● [合集] [求救]W32.Rontokbro@mm用什么来杀？ - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: sweetman (*baby*angel), 信区: Virus
标  题: [合集] [求救]W32.Rontokbro@mm用什么来杀？
发信站: 荔园晨风BBS站 (Fri Jul  7 22:15:49 2006), 站内

☆─────────────────────────────────────☆
   hawk (happyesen) 于  (Thu Jun 22 13:04:35 2006)  提到:

删除"%Profiles%\Local  Settings\Application  Data下的

CSRSS.EXE

  INETINFO.EXE

  LSASS.EXE

  SERVICES.EXE

  SMSS.EXE

  WINLOGON.EXE

删除：HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Tok-Cirrhatus  =  "
%Profiles%\Local  Settings\Application  Data\<filename.exe>"  这个项。

注：<filename.exe>引用以上所列文件名。

在计算机中删除：

bronstab.exe

  ElnorB.exe

  sempalong.exe

如果注册表不能打开，使用“木马助手”，清理后打开注册表。

删除时应使用安全模式启动或从DOS启动。

【在 sophiafly (sophia) 的大作中提到: 】
: 呜呜～～～
: 中了这个病毒，W32.Rontokbro@mm
: 请问各位大侠，用什么杀毒软件杀？在哪里有的下载

☆─────────────────────────────────────☆
   hawk (happyesen) 于  (Thu Jun 22 13:07:31 2006)  提到:

病毒名称：蠕虫病毒Win32.Robknot Family

其它名称：WORM_RONTOKBRO (Trend), W32/Rontokbro.gen@MM (McAfee), W32.Rontokb
ro@mm (Symantec)

病毒属性：蠕虫病毒  危害性：中等危害  流行程度：高

具体介绍：

病毒特性：

Win32.Robknot是一族通过邮件和修改系统设置的蠕虫病毒。

感染方式：

运行时，Robknot可以多次复制自身到"%Profiles%\Local Settings\Application Data
"目录，它使用以下文件名复制病毒：

§ CSRSS.EXE

§ INETINFO.EXE

§ LSASS.EXE

§ SERVICES.EXE

§ SMSS.EXE

§ WINLOGON.EXE

随后运行所有的文件，依次修改注册表，以确保每次系统启动时运行病毒：

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Tok-Cirrhatus = "%Profile
s%\Local Settings\Application Data\<filename.exe>"

注：<filename.exe>引用以上所列文件名。

Robknot还会复制到"%Windows%\ShellNew"目录，病设置以下注册表键值，为了在每次系
统启动时运行复制的文件：

HKLM\software\microsoft\windows\currentversion\run\Bron-Spizaetus = "%Window
s%\ShellNew\<filename.exe>"

目前发现的这种蠕虫的变体使用以下文件名复制到这个目录中：

§ bronstab.exe

§ ElnorB.exe

§ sempalong.exe

Robknot还会复制到"%Profiles%\Templates"目录中，并将这个文件添加到预定任务列表
中，为了在每天下午5:08运行病毒。Robknot变体使用以下文件名复制到这个目录中：

§ bararontok.com

§ WowTumpeh.com

§ Brengkolang.com

Robknot为了复制病毒，还会搜索文件夹。如果蠕虫在一个文件夹中发现一个可运行程序
，那么它就会使用文件夹的名称复制自身到这个文件夹中，蠕虫还会替代文件夹中的与
文件夹相同文件名的任意可运行程序。

Robknot变体使用文件夹的图标：

蠕虫还会修改以下注册表，可以在资源管理器浏览中隐藏所有文件的扩展名；因此Robk
not变体显示为一个文件夹而不是可运行程序：

HKCU\software\microsoft\windows\currentversion\explorer\advanced\HideFileExt
= 1

注：%Profiles%是一个可变的路径，指向用户的Profiles文件夹。病毒通过查询操作系
统来决定Profiles文件夹的位置。一般为C:\Documents and Settings\<username>。

'%Windows%'是一个可变的路径。病毒通过查询操作系统来决定Windows文件夹的位置。
Windows 2000 and NT默认的系统安装路径是C:\Winnt; 95,98 和 ME 的是C:\Windows;
XP 的是C:\Windows。

【在 hawk (happyesen) 的大作中提到: 】
: 删除"%Profiles%\Local  Settings\Application  Data下的
: CSRSS.EXE
:   INETINFO.EXE
:   LSASS.EXE
:   SERVICES.EXE
:   SMSS.EXE
:   WINLOGON.EXE
: 删除：HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Tok-Cirrhatus  =  "
: %Profiles%\Local  Settings\Application  Data\<filename.exe>"  这个项。
: 注：<filename.exe>引用以上所列文件名。
: ...................

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店