的清理方法。

作者: zhaochangl 时间: 2009-7-15 15:39
瑞星病毒排行上有：
国内流行病毒上报排行榜（2009.07.06-2009.07.12）
Trojan.PSW.Win32.GameOnline
4.88%
Trojan.PSW.Win32.OnlineGame
4.44%
RootKit.Win32.Agent
4.26%
Trojan.Win32.Nodef
3.81%
Worm.Win32.Autorun
3.12%
Worm.Win32.MS08-067
3.01%
Hack.Exploit.Win32.MS08-067
2.87%
Packer.Win32.UnkPacker
2.85%
Trojan.PSW.Win32.GameOL
2.75%
Packer.Win32.Agent
2.67%

[ Last edited by zhaochangl on 2009-7-15 at 15:45 ]

作者: images 时间: 2009-7-15 15:52
楼主赶快装微点啊，先装试用版看看效果，能不能杀，能的话重点在那些传播病毒的电脑上装下杀干净。

作者: zhaochangl 时间: 2009-7-15 16:53
经与高人日夜奋战，终于解决问题：

1 下载补丁
http://www.microsoft.com/downloa ... 9-a376-2067b73d6a03（Windows XP SP2; Windows XP SP3）

2 北京瑞星信息技术有限公司发布的MS08-067漏洞内存补丁工具（本地下载）。http://download.rising.com.cn/zsgj/NAP32.exe

微软系统安全漏洞（MS08-067），影响包括Windows XP SP3、Windows 2000、Windows Server 2003、Windows Vista等几乎所有主流操作系统。黑客可以利用此漏洞发动大规模远程攻击，实际效果可与“冲击波”、“震荡波”等病毒类似。本工具是针对微软公司发布的编号为MS08-067操作系统漏洞补丁程序的内存补丁工具，可以防止由于系统中存在此漏洞而被黑客或病毒攻击。

3 对于黑客病毒 Hack.Exploit.Win32.MS08-067.ia，可以使用Windows清理助手（升级到最新版）查杀，下载地址：http://www.arswp.com/download/arswp2/arswp2.rar。

可以清理出：C:\windows\sysytem32\X，或者C:\windows\sysytem32\HROFU.dll、C:\windows\sysytem32\XAXVN.dll、C:\windows\sysytem32\QCUVL.dll、C:\windows\sysytem32\CUNEJW.dll，其中之一。

4 清理文件夹C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\，希望在不用时关闭共享文件夹。

[ Last edited by zhaochangl on 2009-7-15 at 16:58 ]

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn