微点交流论坛 - 微点主动防御软件 - w32/sdbot.worm!ftp木马微点无法检测和杀除！

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 微点主动防御软件 » w32/sdbot.worm!ftp木马微点无法检测和杀除！

1/2

video
新手上路

积分 9
发帖 9
注册 2006-8-22

#1 w32/sdbot.worm!ftp木马微点无法检测和杀除！

我的卖咖啡企业版能购检测到这个木马并杀掉，但无法彻底杀除！但这个病毒发作时，微点没有反应，请版主看一下，以下是病毒发作贴图：

附件 1: Snap1.jpg (2006-8-22 21:04, 41.67 K,下载次数： 40)

※ ※ ※ 本文纯属【video】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-8-22 21:04

豆沙
注册用户

初级会员

积分 144
发帖 144
注册 2005-10-30

#2

楼主这个病毒根本不是木马嘛，一个WIN32的病毒，你怎么知道他发作啦？

※ ※ ※ 本文纯属【豆沙】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-8-22 21:15

曙光
版主

版主

积分 1421
发帖 1420
注册 2005-11-1

#3

请楼主将这个病毒发到virus@micropoint.com.cn我们分析一下，同时你可以通过微点带的很多工具综合分析一下！

※ ※ ※ 本文纯属【曙光】个人意见，与【微点交流论坛】立场无关※ ※ ※

技服电话：0591-87569401、87516430、87539717
东方微点“反病毒技术交流”群：
·QQ群：630086 或 1471553 或 16998902

2006-8-22 21:17

video
新手上路

积分 9
发帖 9
注册 2006-8-22

#4

这个病毒我也不知道存在哪，只有发作时，才被卖咖啡检测到并删除，但是如果在安全模式下全面检测系统也查不到这个病毒，所以很奇怪！

※ ※ ※ 本文纯属【video】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-8-22 21:39

末妍
新手上路

新手上路

积分 39
发帖 40
注册 2005-10-30

#5

是不是NAI误报呀，你看看隔离区里有没有，发到管理员说的那个邮箱，让他们帮助分析一下啦！

※ ※ ※ 本文纯属【末妍】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-8-22 21:47

video
新手上路

积分 9
发帖 9
注册 2006-8-22

Quote:

Originally posted by 末妍 at 2006-8-22 21:47:
是不是NAI误报呀，你看看隔离区里有没有，发到管理员说的那个邮箱，让他们帮助分析一下啦！

你可以在网上搜索一下“w32/sdbot.worm!ftp ",就明白是否误报了？另外，现在好像还没有哪个杀毒软件能够彻底杀除掉这个病毒，本来对微点寄予希望他的主动防御技术，看来也失败了！

还有这个病毒我无法找到发作文件，也不会进隔离区，隐藏的非常好！否则我早就找到这个文件杀掉了！这个病毒好像感染Cmd.exe文件！我即使把Cmd文件删除掉或者修改访问权限，或者使用卖咖啡的严格规则，限制写入Windows和windows\system32文件夹也无效，也尝试封死135－139等端口也无效！

※ ※ ※ 本文纯属【video】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-8-22 23:37

曙光
版主

版主

积分 1421
发帖 1420
注册 2005-11-1

#7

请楼主加入微点的QQ群，这样我们能更好的了解情况，帮你解决问题！谢谢！

※ ※ ※ 本文纯属【曙光】个人意见，与【微点交流论坛】立场无关※ ※ ※

技服电话：0591-87569401、87516430、87539717
东方微点“反病毒技术交流”群：
·QQ群：630086 或 1471553 或 16998902

2006-8-22 23:49

fujianwzh
中级用户

积分 252
发帖 216
注册 2006-8-17

#8

应该去看看微点的日志，或许可以找到一些蛛丝马迹

※ ※ ※ 本文纯属【fujianwzh】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-8-22 23:58

hrx0100
注册用户

积分 76
发帖 76
注册 2006-8-20

#9 #9

1．断开网络；
2．恢复注册表；
打开注册表编辑器，在左边的面板中打开并删除以下键值：
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minmal\NetDDEsrv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\NetDDEsrv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetDDEsrv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minmal\NetDDEsrv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\NetDDEsrv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetDDEsrv
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SafeBoot\Minmal\NetDDEsrv
HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet \Control\SafeBoot\Network\NetDDEsrv
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\NetDDEsrv
3．重新启动计算机；
4．删除蠕虫释放的文件；
删除在%system%下的netddesrv.exe文件。（%system%是系统目录,在win2000下为c:\winnt\system32,在winxp下为c:\windows\system32）
5．运行杀毒软件，对系统进行全面的病毒查杀；

※ ※ ※ 本文纯属【hrx0100】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-8-23 08:51

video
新手上路

积分 9
发帖 9
注册 2006-8-22

#10

Quote:

Originally posted by hrx0100 at 2006-8-23 08:51:
1．断开网络；
2．恢复注册表；
打开注册表编辑器，在左边的面板中打开并删除以下键值：
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minmal\NetDDEsrv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet ...

这个方法早就试过，注册表没有此类键值！

※ ※ ※ 本文纯属【video】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-8-23 10:49

1/2

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号