[注意]网吧老板 , 网管请注意了~15号新病毒

[注意]网吧老板 , 网管请注意了~15号新病毒 - 故障解答 - 电脑教程网

[注意]网吧老板 , 网管请注意了~15号新病毒

日期:2007-06-17   荐:
.Rqs302 整个网吧停顿中,在线等待消息 看看下面是什么原因:
进系统一分钟左右弹出:
U。EXE—无法找到组件
知道没有找到wbemcomn.dll,因此这个应用程序未能启动,重新安装应用程序可能会修复此问题,
之后下面出现确定,点之后就蓝屏,

STOP:0X000000D1(0X8050383C,0X000000FF,0X00000001,0XF8A623F4)
NETPT。SYS—Address F8A623F4 base at F8A62000,Datestamp 43bc0324   
现在整个网吧都是这样,急救!!!
病毒资料:W32/Agent.ACV-bdr
基本信息
病毒名称: W32/Agent.ACV-bdr 类型: 后门程序 长度: 26112 威胁级别: 2 捕获日期: 2006-02-08
其它别名:  影响系统: Win9X, Win2K, WinXP
表现特征
1. 系统目录中存在 %SYSTEM%\perfont.exe 和 %SYSTEM%\DRIVERS\netpt.sys 文件;
2. NT 系统中存在 %SYSTEM%\wbem\wmiprv.dll 文件,9X 系统中存在 %SYSTEM%\Shd401rc.dll 文件;
行为分析
1. 这是一个 PE 病毒,病毒大小为 26,112 字节;
2. 病毒运行后拷贝自身副本到 %SYSTEM%\perfont.exe,并注册为系统服务,服务信息如下:
    服务名称: PerfFont
    服务描述: Performance True Type Fonts


    注册路径: %SYSTEM%\perfont.exe
   
    注:仅 NT 系统下有效;
    dngz.net您的电脑医生
3. 病毒会释放出一个驱动文件,并注册为驱动服务,信息如下:
    服务名称: NetPT
    服务描述: NetBIOS Protection
    注册路径: system32\DRIVERS\netpt.sys
    真实路径: %SYSTEM%\DRIVERS\netpt.sys
   
    该文件是一个 Rootkit 工具,负责隐藏病毒进程,Fortinet 命名为 W32/Agent.ACV-rkit;
    注:仅 NT 系统下有效;
   
4. 病毒还会释放并注册一个 COM 动态连接库文件:
    [NT 系统]
     释放文件为:%SYSTEM%\wbem\wmiprv.dll
     修改注册表键值:
            HKCR\CLSID\{4DE225BF-CF59-4CFC-85F7-68B90F185355}
            HKLM\SOFTWARE\Classes\CLSID\{4DE225BF-CF59-4CFC-85F7-68B90F185355}
                "InProcServer32" = "%SYSTEM%\wbem\wmiprv.dll"
            
     注:病毒使用了 WMI 服务的 CLSID,如果存在 WMI 服务,默认值为:
     %SYSTEM%\wbem\wmiprvsd.dll;


    
    [9X 系统]
     释放文件为:%SYSTEM%\Shd401rc.dll
     修改注册表键值:
            HKCR\CLSID\{4622AD11-FF23-11D0-8D34-00A0C90F2719}
            HKLM\SOFTWARE\Classes\CLSID\{4622AD11-FF23-11D0-8D34-00A0C90F2719} www.dngz.net
                "InProcServer32" = "%SYSTEM%\Shd401rc.dll"
               
     注:病毒使用了 Start Menu 的 CLSID,默认值为:
     %SYSTEM%\Shdoc401.dll
    
       以上两个文件均为恶意程序,Fortinet 命名为 W32/Agent.ACV-bdr;
    
5. 病毒会将上面释放出的文件注入到 svchost.exe 进程中;
6. 释放的动态连接库 wmiprv.dll 或者 Shd401rc.dll 会创建一个有名互斥量 "mutech" 标记自身驻留
内存,并会反向连接到 85.255.117.164 的 80 端口接受命令;

清除方法
1. 使用专用工具结束被 rootkit 隐藏的进程;
2. 删除病毒添加的服务;
3. 恢复被病毒替换的 COM 对象;
4. 删除病毒文件;
5. 建议使用杀毒软件彻底查杀整个系统;
防范措施
经常更新FortiGate防火墙的病毒特征库,必要时允许服务器推送式升级;

你真会开玩笑,网把会怕这种病毒?那网把早就关门了

楼上的朋友要是你不相信你可以去网上搜索一下 netpt.sys这个毒
或者你加我QQ:6266526
我传给你一个我用杀毒软件扫出来的传给你试试嘛

我倒不是怀疑这个病毒的破坏性,不知道你想过网吧的保护措施没有?能那么容易被破坏马?

真的还是假的啊!
我怎么一打开就发现那么多病毒了

我们这里也中了?植赖乃荡油砩?1点开始机子就一直出现一个找不到程序的框框。然后点确定就是蓝屏。。。。 ~
我是早上8点知道消息的。知道就快晕到了这个月已经2次出现了局与网全部机子出问题的事情了。。
上网一查就搜到兄弟这里来了。。唉。。。郁闷!

楼主你们网吧用的是什么系统做的母盘。还有你们打过补丁么 ?
我这里用的是xp sp1 上海政府版的。
补丁打了无数还是不行啊。。。

没有还原之类的软件?

是啊好厉害的

给兄弟们说我解决的办法(不过我觉得治不了根本),用网上破解的金山漏洞扫描软件。最好下个2006的。然后安装扫描系统。在这期间可能会中毒。不管那个框框。然后等金山把你的漏洞都扫描一遍在选择更新那么所有你系统的漏洞补丁就可以下下来了。patch放在金山扫描器的目录下。然后copy这个patch去有问题的机子上打一下。
注意操做过程断网。。。。。
然后就可以抵御了。但是究竟是那个机子染毒了。这还没有找出来。只能等日后慢慢查了。唉。。。
老板闲我工作效率底,想炒我了。。。。。。
如果病毒困惑而无法解决的朋友请联系我Q:179302442
菜鸟一个。给你支不了啥技术性大招~~~

暂还没发现。去研究下。。。能发个样本来看看么?

标签: