千家论坛_弱电智能化技术与工程讨论(建筑智能,家居智能,人工智能)

路由交换
收藏本版 (7) |订阅

路由交换 今日: 3703 |主题: 18312|排名: 28 

发新帖

h24arj

注册会员
发消息 加好友
Ta的文章(56)
O2O标签库
打印 上一主题 下一主题

[转帖]警惕泽拉丁变种病毒...

[复制链接]
h24arj 发布于: 2007-3-20 11:47 328 次浏览 0 位用户参与讨论
跳转到指定楼层

转帖:警惕泽拉丁变种病毒

    Email-Worm.Win32.Zhelatin.bl病毒运行后,从某互联网地址下载病毒病毒体到本机运行,并添加注册表自动运行项与系统服务项、修改LSP,以达到随系统启动的目的。通过内建的SMTP蠕虫程序连接到互联网SMTP服务器,获得需要伪造的邮件信息,进而大量发送垃圾邮件,严重占用网络资源。

清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
adirka.exe
sm.exe
dd.exe
(2) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
删除下列新建项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lnwin.exe       Value: String: "%System32%\lnwin.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysinter       Value: String: "%System32%\ adirss.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\adirka        Value: String: "%System32%\adirka.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WS2IFSL\
          
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000012\
…………..
…………..
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000023\
恢复下列修改项:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001\PackedCatalogItem
…………..
…………..
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\0000000000011\PackedCatalogItem
恢复键值为:
%SystemRoot%\system32\mswsock.dll
(3) 删除病毒衍生文件
%WinDir%\pp.exe
%WinDir%\via.exe
%System32%\adirka.dll   
%System32%\adirka.exe
%System32%\adirss.exe
%System32%\dd.exe
%System32%\lnwin.exe
%System32%\ma.exe.exe
%System32%\pfxzmtaim.dll
%System32%\pfxzmtforum.dll
%System32%\pfxzmtgtal.dll
%System32%\pfxzmticq.dll
%System32%\pfxzmtsmt.dll
%System32%\pfxzmtsmtspm.dll
%System32%\pfxzmtwbmail.dll
%System32%\pfxzmtymsg.dll
%System32%\pp.exe.exe
%System32%\rsvp32_2.dll
%System32%\sfxzmtforum.dll
%System32%\sfxzmtsmt.dll
%System32%\sfxzmtsmtspm.dll
%System32%\sfxzmtwbmail.dll
%System32%\sm.exe
%System32%\sporder.dll
%System32%\svcp.csv
%System32%\wincom32.ini
%System32%\winsub.xml
%System32%\zlbw.dll
%System32%\zu.exe.exe
%Temporary Internet Files%/zu.exe
%Temporary Internet Files%/via.exe
%Temporary Internet Files%/sm.exe
%Temporary Internet Files%/pp.exe
%Temporary Internet Files%/pp.exe
%Temporary Internet Files%/ma.exe
%Temporary Internet Files%/dd.exe

相关链接请参见:http://antiy.com/security/report/20070320.htm

回复

使用道具 举报

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册 新浪微博登陆 千家通行证登陆

本版积分规则

千家智客微信号
千家智客微信
玩物说商城
玩物说商城

小黑屋|手机版|Archiver|关于千家|广告服务|联系我们|千家论坛 ( Copyright 1998 - 2020 网站备案号 粤ICP备09011189号-8