瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 关于Worm.MSN.Hellmsn.b病毒请大家帮忙!
19831021 - 2005-11-8 17:59:00
中了Worm.MSN.Hellmsn.b后我用瑞星怎么都杀不完,每次启动都会再次出现hellmsn.exe文件。也不知从那个母文件释放出来的!请版版和大家帮帮我,每次上网要先ctrl+alt+del终止hellmsn.exe瑞星才能正常杀掉他!Worm.MSN.Hellmsn.b的所有文件怎么才能都删掉呢!
19831021 - 2005-11-8 19:18:00
没有人能帮助我吗!你们没中过这个病毒吗?
神之一手 - 2005-11-8 19:23:00
最新的三个变种传播方式没什么变化,邮件、漏洞仍是其主要传播方式,安装MS04-011、MS03-026补丁仍是广大用户需要注意的。下面对三个变种作一下简单的介绍:

      Mytob.aa,大小不等,FSG加壳。病毒运行后,会释放TASKGMR.EXE和HELLMSN.EXE,HELLMSN.EXE还会释放三个文件funny_pic.scr、my_photo2005.scr、see_this!!.scr。同时还修改注册表

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
asdasd = "taskgmsr.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
asdasd = "taskgmsr.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
asdasd = "taskgmsr.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
asdasd = "taskgmsr.exe"

HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Lsa
asdasd = "taskgmsr.exe"

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
asdasd = "taskgmsr.exe"

HKEY_CURRENT_USER\Software\Microsoft\Ole
asdasd = "taskgmsr.exe"

HKEY_CURRENT_USER\System\CurrentControlSet\Control\Lsa
asdasd = "taskgmsr.exe"

      蠕虫还会尝试链接irc服务器,进行后门的行为。并且修改hosts文件,阻止用户访问防病毒厂商的主页。


      Mytob.ab,大小73,757Bytes,MEW加壳。病毒运行后,会生成COOLBOT.EXE,eminem vs 2pac.scr、funny pic.scr、photo album.scr,同时还释放出一个释放器winsys.exe,该释放器能释放一个取得权限的木马TROJ_ROOTKIT.H。并且修改注册表:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HELLBOT3 = "coolbot.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HELLBOT3 = "coolbot.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HELLBOT3 = "coolbot.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
HELLBOT3 = "coolbot.exe"

HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Lsa
HELLBOT3 = "coolbot.exe"

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
HELLBOT3 = "coolbot.exe"

HKEY_CURRENT_USER\Software\Microsoft\Ole
HELLBOT3 = "coolbot.exe"

HKEY_CURRENT_USER\System\CurrentControlSet\Control\Lsa
HELLBOT3 = "coolbot.exe"

    蠕虫还会尝试链接irc服务器,进行后门的行为。并且修改hosts文件,阻止用户访问防病毒厂商的主页。

    Mytob.ac,45,270 Bytes。病毒运行后,会生成RNATHCHK.EXE、my_picture.scr、pic.scr、see_this!.pif。并修改注册表:

HKEY_CURRENT_USER\System\CurrentControlSet\Control\Lsa
RealPlayer Ath Check = "rnathchk.exe"

HKEY_CURRENT_USER\Software\Microsoft\OLE
RealPlayer Ath Check = "rnathchk.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
RealPlayer Ath Check = "rnathchk.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
RealPlayer Ath Check = "rnathchk.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
RealPlayer Ath Check = "rnathchk.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
RealPlayer Ath Check = "rnathchk.exe"

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
RealPlayer Ath Check = "rnathchk.exe"

19831021 - 2005-11-8 19:41:00
你说的这些!文件名我的电脑上都没有啊!
1
查看完整版本: 关于Worm.MSN.Hellmsn.b病毒请大家帮忙!
© 2000 - 2026 Rising Corp. Ltd.