我的电脑中了W32.Spybot
W32。Spybot。Worm 的变种会使用下面的漏洞进行传播:
微软安全公告MS03-026(KB823980)
使用TCP port 135 的DCOM RPC 的弱点
微软安全公告MS04-011(KB835732)
微软本机安全性认证服务远程缓冲区弱点
微软安全公告MS02-061
使用UDP port 1434 MS—SQL 2000或MSDE 2000验证弱点
微软安全公告MS03-007
使用 TCP port 80 的WebDAV 弱点
微软安全公告MS01-059(Q315000)
UpnP 通知缓冲区弱点
微软安全公告MS03-049(KB 828035)
使...全部
W32。Spybot。Worm 的变种会使用下面的漏洞进行传播:
微软安全公告MS03-026(KB823980)
使用TCP port 135 的DCOM RPC 的弱点
微软安全公告MS04-011(KB835732)
微软本机安全性认证服务远程缓冲区弱点
微软安全公告MS02-061
使用UDP port 1434 MS—SQL 2000或MSDE 2000验证弱点
微软安全公告MS03-007
使用 TCP port 80 的WebDAV 弱点
微软安全公告MS01-059(Q315000)
UpnP 通知缓冲区弱点
微软安全公告MS03-049(KB 828035)
使用TCP port 445 的工作站服务缓冲区溢位弱点
(Window XP 的使用者只要安装MS03-043就可以避免此弱点,Windows 2000 用户必须安装MS03-049
微软安全公告MS03—039(KB824146)
使攻击者能够远程危害运行 Microsoft® Windows® 的计算机并对其进行控制。
清除病毒:
(1)关闭WINXP和WINME系统的“系统还原”功能,右键点击“我的电脑”――>属性――> 系统还原――>关闭所有盘上的系统还原功能
(2)安装并更新Symantec 防病毒软件到最新的病毒定义码
(3)重新启动计算机到安全模式(开机按F8键)
(4)通过Norton 对计算机进行全面扫描
(5)删除受感染的文件
(6)将以上要求安装的补丁(在Spybot 补丁中可找到),拷到本机的硬盘上,断网安装、运行。
=========================================================================
W32。Spybot。Worm 病毒清除方案
w32。
spybot。worm
W32。Spybot。Worm 病毒清除方案
一、W32。Spybot。Worm 病毒的特点
这个病毒Symantec 定为2 级,没有专杀工具,这段时间不少人感染,而且
Symantec 只能发现无法清除。
(要在安全模式下才能清除)。但注册表中的垃圾
需要手工清除。W32。Spybot。Worm 是透过 KaZaA 文件共享和mIRC 扩散的蠕虫,
也会透过受感染计算机的后门而扩散。藉由连上特殊设定的IRC Server,
W32。
Spybot。Worm 可以执行不同后门功能,加入不同的频道倾听指令。
中文:W32。Spybot。Worm 的变种会使用下面的漏洞进行传播:
?MS03-026
( )
使用 TCP port 135 的 DCOM RPC 弱点。
?MS04-011
( 微
软本机安全性认证服务远程缓冲区弱点
?MS02-061
( )
使用 UDP port 1434 MS-SQL 2000 或MSDE 2000 验证弱点
?MS03-007
( )
使用 TCP port 80 的 WebDAV 弱点
?MS01-059
( )
UPnP 通知缓冲区弱点
?MS03-049
( )
使用 TCP port 445 的工作站服务缓冲区溢位弱点,
Windows XP 的使用者只要有安装MS03-043
)
就可以避免此弱点,Windows 2000 用户必须安装 MS03-049
类型: 蠕虫
感染长度: 不一定
受影响系统 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT,
Windows Server 2003, Windows XP
不受影响系统 DOS, Linux, Macintosh, Novell Netware, OS/2, UNIX, Windows
3。
x
危害:
1。 将个人数据送到 IRC 频道
2。 在受感染计算机上执行未经认证的命令
3。 会造成本地局域网网络拥塞
二、清除步骤
1、隔离计算机:断开所有计算机的网络连接,逐一清除每一台计算机,必须要
做到网络中的每一台计算机都不放过。
2、清除病毒:
(1)关闭WINXP 和WINME 系统的“系统还原”功能,右键点击“我的电脑”—
—〉属性——〉系统还原——〉关闭所有盘上的系统还原功能
(2)更新Symantec 防毒软件到最新的病毒定义码
(3)重新启动计算机到安全模式
(4)对计算机做手动完全扫描
(5)记录被感染的文件名,并删除受感染的文件(可能防毒软件会删除,也可
以手工删除)关键一步这就是删除感染病毒体的文件
(6)备份注册表:开始——运行——〉输入“regedit”——〉注册表——〉导
出注册表文件
(7)检查注册表中的一下各项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R
un
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R
unOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R
unServices
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVer
sion\Run
删除刚才记录的文件名键值
(8)针对不同的操作系统,安装我列出的补丁,这一点是这样的虽然上面提
到这么多补丁,但实际上安装的时候按照以下方式安装即可:
Win2k:先安装sp4 然后安装下面的HOTFIX,具体可供过微软站搜索下载
Windows2000-KB824146-x86-CHS。
exe
Windows2000-KB835732-x86-CHS。EXE
Windows2000-KB828749-x86-CHS。exe
Windows2000-KB828035-x86-CHS。
exe
WinXP:先安装SP1 然后安装下面列出的HOTFIX(SP2 出来了可以直接
安装SP2 省去很多麻烦):
WindowsXP-KB824146-x86-CHS。exe
WindowsXP-KB828035-x86-CHS。
exe
WindowsXP-KB835732-x86-CHS。EXE
(9)将具有系统管理员权限的用户的口令设置为7 位以上的复杂密码
需要注意的是:安装了所提供的补丁仅仅可以防止这个蠕虫病毒的传播,但
系统仍然不安全,非常有必要通过windows update 更新其它关键的更新。
注:主要参考Symantec 对该病毒的分析。
=====================================================================
W32。
Spybot。Worm病毒手工查杀以及预防方法
--------------------------------------------------------------------------------
发表时间:2004-12-29 10:27:40 点击:137 次
据报告,我县教育网部分机器感染W32。
Spybot。Worm病毒,常用防毒软件难以清除和隔离,先将手工杀毒方法公布,请有计算机感染该病毒的学校的网络管理员尽快进行处理。发现感染该病毒的机器须立即断网,直至处理完成才可再连接网络。
Win32/SpyBot。
worm是恶性IRC的蠕虫病毒,利用135端口,139端口,445端口对外疯狂发包,很可能就是影响教育网稳定的罪魁祸首。
第一步 查毒
1、打开我的电脑,在菜单栏中找到【工具】菜单,点击后选择【文件夹选项】,选择【查看】标签,把【隐藏受保护的操作系统文件】前的小勾去掉,确定。
2、按键盘Ctrl+Alt+Del键,打开任务管理器,选择“进程”标签,查找updatez。exe进程。
3、在本机搜索文件updatez。exe,步骤:开始菜单->搜索(或查找)->文件或文件夹,在出现的输入框中输入updatez。
exe,点搜索(或查找)按钮; winXP系统可能无法搜索到文件,可直接打开系统盘(一般为C盘),打开Windows文件夹,打开System32文件夹,看看有没有updatez。exe文件。如有该文件或进程之一,删除该文件,删除方法见下面。
如没有搜索到文件和进程,直接安装升级防毒软件。
第二步 杀毒
win98系统:找到文件所在位置,将文件删除。如果文件无法删除,按Ctrl+Alt+Del键,打开任务管理器,选择“进程”标签,查找updatez。
exe进程,如有,点击“结束进程”按钮。然后再找到文件所在位置,将文件删除。
Win2000/XP:重启计算机,开机后按键盘上F8键,选择安全模式启动WINDOWS,按Ctrl+Alt+Del键,打开任务管理器,选择“进程”标签,查找updatez。
exe进程,如有,点击“结束进程”按钮。然后再找到文件所在位置,将文件删除。
WinXP系统在删除文件后还必须去掉系统还原功能:右键单击我的电脑图标,选择“属性”,在出现的对话框中点“系统还原”标签,把“在所有驱动器上关闭系统还原 ”前的勾去掉,确定。
其他用户预防措施(Windows2000和XP用户):
配置步骤:控制面板->管理工具->本地安全策略->IP安全策略,在本地机器->右面空白处点击右键->所有任务导入策略->导入后点击拦截网络病毒安全策略右键->指派。
。收起