家居风水化解:大家来帮我吧

来源:百度文库 编辑:中科新闻网 时间:2024/05/05 14:18:58
w32.mytob.af@mm 谁知道这种病毒啊?怎么杀啊~听说是什么邮件蠕虫,大家帮帮我吧.

用卡巴斯基5.039专业版
升级病毒库后
到安全模式下查杀

用诺顿企业版..能杀掉..或者用最强杀马:ewido

病毒名称:Worm_Mytob.X
病毒类型:蠕虫
其它中文命名:W32.Mytob.U@mm(赛门铁克)、
Worm.Mytob.s(瑞星)、
Net-Worm.Win32.Mytob.q(卡巴斯基)、
WORM_MYTOB.X(趋势)、
W32/Mytob.q@MM(NAI)
感染系统:Windows9X/Me/NT/2000/XP

病毒介绍:

该变种通过电子邮件进行传播,并使用自带的SMTP引擎发送电子邮件。运行后,在系
统目录下生成自身的拷贝,修改注册表键值。病毒同时具有后门能力。

1、生成病毒文件

蠕虫运行后,在%System%文件夹下生成自身的拷贝,名称为TASKGMR.EXE或是NETHEL
L.EXE。还会在C:\目录下生成FUNNY_PIC.SCR、MY_PHOTO2005.SCR和SEE_THIS!!.SCR这三
个文件。(其中,%System%在Windows95/98/Me下为C:\Windows\System,在WindowsNT
/2000下为C:\Winnt\System32,在WindowsXP下为C:\Windows\System32)。

2、修改注册表项

蠕虫添加注册表项,使得自身能够在系统启动时自动运行,在HKEY_CURRENT_USER\S
oftware\Microsoft\Windows\CurrentVersion\Run下添加
WINTASK="taskgmr.exe";
在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runservices下添
加WINTASK="taskgmr.exe";
在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下添加
WINTASK="taskgmr.exe"。

3、通过电子邮件进行传播

该变种在被感染用户的系统内搜索所有扩展名为.wab,.asp,.htm,.adb等的文件,
并从中寻找合法电子邮件地址,并使用的自带的SMTP向这些地址发送带毒的电子邮件。

4、利用系统漏洞

该变种利用微软已经公布的两个重要的系统漏洞RPC/DCOM和LSASS进行传播。

5、后门能力

该变种在被感染的系统中通过端口进行侦听,以连接InternetRelayChat(IRC)服务
。一旦服务建立成功,远程用户就会对被感染的系统通过一些命令进行控制,如下载文件
,直接运行文件,对蠕虫进行升级、修改等。蠕虫还会利用一个随机端口创建一个ftp服务


6、编辑HOSTS文件

该变种会编辑系统的HOSTS文件,该文件里包含有所有IP地址的主机名。目的是阻止被
感染系统的用户访问一些反病毒网站。系统的HOSTS文件存储在以下目录中:

%System%\drivers\etc
%Windows%

(其中,%System%在Windows95/98/Me下为C:\Windows\System,在WindowsNT/2000
下为C:\Winnt\System32,在WindowsXP下为C:\Windows\System32;%Windows%在Windo
ws95/98/Me下为C:\Windows,在WindowsNT/2000下为C:\WINNT.)

清除该病毒的相关操作:

1、终止病毒进程

在Windows9x/ME系统,同时按下CTRL+ALT+DELETE,在WindowsNT/2000/XP系统中,
同时按下CTRL+SHIFT+ESC,选择“任务管理器——〉进程”,选中正在运行的进程“cool
bot.exe”,并终止其运行。

2、注册表的恢复

点击“开始——〉运行”,输入regedit,运行注册表编辑器,依次找到对应的注册表
项,并删除面板右侧的HELLBOT3="coolbot.exe"键值。

3、删除病毒文件

点击“开始——〉查找——〉文件和文件夹”,查找文件“coolbot.exe”,并将找到
的文件删除。

4、运行杀毒软件对系统进行全面的病毒查杀

(在任务管理器里关闭taskgmr,以及有hell字样的文件;C:\Windows\System32下删除ta
skgmr文件;到注册表里将HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVer
sion\Runservices下的taskgmr.exe删除;到c:下删除FUNNY_PIC.SCR、MY_PHOTO2005.S
CR和SEE_THIS!!.等文件)

蠕虫添加注册表项,使得自身能够在系统启动时自动运行

大家来帮我吧 大家来帮我吧`` 大家来帮我!!!!!!!!!!!!!!! 大家来帮我 大家来帮我 大家来帮我 大家来帮我 大家来帮我 大家来帮我 大家来帮我!