普宁安琪医院费用:asn2.exe是什么病毒

信息源：www.sgjiqi.com 作者：利伟 日期：2005-1-12
（此方法仅适用于Windows用户）

【病毒名称】
W32/Rbot-QI
Backdoor.Win32.Rbot.gen
W32/Sdbot.worm.gen.g
W32/Sdbot.worm.gen.t （你的那个哦）

【病毒类型】Worm

【影响系统】
设有弱口令的网络共享且有RPC/DCOM (MS04-012), LSASS (MS04-011)、IIS5SSL (MS04-011) 漏洞的Windows系统；Unix、NetWare、DOS、OS/2、Macintosh Computers、OpenVMS。

【危险等级】偏高

【特点概述】
（1） 扫描网内其它有此漏洞的电脑。
（2） 开启本地FTP或WEB服务，以便为自己提供网络连接。
（3） 通过DCC或HTTP传播病毒体。
（4） 扫描本地磁盘。
（5） 列出或终止当前系统服务，进程或线程。
（6） 发起SYN，PING、UDP、TCP或ICMP洪水攻击。
（7） 将已感染的电脑作为“肉鸡”。
（8） 开启SOCKS4代理服务。
（9） 重定向TCP连接。
（10） 运行identd服务。
（11） 连接其它IRC服务器或端口。
（12） 执行任意命令。
（13） 开启command-shell 服务。
（14） 伪造寄件人的E-mail地址，发送大量E-mail，阻塞网络。
（15） 远程攻击者可通过IRC信道控制感染系统。
（16） 监控屏幕动作。
（17） 自动连接事先设置好的IRC服务器，等待服务器发送控制指令。

【发作原理】
W32/Rbot-QI是一个具有后门功能的IRC网络蠕虫病毒。感染设有弱口令的网络共享且有RPC/DCOM (MS04-012), LSASS (MS04-011)、IIS5SSL (MS04-011) 漏洞的Windows系统。W32/Rbot-QI一进入系统时，就会扫描硬盘，判断当前系统是否已感染。若有，则取消感染，否则，将“wuacrlt.exe”复制至系统目录中，并修改下列注册表项，以在系统启动时获得运行的机会。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
*windows update = "wuacrlt.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\
*windows update = "wuacrlt.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
*windows update = "wuacrlt.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\
*windows update = "wuacrlt.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\
*windows update = "wuacrlt.exe"
(注意：病毒进程“wuacrlt.exe”与Windows 自动更新应用程序“wuauclt.exe”很相似，要细心区分啊！！！)

【常见故障】
W32/Rbot-QI发作时，系统就会呈现出病毒特点现象。常见现象有：
（A）造成网络阻塞，无法上网及访问LAN内共享资源。
（B）电脑一接入网络就死机，断开又恢复正常，通过“任务管理”查看到“wuacrlt.exe”占用大量内存，CPU使用率居高不下。

【清除方法】
当系统有上述故障时，很有可能是已中毒。目前，国内部分杀毒软件并不能查杀，用户可以通过手工删除方法清除病毒，详细方法如下：
<1> 请打上RPC/DCOM (MS04-012), LSASS (MS04-011)和IIS5SSL (MS04-011)补丁。
<2> 然后请进入安全模式，查看任务管理中进程“wuacrlt.exe”有无运行，若有则终止，随后再删除下列注册表项中的相关值。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
*windows update = "wuacrlt.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\
*windows update = "wuacrlt.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
*windows update = "wuacrlt.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\
*windows update = "wuacrlt.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\
*windows update = "wuacrlt.exe"
<3> 删除系统目录下的“wuacrlt.exe”。
<4> 搜索其它盘中是否还有“wuacrlt.exe”，有则删。
<5> 重启系统至正常启动模式，即可。
我从http://forum.ikaka.com/topic.asp?board=28&artid=5584291 找的，应该没错你可以试试

就先把这个文件 asn2.exe 删除后看看，在开机启动时按F8，选择命令行的安全模式，在CMD窗口里，输入：
attrib c:\winnt\system32\asn2.exe -s -r -h -a
del c:\winnt\system32\asn2.exe
重启。

您好，不用担心；
既然杀毒软件能查出来就一定能杀，所谓杀不了，是因为病毒在运行；正在运行的程序不能修改或删除的。
从新启动，按住F8，进入安全模式，再从安全模式中启动杀毒软件就可以轻松杀毒了。
断开网络再杀毒，将病毒监控设置为自启动在连接网线。
祝您好运。

是缓冲区溢出攻击，Macfee8.0i企业版中有专门防护缓冲区溢出的选项，10.0版就不太清楚了，你自己可以找找。

2000系统最好打上SP4补丁。

如果没装防火墙，或者装了其他防火墙，就卸掉。
推荐Zone Alarm pro防火墙（关闭其Antivirus功能，避免与Macfee冲突）
华军软件园有下载。

还有手工解决办法：
对付缓冲区溢出攻击的措施,除了经常给操作系统打补丁并结合其他相关安全措施外,我们同样可以采取一个釜底抽薪的办法,即假使系统被人溢出成功,此时对方已经获得的只不过是System权限.那么我们就把这些对方可能继续利用的系统命令的执行权限修改一下如何即由系统默认的Everyone访问权限修改为只有特定账户才能执行.

第一步:在资源管理器中打开%Systemroot%\system32文件夹,选定Cmd.exe,net.exe,cacls
.exe,telnet.exeat.exe,format.com,mountvol.exe,mshta.exe等文件.

第二步:右击鼠标,选择快捷菜单中的"属性"命令,在"安全"选项卡中点击"高级",取消"从父项继承那些可以应用到子对象的权限项目……"的选项,点击"确定",出现对话框后点击"删除".这样就把从根目录继承的Everyone的访问权限给删除了!如果系统提示没有任何人可访问,不要理会,选择确定.

第三步:添加特定用户到访问权限列表.
现在,属性对话框的"安全"选项卡列表中已经没有任何用户了.依次点击"添加"→"高级"→"立即查找",然后从列表中找到你允许执行这些程序的用户账户或组,再一路点击"确定",即可完成对这些文件访问权限的设置.
注意:只有磁盘分区采用NTFS文件系统格式时,才能进行上述的安全设置。

x先运行里 shutdown -a
然后看好了：

安全模式下杀毒
如果不行的话教你手动干掉他
进regedit 搜索 上面出现的文件
msconfig 启动下的他的项去掉
安全模式下 把document~1\***\local~1\temp下的
文件删除（***是用户名）

把机器全面杀毒，推荐用卡巴斯基