※ 引述《xrays (陳佳名)》之銘言:
: ※ 引述《akeykey (鑰匙&要死)》之銘言:
: : 沒有人知道嗎~~~~~
: : 諾頓有掃到這隻~但無法隔離也無法刪除
: : 病毒的移除檔我找不到
: : 麻煩知道的大大po一下吧
: : 提供解決方式
: : 謝謝
: 我也中Spybot啦
: 救命啊~!
http://securityresponse.symantec.com/avcenter/venc/data/w32.spybot.worm.html
上面是SPYBOT的資料跟移除方法...只有英文版
有問題再回PO
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 140.121.213.35
> -------------------------------------------------------------------------- <
作者: TureCooler () 看板: AntiVirus
標題: Re: [請益] 中了spybot
時間: Thu Jun 10 02:23:52 2004
※ 引述《nandy (我好愛我老婆唷)》之銘言:
: 下面是LOG的內容 請高手幫我看看
: O3 - Toolbar: (no name) - {92B255FE-94E2-4BCA-958D-3926CE38913F} - (no file)
: O4 - HKLM\..\Run: [EM_EXEL] bhz.exe
: O4 - HKLM\..\RunServices: [EM_EXEL] bhz.exe
: O4 - HKCU\..\Run: [EM_EXEL] bhz.exe
到安全模式(含網路功能)下(開機連按F8) 登入後
找到下列的檔案並刪除
C:\Windows\System32\bhz.exe
都刪除之後 請使用hijackthis 把上面這些東西都打勾 並點選Fix checked
問你是否要刪除 按yes
建議解毒後 馬上為你使用者設密碼 做完windows update(重大更新部份) 以上
> -------------------------------------------------------------------------- <
作者: mksam () 看板: AntiVirus
標題: Re: [問題] W32.Spybot.Worm
時間: Wed Jul 28 01:44:08 2004
※ 引述《mksam ()》之銘言:
: 請問各位大大
: 重了這病毒要怎麼解阿....
: 爬過精華區...他是英文的看的物煞煞
: 請各位大大伸出援手哩~
太多人中毒了, 花了些時間翻譯重點部份, 倉卒翻譯, 如果疑問, 歡迎指正
W32.Spybot.Worm
2004/4/16 發現
W32.Spybot.Worm 是透過 KaZaA檔案分享和mIRC擴散的蠕蟲,也會透過受感染電腦的後門而擴散。
藉由連上特殊設定的IRC Server,,W32.Spybot.Worm可以執行不同後門功能,加入不同的頻道傾聽指令。
中文:W32.Spybot.Worm的變種會使用下面弱點進行擴散:
‧ MS03-026 ( http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx ) 使用 TCP port 135 的 DCOM RPC 弱點。
‧ MS04-011 (http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx ) 微軟本機安全性認證服務遠端緩衝區弱點
‧ MS02-061 ( http://www.microsoft.com/technet/security/bulletin/MS02-061.mspx ) 使用 UDP port 1434 MS-SQL 2000或MSDE 2000驗証弱點
‧ MS03-007 ( http://www.microsoft.com/technet/security/bulletin/MS03-007.mspx )使用 TCP port 80 的 WebDAV 弱點
‧ MS01-059 ( http://www.microsoft.com/technet/security/bulletin/MS01-059.mspx ) UPnP 通知緩衝區弱點
‧ MS03-049 ( http://www.microsoft.com/technet/security/bulletin/MS03-049.mspx ) 使用 TCP port 445 的工作站服務緩衝區溢位弱點,Windows XP 的使用者只要有安裝 MS03-043 ( http://www.microsoft.com/technet/security/bulletin/MS03-043.mspx ) 就可以避免此弱點,Windows 2000 用戶必須安裝 MS03-049
別名 Worm.P2P.SpyBot.gen [Kaspersky], W32/Spybot-Fam [Sophos], W32/Spybot.worm.gen [McAfee], WORM_SPYBOT.GEN [Trend], Win32.Spybot.gen [Computer Associates]
型態 蠕蟲
感染長度 不一定
受影響系統 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
不受影響系統 DOS, Linux, Macintosh, Novell Netware, OS/2, UNIX, Windows 3.x
損害:
1. 將個人資料送到 IRC 頻道
2. 在受感染電腦上執行未經認證的命令
When W32.Spybot.Worm 會執行下面命令:
將自己拷貝到 %System% 資料夾(C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), 或 C:\Windows\System32 (Windows XP). )
1. 在 KaZaA檔案分享網路上,下面登錄機碼上新增資料,建立分享資料夾:
HKEY_CURRENT_USER\SOFTWARE\KAZAA\LocalContent
新增下面資料
"dir0"="012345:<configurable path>"
2. 將自己拷貝到設定的路徑,設定觸發,讓使用者下載和執行蠕蟲。
3. 對特定伺服器作DoS攻擊(Denial of Service,服務阻段)。
4. 將安全性產品程序停止執行。
5. 連上IRC伺服器,加入頻道,接收命令,將蠕蟲加入 [開始 / 程式集 / 啟動] 資料夾,例如:
Documents and Settings\All Users\Menu Start\Programma's\Opstarten
WINDOWS\All Users\Start Menu\Programs\StartUp
WINNT\Profiles\All Users\Start Menu\Programs\Startup
WINDOWS\Start Menu\Programs\Startup
Documenti e Impostazioni\All Users\Start Menu\Programs\Startup
Dokumente und Einstellungen\All Users\Start Menu\Programs\Startup
Documents and Settings\All Users\Start Menu\Programs\Startup
賽門鐵克安全性回應會報告說此資料夾會有 0 byte 檔案,名稱為 TFTP780或TFTP###,# 是任意數字。
6. 在下面機碼加入任意登錄值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
例如加入下面值:
"Microsoft Update" = "wuamgrd.exe"
7. 在系統資料夾紀錄使用者按過的鍵盤。
8. 送出使用者資料,例如作業系統、IP位址、使用者名稱、IRC伺服器、、、等。
9. 開啟後門port。
10. 透過上述弱點擴散。
手動移除方法
1. 關閉 [系統還原] 功能 (只有 Windows ME/XP 有此功能)
如果您不會關閉,Windows ME 請參考
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001012513122239
Windows XP 請參考
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001111912274039
2. 更新病毒碼To update the virus definitions
3. 重新啟動電腦,到安全模式(Windows 95, 98, Me, 2000, or XP),或VGA模式(Windows NT 4)。如果您不會進入安全模式,請參考
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001052409420406?OpenDocument&src=sec_doc_nam
4. 掃描並刪除受感染檔案, 紀錄檔案名稱。
5. 刪除下面登錄值:
a. 點選 [ 開始 / 執行 ]
b. 輸入 regedit,按下 [確定] 鈕,會跳出 [登錄編輯程式]
c. 找到下面機碼
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
d. 在右邊面板,刪除受W32.Spybot.Worm感染的檔案。(剛剛紀錄的)
e. 找到下面機碼
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
f. 在右邊面板,刪除步驟d發現的檔案名稱。
g. 找到下面機碼
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
h. 在右邊面板,刪除步驟d發現的檔案名稱。
i. 找到下面機碼
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
j. 在右邊面板,刪除步驟d發現的檔案名稱。
k. 跳出登錄編輯程式。
6. 刪除 [啟動] 資料夾中 0 byte 檔案
(1). Windows 95/98/Me/NT/2000
a. [ 開始 / 搜尋 / 檔案或資料夾]
b. 在 [尋找在] 欄位輸入 C:
c. 在 [檔名] 或 [尋找] 欄位輸入tftp*.*
d. 按下 [立即搜尋] 鈕
e. 在資料夾名稱結束為 [啟動] 的資料夾中,刪除0 byte檔案。
(2) Windows XP
a. [ 開始 / 搜尋 / 檔案或資料夾]
b. 按下 [所有檔案和資料夾] 鈕
c. 在 [部份或完整的檔案名稱]欄位中輸入tftp*.*
d. 在 [尋找在] 欄位輸入 C:
e. 按下 [進階選項]
f. 勾選 [系統資料夾]
g. 勾選 [搜尋子目錄]
h. 按下 [搜尋] 鈕
i. 在資料夾名稱結束為 [啟動] 的資料夾中,刪除0 byte檔案。
參考來源:
http://securityresponse.symantec.com/avcenter/venc/data/w32.spybot.worm.html
轉自http://forum.icst.org.tw/phpBB2/viewtopic.php?t=3353&sid=3e4f0dc68bdde869f4ab9b9fb4d8eb66
> -------------------------------------------------------------------------- <
作者: TureCooler (糟!二次元禁斷症........) 看板: AntiVirus
標題: Re: [問題] 請問怎麼清除 w32.spybot.worm這個病毒呀
時間: Fri Aug 20 00:28:22 2004
※ 引述《naturally (No Way To Say )》之銘言:
: 如提 我看過精華區
: 只有英文網頁 看不太懂
: 有人可以說比較清楚的方法嗎?!
: 謝謝
重點翻譯解法部份
1.關閉系統還原(XP/ME)
ME使用者
關閉:
(1)按下 開始==>設定==>控制台==>系統 出現”系統內容”對話框
(2)接著按下 效能==>檔案系統 出現”檔案系統內容”對話框
(3)接著按下 疑難排解 勾選”關閉系統還原”
(4)接著按下確定==>關閉 後來便會要求你重新開機
開啟:
如同上面1.2.3.的步驟 取消勾選”關閉系統還原”
然後按下確定==>關閉 後來會要求你重新開機
XP使用者
關閉:
(1)對我的電腦按右鍵(我的電腦在桌面或是開始功能表之中) 按下內容
(2)按下 系統還原 勾選”關閉系統還原”那一欄 接著按下套用
(3)接著會出現一個對話框 問你是否確定要關閉系統還原 按確定
(4)如果剛剛執行上面的步驟後 想再度啟動系統還原 請先重新開機
開啟:
如同上面1.2.3.的步驟 取消勾選”關閉系統還原” 然後按下確定即可
2.更新病毒定義檔(我想應該很白話了....)
3.重新開機到安全模式下(win NT請重開機到VGA模式)
4.全系統掃描並刪除受感染的檔案(應該也很白話了....)
另外 也請記下中毒的檔案名稱
5.使用登錄編輯器刪除某些值
(1)按下開始==>執行 輸入Regedit 打開登錄編輯器
(2)到下面這一個鍵後
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
看到右邊有的資料欄中有你之前所記下的檔案名稱 就對那一欄位
按下右鍵 選擇刪除
(3)到下面這一值鍵之後
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
看到右邊有的資料欄中有你之前所記下的檔案名稱 就對那一欄位
按下右鍵 選擇刪除
(4)到下面這一值鍵之後
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService
看到右邊有的資料欄中有你之前所記下的檔案名稱 就對那一欄位
按下右鍵 選擇刪除
(5)到下面這一值鍵之後
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService
看到右邊有的資料欄中有你之前所記下的檔案名稱 就對那一欄位
按下右鍵 選擇刪除
(6)關閉登錄編輯器
6.刪除0位組的檔案
(1)按下開始==>搜尋==>搜尋檔案或資料夾
(2)選擇搜尋所有檔案與資料夾
(3)在搜尋的字串中輸入==>tftp*.*
(4)選擇你的系統槽(就是你的windows所在的硬碟槽)
(5)開始搜尋
(6)刪除0位組的檔案與檔案名稱結尾有Startup的檔案
(個人英文不是很好 粗略翻譯)
文章譯自賽門鐵克:
http://securityresponse.symantec.com/avcenter/venc/data/w32.spybot.worm.html