|
 
|
病毒名:backdoor.win32.sdbot.add backdoor.sdbot.upj
现象:
中此病毒后,显示隐藏文件后,能在c:\windows\winnt目录下(2000系统),出现几个eraseme_****.exe的隐藏文件(***代表数字),还能发现一个taskmrg.exe的隐藏文件,将其删除,当时重启关机后都没有了,但是没多久又会自动生成。并在系统服务里添加以数字命名的服务。
 此主题相关图片
解决:
1、断开网络。结束病毒进程csrs.exe。这个病毒有进程守护功能,可用icesword“禁止进程创建”,然后再结束csrs.exe。也可直接进入安全模式。
2、开始-运行,输入services.msc打开服务,找到application layer gateway services、windows explorer和taskmrg,将它们停止并禁用。
(注意:taskmgr.exe和taskmrg.exe进程的区别:taskmgr.exe是系统管理器的进程;taskmrg.exe是病毒的进程。)
3、删除c:\winnt\文件夹中的病毒文件csrs.exe;
删除c:\winnt\alg.exe c:\winnt\explore.exe(注意:不是explorer.exe)、c:\winnt\eraseme_*****.exe及c:\winnt\taskmrg.exe;
系统盘中搜索并删除以下文件:rofl.sys(这个就是病毒的传播源)、apocx.exe、gcxsrvc.exe和psys32.exe。
4、清理注册表:hkey_local_machine\system\currentcontrolset\services 删除:wservtime;
注册表里分别搜索explore.exe、taskmrg、rofl.sys(这个就是病毒的传播源)、apocx.exe、gcxsrvc.exe和psys32.exe并删除相关项。
5、如果不使用共享,可通过修改注册表关闭本地驱动器的共享:
(1)开始---运行---regedit。
(2)关闭c$、d$、e$一类的默认共享:找到[hkey_local_machine\system\currentcontrolset\services\lanmanserver\parameters],将右侧窗口中的dowrd值“autoshareserver”设置为“0”即可。(没有该键值就新建一个)
(3)关闭admin$共享:找到[hkey_local_machine\system\currentcontrolset\services\lanmanserver\parameters],将右侧窗口中的dowrd值“autosharewks”设置为“0”即可。(没有该键值就新建一个)
(4)关闭ipc$共享:打开[hkey_local_machine\system\currentcontrolset\control\lsa]分支,将右侧窗口中的dowrd值“restrictanonymous”设置值为“1”即可。(没有该键值就新建一个)
(5)关闭注册表编辑器,重起电脑使设置生效。 |
|
鲁公网安备 37120302000001号
