Board logo

标题: w32/sdbot.worm!ftp木马微点无法检测和杀除! [打印本页]
作者: video     时间: 2006-8-22 21:04    标题: w32/sdbot.worm!ftp木马微点无法检测和杀除!

我的卖咖啡企业版能购检测到这个木马并杀掉,但无法彻底杀除!但这个病毒发作时,微点没有反应,请版主看一下,以下是病毒发作贴图:
附件 1: Snap1.jpg (2006-8-22 21:04, 41.67 K,下载次数: 40)


作者: 豆沙     时间: 2006-8-22 21:15
楼主这个病毒根本不是木马嘛,一个WIN32的病毒,你怎么知道他发作啦?
作者: 曙光     时间: 2006-8-22 21:17
请楼主将这个病毒发到virus@micropoint.com.cn我们分析一下,同时你可以通过微点带的很多工具综合分析一下!
作者: video     时间: 2006-8-22 21:39
这个病毒我也不知道存在哪,只有发作时,才被卖咖啡检测到并删除,但是如果在安全模式下全面检测系统也查不到这个病毒,所以很奇怪!
作者: 末妍     时间: 2006-8-22 21:47
是不是NAI误报呀,你看看隔离区里有没有,发到管理员说的那个邮箱,让他们帮助分析一下啦!
作者: video     时间: 2006-8-22 23:37


  Quote:
Originally posted by 末妍 at 2006-8-22 21:47:
是不是NAI误报呀,你看看隔离区里有没有,发到管理员说的那个邮箱,让他们帮助分析一下啦!

你可以在网上搜索一下“w32/sdbot.worm!ftp ",就明白是否误报了?另外,现在好像还没有哪个杀毒软件能够彻底杀除掉这个病毒,本来对微点寄予希望他的主动防御技术,看来也失败了!

还有这个病毒我无法找到发作文件,也不会进隔离区,隐藏的非常好!否则我早就找到这个文件杀掉了!这个病毒好像感染Cmd.exe文件!我即使把Cmd文件删除掉或者修改访问权限,或者使用卖咖啡的严格规则,限制写入Windows和windows\system32文件夹也无效,也尝试封死135-139等端口也无效!
作者: 曙光     时间: 2006-8-22 23:49
请楼主加入微点的QQ群,这样我们能更好的了解情况,帮你解决问题!谢谢!
作者: fujianwzh     时间: 2006-8-22 23:58
应该去看看微点的日志,或许可以找到一些蛛丝马迹
作者: hrx0100     时间: 2006-8-23 08:51    标题: #9

1.断开网络;
2.恢复注册表;
打开注册表编辑器,在左边的面板中打开并删除以下键值:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minmal\NetDDEsrv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\NetDDEsrv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetDDEsrv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minmal\NetDDEsrv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\NetDDEsrv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetDDEsrv
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SafeBoot\Minmal\NetDDEsrv
HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet \Control\SafeBoot\Network\NetDDEsrv
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\NetDDEsrv
3.重新启动计算机;
4.删除蠕虫释放的文件;
删除在%system%下的netddesrv.exe文件。(%system%是系统目录,在win2000下为c:\winnt\system32,在winxp下为c:\windows\system32)
5.运行杀毒软件,对系统进行全面的病毒查杀;
作者: video     时间: 2006-8-23 10:49


  Quote:
Originally posted by hrx0100 at 2006-8-23 08:51:
1.断开网络;
2.恢复注册表;
打开注册表编辑器,在左边的面板中打开并删除以下键值:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minmal\NetDDEsrv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet ...

这个方法早就试过,注册表没有此类键值!
作者: Legend     时间: 2006-8-23 12:17
请楼主把微点的系统自启动信息、程序生成日志、注册表变更日志导出发到support@micropoint.com.cn我们分析下



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn