嘉定都市网

标题: 与“爱之门”病毒最新变种斗争一周,得到一些个人经验,特此共享! [打印本页]
作者: johnlee    时间: 2004-4-23 15:00
标题: 与“爱之门”病毒最新变种斗争一周,得到一些个人经验,特此共享!
老的“爱之门”的危害并不大,主要是耗尽系统资源,传播手段也主要是靠邮件和网页代码,而现在新的变种威力大增,传播方式也更多样更快速。
先来看它的破坏性。它还是象老版本那样耗尽你系统资源,但它现在还会破坏可执行文件,而且是完全破坏(我的很多下载的软件都没了),在杀毒之后,这些文件也将会被完全删除。不过至今还没发现它多系统本身有多少破坏。
再来看它的传播方式。这次的新变种传播能力非常强大,不光可以通过邮件和网页代码传播,还可以通过感染的可执行文件、网络端口攻击和自建的文件传播。特别是网络端口攻击,非常难以防范,由于是主动发送,所以中毒的机器马上就会变成一台病毒坦克,到处向本域的其他机器发送病毒代码。它主要攻击135和139这2个端口。
所以,光更新病毒库是不能防住它的,它会关掉你的病毒防火墙,再感染你的机器。
最后看解决办法。中了它的话先要做的是断开所有网络,保证不在被网络感染,然后打开任务管理器,杀掉IEXPLORE.EXE、NETMEETING.EXE、SPOLLSV.EXE。杀的时候手脚要快,它会再启动进程,可能要杀几次。杀掉进程以后就可以启动杀毒软件了,更新病毒库,开始杀毒。杀毒要杀2到3次,因为有的病毒文件是超连接库文件(DLL)或是正在进程中。杀完毒后,再上网之前要先装上网络防火墙,以防同域的其他机器再传染你。最后再更新你的系统补丁。

以上是我的个人经验,希望大家能得到一些启发。
作者: coldsummer    时间: 2004-4-23 15:03
为什么不在DOS下杀掉它?
作者: 零下一度    时间: 2004-4-23 15:05
为什么你老是中“爱之门”?

去年“爱之门”一出来,你就中了,可以算嘉定NO.1了
今年还是阴魂不散
作者: johnlee    时间: 2004-4-23 15:22
原文由 coldsummer 在 2004-04-23 15:03:28  发表
为什么不在DOS下杀掉它?
病毒在你的脑子里还停留在CIH时代吧。现在的病毒不是说杀掉就没有了,如果不处理得当,再次被感染只是时间问题。
为什么你老是中“爱之门”?

去年“爱之门”一出来,你就中了,可以算嘉定NO.1了
今年还是阴魂不散

可能你已经中了你还不知道。
作者: flytosea    时间: 2004-4-23 15:51
今天我也碰到一件事,就是打开IE就是这页:www.ttjj.com的网页,使尽十八般武艺也没有用

用NORTON、MCAFEE两中杀毒武器杀了所有病毒,可能还有漏网的,但是不启动任何进程,还是这样

改成空白页,但是重新打开IE就是WWW。TTJJ。COM,搞了一个上午,没有结果,下个星期继续,如果有收获也象楼主发个帖子,第一次碰到这么难缠的病毒
作者: 元宝姐姐    时间: 2004-4-23 18:21
卸了浏览器 重装~
作者: [二孬]    时间: 2004-4-23 18:37

我用windows的时候,也是用Mozilla浏览器,会不会中阿??
作者: 断空斩月    时间: 2004-4-23 23:53
我碰到一个病毒。。。
老是在浏览网页时,突然弹出广告(特定的),无论我进哪个网站都会跳出来,现在我用3721把他屏蔽了,但老是会出现“恶意网站,是否继续?”,怎么办啊??!!!
作者: 零下一度    时间: 2004-4-24 13:31
重装系统对“爱之门”无效

宝妹,你一定没中过
作者: johnlee    时间: 2004-4-24 22:49
由于爱之门的传播方式比较多样,所以没有比较好的防范措施
作者: flytosea    时间: 2004-5-8 15:38
原文由 flytosea 在 2004-04-23 15:51:06  发表
今天我也碰到一件事,就是打开IE就是这页:www.ttjj.com的网页,使尽十八般武艺也没有用

用NORTON、MCAF...



今天先用SYSEDIT查看了WIN。INI和SYSTEM。INI,没有异样

最后抱着试试看的心态,用查找文件,查找包含“www.ttjj.com”字符串的文件,发现有三个文件,user.dat,system.dat,c:\windows\system\navigation.dll,前面两个是注册表文件,由于主页字符,肯定注册表中是有的,所以不奇怪,值得怀疑的是第三个,双击打开,应该是出现“打开方式”对话框,但是却出现了“脚本错误”的对话框,DLL文件原来是个脚本文件。

将navigation.dll改名后问题解决,在确认没有问题后把该文件删除。可能这个文件本身是IE的系统文件,只是被病毒加入了一些代码,所以NORTON没有查出来,也没有反应。

至于删除以后有没有不良影响还要用一段时间看看,如果出现其他问题,反正可以重新提取的。

不知道大家有没有类似经历?
作者: sfer    时间: 2004-5-8 16:13
所以说装杀毒软件和进行系统更新都是必需的,杀毒软件要紧跟更新步伐,我收邮件时就杀过两个lovegate病毒



欢迎光临 嘉定都市网 (http://www.jiading.com.cn/) Powered by Discuz! X3.1