请教防毒问题

雪天的云

<>我的电脑不管怎么样，现在就是要中木马，我已经安装了天网防火墙，也没用，把C：重新格式化后，再装上防火墙也没用，中来中去都是同样的病毒，是win32/IRCBot.worm.308736.H我已经杀了很多次了，不怎么哪位高手可以把这病毒从我的电脑彻底请走，我如果装上诺顿防火墙可以防住，可是论坛却不能发表了也看不到贴的图片。如果谁可以解决这问题，也请告之</P>

nanpar

你的电脑是不是装了D版的豪杰解霸V8啊!现在很多卖的跟网上的都被捆绑了病毒

某某

<B>病毒名称</B>  Win32/IRCBot.worm.159744    <B>危险程度</B>      <B>可治疗日期</B>   2004-11-19   <B>种类</B>  Worm    <B>类型</B>  Windows文件    <B>症状</B>Win32/IRCBot.worm.159744是已知的Win32/IRCBot.worm的变种之一并拥有相似的
恶性功能. 当蠕虫被运行以后在windows系统文件夹里生成dmsvc32.exe(159,744 bytes)
文件并打开任意的TCP端口，试图特定的IRC服务器. 另外打开TCP/21969和TCP/29007
端口允许从外部的连接.   <B>内容</B>  * 目前扩散程度

收集病毒信息的安博士公司从客户收到了多数感染报告. (当前时间为 2004年 11月 23日 10点 44分)

* 传播路径

Win32/IRCBot.worm.159744有如下两大传播路径.

- windows漏洞

利用如下已知的windows漏洞试图传播.

RPC DCOM2 Vulnerability MS03-039 漏洞(韩文)

RPC DCOM Vulnerability MS03-026 漏洞(韩文)

- 对管理目的的文件夹的用户权限漏洞

Win32/IRCBot.worm.159744，当windows NT系列(windows NT, 2000, XP)的登陆权限的密码不存在或者过于简单时，连接此系统并运行蠕虫.

* 运行后症状

Win32/IRCBot.worm.159744是利用visual C++制作的自动解压程序. 蠕虫被运行以后在系统文件夹里生成如下文件.

C:\windows系统文件夹\ dmsvc32.exe (159,744 bytes)

(WINDOW系统文件夹通常是WINDOW 95/98/ME是 C:\Windows\System, WINDOW NT/2000是C:\WinNT\System32, WINDOW XP是C:\Windows\System32文件夹.)

在注册表里添加如下值，在系统启动时自动运行.

HKEY_LOCAL_MACHINE\
Software\
Microsoft\
Windows\
CurrentVersion\
Run\
Dmsvc32 = dmsvc32.exe

HKEY_LOCAL_MACHINE\
Software\
Microsoft\
Windows\
CurrentVersion\
RunServices\
Dmsvc32 = dmsvc32.exe

Win32/IRCBot.worm.159744试图删除Win32/Bagle.worm, Win32/Netsky.worm变种在注册表里添加的值.

upnphost
Explorer
taskmon.exe
TaskMon
bbeagle.exe
d3dupdate.exe
winsys.exe
ssate.exe
i11r54n4.exe
rate.exe
irun4.exe
Ssate.exe

被感染的系统打开如下端口并处于(LISTENING)状态.

TCP/21969
TCP/29007

通过此端口从外部连接以后可以远程控制用户主机或者偷去个人信息.

Win32/IRCBot.worm.159744试图强行关闭运行中的如下进程.

F-AGOBOT.EXE
HIJACKTHIS.EXE
_AVPM.EXE
_AVPCC.EXE
_AVP32.EXE
ZONEALARM.EXE
ZONALM2601.EXE
ZATUTOR.EXE
ZAPSETUP3001.EXE
ZAPRO.EXE
XPF202EN.EXE
WYVERNWORKSFIREWALL.EXE
WUPDT.EXE
WUPDATER.EXE
WSBGATE.EXE
WRCTRL.EXE
WRADMIN.EXE
WNT.EXE
WNAD.EXE
WKUFIND.EXE
WINUPDATE.EXE
WINTSK32.EXE
WINSTART001.EXE
WINSTART.EXE
WINSSK32.EXE
WINSERVN.EXE
WINRECON.EXE

- 略-

ATWATCH.EXE
ATRO55EN.EXE
ATGUARD.EXE
ATCON.EXE
ARR.EXE
APVXDWIN.EXE
APLICA32.EXE
APIMONITOR.EXE
ANTS.EXE
ANTIVIRUS.EXE
ANTI-TROJAN.EXE
AMON9X.EXE
ALOGSERV.EXE
ALEVIR.EXE
ALERTSVC.EXE
AGENTW.EXE
AGENTSVR.EXE
ADVXDWIN.EXE
ADAWARE.EXE
AVXQUAR.EXE
ACKWIN32.EXE
AVWUPD32.EXE
AVPUPD.EXE
AUTOUPDATE.EXE
AUTOTRACE.EXE
AUTODOWN.EXE
AUPDATE.EXE
ATUPDATER.EXE

相关蠕虫在HOSTS文件里添加如下内容阻止连接相关网站. 被阻止的网址来看一般是防病毒公司的网址，是为了防止用户利用杀毒软件治疗相关病毒. 为了恢复正常应从HOSTS文件中删除如下内容并保存.

127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com

注意) HOSTS 文件随着系统而存在于不同文件夹. windows 95/98/ME时 C:\Windows\System 文件夹，windows NT/2000时 C:\WinNT\System32\Drivers\ETC 文件夹, windows XP时 C:\Windows\System32\Drivers\ETC 文件夹

* 恶性IRCBot功能

特定IRC(Internet Relay Chat: 利用因特网的聊天服务的一种) 试图连接服务器和通道. 连接成功后用管理者权限(Operator)来执行恶性行为.

一般可执行的恶性行为如下. 但是IRC服务管理员关闭聊天室时，不能执行如下操作.

- 文件运行及删除(运行其他蠕虫，病毒)
- 下载文件及上传文件(可被盗取机密文件)
- 系统信息认证(泄漏用户信息)
- 打开及关闭 CD-ROM(使用户受惊)
- 保存用户输入的内容(泄漏用户密码)
- 对特定IP的网络攻击(内网出现网络负荷，不能正常运作)
- 泄漏windows CD key
- 泄漏特定游戏的CD key
- 通过设置的摄像头截取画面
- 分组密探
- 运行Remote shell command(可运行多样的DOS命令)
- 特定文件运行
- 强制中止特定进程

试图连接的目录如下.

66.***.201.***:7000 (* - 删除)

Win32/IRCBot.worm.159744向如下的网站进行多样化的数据包攻击.

yahoo.co.jp
www.nifty.com
www.d1asia.com
www.st.lib.keio.ac.jp
www.lib.nthu.edu.tw
www.above.net
www.level3.com
nitro.ucsc.edu
www.burst.net
www.cogentco.com
www.rit.edu
www.nocster.com
www.verio.com
www.stanford.edu
www.xo.net
de.yahoo.com
www.belwue.de
www.switch.ch
www.1und1.de
verio.fr
www.utwente.nl
www.schlund.net
   <B>清除方法</B>* 使用V3Pro 2002 Deluxe / V3 VirusBlock 2005 / V3Net for Windows Server的用户 <>1. 产品运行后， 通过[升级]按钮或升级文件， 升级最新引擎及补丁文件.
2. 首先指定要检查的驱动器，然后进行检查.
3. 在进程中诊断为恶性代码时， 选择提示窗口中的‘强制推出后进行治疗’.
恶性代码退出后，会自动进行治疗（删除）.
4. 进程检查和指定的驱动器检查结束后，会弹出一个治疗窗口.
在这里点击'治疗所有目录'按钮后，治疗（删除）被诊断的恶性代码.
5. 添加及更改过的注册表值会自动修改. <>* MyV3 用户 <>1. 连接到MyV3 网站(http://clinic.ahnlab.com/clinic/myv3.html 等)后运行. 如没有安装MyV3活动 X 控制键， 在'安全警告'窗口点击'YES'后安装即可.
2. 把MyV3升级为最新版本.
3. 首先指定要检查的驱动器， 然后点击[开始检查]按钮后开始检查.
4. 在进程中诊断恶性代码时， 选择提示窗口中的'强制结束后治疗'. 从而关闭的恶性代码会自动被治疗（删除）.
5. 进程检查和指定驱动器的检查结束后弹出一个治疗窗口.
在这里点击'治疗所有标题'按钮后， 对诊断的恶性代码开始进行治疗(删除).
6. 添加及更改的注册表值会自动修改.
</P>

cad1212

<>哈哈</P><>你格式化后重装操作系统，是你的盗版操作系统有问题，换张操作系统光盘问题就可以解决。</P>

某某

<>我找不到308736.H版本的.</P><>但可能清除方法差不多的.</P><>你可以试试.</P><>如果还是不行的话,你可以用http://www.google.com</P><>搜一下   "病毒win32/IRCBot.worm"  关键字</P>

123456

我凌晨刚装好系统,用得巨爽.

雪天的云

我的电脑没有解霸啦，不管了，反正我天天用安博士杀

完美组合

哈哈.我的电脑从来不安装杀毒软件也没有发现过什么病毒啊.可能是你的手指不安分.不该去的地方你也去.活该![em01][em01][em01]

猿粪

装木马克星杀     告诉你 金山太垃圾    没利用价值的


点我下载

2434

俺用金山都没中过毒，如果是ＷＩＮ２０００的话，在装好系统后千万别连上网，先更新ＩＥ之类的，和装网络防火墙，然后再和网络相连．

雪天的云

哼，完美GG没好话，我这么乖，才不会像你一样呢，这木马是会自动打开端口的，又不是网页病毒

jiangzhuoy

<>用 McaFee 或 卡巴斯基 试试，挺好的</P>

庞天心

用瑞星吧，肯定解决掉！

坐看风吹

<>把金山的最新ＤＯＳ下杀毒软件拷到软盘或启动型优盘上，在你的电脑里有的．用该盘启动到ＤＯＳ下杀，杀沅了下载ＩＰＡＲＭＯＲ之类的东东同时装上再不行的，下载ＫＶ２００５升级到最新一定杀得了．记得所有盘都要杀了才行．同时不要在网上http://www.nb4z.com/rising/　　上述网站很好，杀光了记了ＫＩＳＳ我一下，</P>[em01]

观荷

防毒俺个人认为有几点啊，首先呢，你得给操作系统打补丁，可以点IE里的“工具”——“windows update"或者打开操作系统的自动更新也行。还有就是得有杀软了，要可以升级到新版的，定时升级，病毒的更新是很快的，你的杀软病毒库要是N天以前的，新病毒当然不能对付啥。另外也得有防火墙，这一点也很重要。良好的使用习惯与上网习惯也是必要的，嘻嘻，仅供参考。