Board logo

標題: 點樣remove"W32.Randex.gen"呢隻野呀?? [打印本頁]

作者: 【車仁】    時間: 2005-7-9 08:09 PM     標題: 點樣remove"W32.Randex.gen"呢隻野呀??

我用norton scan又scan唔到,
但佢又係咁彈出黎,
幫幫手呀咁多位,thx
作者: gergermen    時間: 2005-7-10 12:32 PM

http://securityresponse.symantec ... w32.randex.gen.html

解 W32.Randex.gen 方法如下:
1. 關系統還原(xp或me 才要)
http://service1.symantec.com/SUP ... amp;src=sec_doc_nam
2. 將防毒軟體病毒定義檔更新至最新版
http://www.symantec.com/avcenter/do...ges/US-N95.html
→下載完後→點兩下直接執行
(下載結尾是 -i32--- 那個)
3. 進入安全模式
4. 執行全系統掃描 並刪除中此毒的檔案
5. 更改登錄檔
a. 開始→執行→輸入 regedit →按enter
b. 找到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
c. 把在有關毒的檔案都刪除(看第四步驟掃到哪些檔案中毒就刪哪些)
d. 找到 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
e. 把在有關毒的檔案都刪除(看第四步驟掃到哪些檔案中毒就刪哪些)
f. 關閉登錄檔編輯程式→重開機→解毒完成

W32.Randex蠕虫是一个通过445端口传播的蠕虫,它会扫描网络上有脆弱管理员密码的机器,并使用下面的连接符
\Admin$\system32\msmonk32---  
\c$\winnt\system32\msmonk32---
将自身拷贝过去。
同时它会从自身付带的IRC聊天室列表中的特定频道中接收指令来触发蠕虫。
影响系统:
         Windows NT, Windows 2000, Windows XP
详细信息:
一旦蠕虫感染系统后,将做如下操作:
1、拷贝自身到%System%\gesfm32---。
2、计算一些随机的ip地址进行传播。
3、尝试对上述随机产生的地址进行连接测试使用下表中列出的口令:
  admin
  root
  1
  111
  123
  1234
  123456
  654321
  !@#$
  asdf
  asdfgh
  !@#$%
  !@#$%^
  !@#$%^&
  !@#$%^&*
  server

4、如果有机器存在弱口令,他就使用下列网络连接符
   \\\Admin$\system32\gesfm32---
   \\\c$\winnt\system32\gesfm32---
   将自己拷贝过去
5、在注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 项中添加如下值:
   "Microsoft Netview"="%System%\gesfm32---"
6、连接到特定的irc聊天室的特定频道去接收远程的指令,这些指令包括:
   网络扫描:扫描网络上存在弱密码用户的机器并将自身拷贝过去
   网络攻击:发送大量的窗口值大小为55808字节的tcp包造成网络dos攻击,目前已知一台机器发起的这种攻击就可以使某些型号的交换机CPU负载达到100%
   系统信息:得到被感染机器的部分信息,如cpu的速率,内存的大小等

解决方法:
1、   手动解决办法:
    (1).在系统进程中停止gesfm32---进程
  (2).删除系统中gesfm32---文件
  (3).删除注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 项中的"Microsoft Netview"="%System%\gesfm32---"值

以上呢啲信息應該幫到你.^^
作者: 【車仁】    時間: 2005-7-10 07:54 PM

Originally posted by gergermen at 2005-7-10 12:32 PM:
[url]http://securityresponse.symant...
我用norton scan唔到呀就係,
但佢又成日彈個virus albert出黎?
作者: gergermen    時間: 2005-7-11 11:06 AM

我覺得NORTON有時有啲VIRUS佢係CHECK到,但就KILL唔到,佢最多就同你隔離咗,SO我都少用佢。

咁你有冇試勻上面嘅方法殺佢呀,再唔係裝其他病毒軟件:
瑞星:
1、http://ftp1.366online.net/soft/3 ... 瑞星杀毒oem.rar
這個版本可以在任意計算機上,不需要序列號和id就可安裝成功,安裝後是瑞星殺毒軟件 2005 17.34.20聯想專用版,病毒庫2005年7月6日,升級时輸入任意用戶名和郵箱可以直接獲得升級序列號和ID號,註冊成功後關閉,再智能升級即可。

2、序列号:RIUEKR-EKNBL6-JLE9A0-9QD200
     ID:RCCWCLK5
     http://download.rising.com.cn/for_down/rav2005dver/ravolusr.e x e
   
PC-CILLIN:S/N:PCJR-1474-3432-3783-4188

Kaspersky:http://downloads1.kaspersky-labs ... meuser/kavpersonal/

McAfee

附件1為Kaspersky嘅註冊機,附件2為Kaspersky嘅官方卸載工具,附件3為Pc-cillion嘅註冊機,附件4為一個專殺工具,你試下佢得唔得。呢啲包升到級,希望呢啲可以幫到你啦。^^

[ Last edited by gergermen on 2005-7-11 at 11:12 AM ]

附件: KAV-key.rar (2005-7-11 11:06 AM, 107.6 KB) / 下載次數 2
http://26fun.com/bbs7/attachment.php?aid=436657&k=5c46a66bebbb3c43d0e03cfe334554d6&t=1732723740&sid=mpQezY

附件: Kaspersky_Clean.rar (2005-7-11 11:06 AM, 206.5 KB) / 下載次數 2
http://26fun.com/bbs7/attachment.php?aid=436658&k=8dfda28e42ac940360fd0fb28518c10d&t=1732723740&sid=mpQezY

附件: Pc-cillin_KeyGen.rar (2005-7-11 11:06 AM, 143.6 KB) / 下載次數 2
http://26fun.com/bbs7/attachment.php?aid=436659&k=732a59a83eeef2bb4d817b5e4726802d&t=1732723740&sid=mpQezY

附件: RavQQMsender.rar (2005-7-11 11:06 AM, 102.8 KB) / 下載次數 5
http://26fun.com/bbs7/attachment.php?aid=436660&k=2221d700e2dbeb84b3a75e172adfd1fe&t=1732723740&sid=mpQezY
作者: 【車仁】    時間: 2005-7-11 04:14 PM

Originally posted by gergermen at 2005-7-11 11:06 AM:
我覺得NORTON有時有啲VIRUS佢係CHECK...
THX~~




歡迎光臨 娛樂滿紛 26FUN (http://26fun.com/bbs7/) Powered by Discuz! 7.0.0