主题:求助:WORM_RBOT.BUW这个病毒怎么清除!
花和尚
[专家分:0] 发布于 2005-10-19 12:54:00
我的电脑最近有时候反应很慢,只是几秒种,打字的时候半天没反应,过几秒种才显示出来。我怀疑是中毒了, 于是用趋势防毒墙网络版杀了下,结果显示发现病毒WORM_RBOT.BUW 感染文件为extel.exe 在WINT\目录下,无法删除。后来我转到安全模式下的命令行模式,准备删除这个文件,可怎么也找不到。在转到安全图形模式,也还是找不到,最后换到正常模式,还是没有,但病毒还存在。请问有什么方法能把它清除掉?非常感谢!
回复列表 (共2个回复)
沙发
洪荒落寞雪 [专家分:1500] 发布于 2005-10-19 18:28:00
在正常系统里无法删除?在WINNT下你能看到它吗?
如果能的话,打开进程管理器,将该执行程序的进程杀掉。再删就可以了。
如果在进程里也无法删的话。打开开始/运行/输入ntsd -c -q -p加上该进程的PID按确定就可以了。然后再到WINNT下把那个文件删了就可以了。还有将MSCONFIG里的启动快捷方式去面的小勾去掉,不然再次启动可能会报错。
板凳
花和尚 [专家分:0] 发布于 2005-10-19 20:26:00
首先谢谢你!
进程里看得到的病毒就好处理了,这个病毒在进程里看不到。我在网上找到资料了,已经清除。为了让大家了解下,现在把它的特征公布下。
这个蠕虫可以常驻内存,利用网络共享进行传播。在运行时,蠕虫会在Windows文件夹中生成一个名为EXTEL.EXE的自身拷贝。该蠕虫会在Windows系统文件夹中生成一个名为RDRIV.SYS的文件,这个文件已被检测为TROJ_ROOTKIT.E,这个文件被蠕虫用来隐藏自身,从而在进程列表中找不到它的进程。
这个蠕虫利用如下已知的漏洞:
IIS/WebDAV vulnerability
Buffer Overrun in RPCSS Service vulnerability
Windows LSASS vulnerability
我来回复