瑞星卡卡安全论坛

瑞星报告发现病毒：记录如下：
病毒名称                  处理结果  发现日期  查杀方式  访问染毒文件的进程  文件                                                           
Hack.Exploit.Win32.MS08-067.hd 删除染毒文件成功 2009-05-30 14:00:00 文件监控 C:\WINNT\SYSTEM32\RUNDLL32.EXE C:\WINNT\SYSTEM32\NLZYCGF.NJL
Hack.Exploit.Win32.MS08-067.hd 删除染毒文件成功 2009-05-30 13:00:00 文件监控 C:\WINNT\SYSTEM32\RUNDLL32.EXE C:\WINNT\SYSTEM32\NLZYCGF.NJL
Hack.Exploit.Win32.MS08-067.hd 删除染毒文件成功 2009-05-30 12:00:00 文件监控 C:\WINNT\SYSTEM32\RUNDLL32.EXE C:\WINNT\SYSTEM32\NLZYCGF.NJL
奇怪的是每一小时出现一次，后来用sreng2[1].71.1261版查有任务计划，把任务计划停了，另附log文件如下：
SREngLOG.log 
停用后没出现此病毒，现在时间是15：06了。还有，任务中有个记录：
[url=file://\\10.69.82.xx\Admin$\eraseme_68060.exe]\\10.69.82.xx\Admin$\eraseme_68060.exe[/url]，但这个文件找不到，自己都erase了，怎么找？本人水平不足，特找帮忙。

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)

附件: SREngLOG.log

打上MS08-067补丁
关闭IPC$共享
给管理员用户加上强壮密码
找到是中毒机，在安全模式下查杀。
如果你能找到这个病毒的EXE文件的话，那可真是不错了。

这个是残余的服务项，去删除即可：

==================================
服务
[67725 / 67725][Stopped/Manual Start]
  <\\10.69.82.129\Admin$\eraseme_68060.exe><(File is missing)>

[windowsnetwork / windowsnetwork][Stopped/Auto Start]
  <"C:\WINNT\winkernel32.exe"><(File is missing)>

这里下载费尔木马强力清除助手,点选“抑制文件再生”删除下面文件。
http://bbs.ikaka.com/attachment.aspx?attachmentid=446804
删除：
C:\WINNT\Tasks\At1.job
C:\WINNT\Tasks\At10.job
C:\WINNT\Tasks\At11.job
C:\WINNT\Tasks\At12.job
C:\WINNT\Tasks\At13.job
C:\WINNT\Tasks\At14.job
C:\WINNT\Tasks\At15.job
C:\WINNT\Tasks\At16.job
C:\WINNT\Tasks\At17.job
C:\WINNT\Tasks\At18.job
C:\WINNT\Tasks\At2.job
C:\WINNT\Tasks\At3.job
C:\WINNT\Tasks\At4.job
C:\WINNT\Tasks\At5.job
C:\WINNT\Tasks\At6.job
C:\WINNT\Tasks\At7.job
C:\WINNT\Tasks\At8.job
C:\WINNT\Tasks\At9.job

不论删除结果如何立即重启电脑，看情况如何。

你意思是局域网内其他电脑影响的？？

我记不得这玩意:kaka6:

conficker:kaka19:

上述补丁已打；二个进程用卡卡去除；IPC$共享没关，我二个网卡，内网还要用；昨日用瑞星在安全下杀没找到任何东东，还是在今天开机后每小时报一次；任务计划已停，好象没事了，重启一下再看。我是在瑞星中没搜到有关Hack.Exploit.Win32.MS08-067.hd的解决方法才发的贴，可能是我找的方法不对。关键是.exe文件没找到，一定改得面目全非让人想不到的名字，也没办法一个一个查吧。

可查看染毒计算机windows\system32目录下是否存在netapi32.dll文件。
windows2000 sp4系统下，此文件的版本应该为:5.0.2195.7203
windows xp sp2/sp3系统下，此文件的版本为:5.1.2600.3462/5694
windows 2003 SP1/SP2系统下，此文件版本为：5.2.3790.3229/4392
windows 2008 vista系统下，此文件版本为：6.0.6000.16764；6.0.6000.20937；6.0.6001.18157；6.0.6001.22288
如果版本正确说明系统已经成功修补了此漏洞，升级瑞星至最新版本，可以彻底根除。
若没有此文件或者版本不符，说明此补丁没有打上或者没有打全，建议在控制面板-添加删除程序中将其卸载，而后重新修补漏洞。

这玩意

我只有建议这一堆专杀试了

http://bbs.ikaka.com/showtopic-8612678.aspx

没好办法了

删除计划任务后没出现此问题。捣乱的文件在内网机器也未找到。windows2000 sp4系统下，此文件的版本应该为:5.0.2195.7203这是对的。也不是U盘类的，因为我对文件敏感，根目录下从来不放任何文件；正在用windows-kb890830-v2.10.exe在安全方式下扫。过后再说吧。
1个已找到：worm:win32/conficker.B

跟楼主一样的问题，是公司的服务器，系统是2003，弄了很久都杀不掉，LZ解决了请一定要告诉我怎么杀啊。。

ms08-067局域网处理简单步骤
1、所有windows机器安装ms08-067补丁
2、所有机器设置强密码
3、所有机器关闭共享，或者必须开启共享的机器将其共享权限设置为只读
4、断网处理一台机器，无报毒后安装瑞星防火墙，不设置白名单和可信区，接入局域网，根据防火墙报告的攻击ip，找攻击源，断网查杀（前提所有机器都将瑞星杀毒软件升级到最新版）
 
ms08-067补丁安装是否成功可以用前面发的方法验证

我晕，公司新到的五台DELL机，系统XP，使用过U盘，但和我的几台机器不在同一物理网内，从未接触过，今天也被发现有Hack.Exploit.Win32.MS08-067.hd和worm:win32/conficker.A，看来此毒流毒无穷呀。打补丁、升级瑞星后断网安全方式下杀就行了，每一小时出现一次的问题，把任务计划禁用就可以。XP也真俗，任务计划对大多数用户(至少我是)屁用没有，早不默认打开此功能就好了。

U盘传播

建议使用微软的恶意程序删除工具