主题 : [求助] 帮看下 是不是 木马
级别: 模拟新血
UID: 1273
精华: 0
发帖: 15
威望: 0 星
金钱: 2625 浮游币
贡献值: 0 点
好评度: 0 点
人气: 0 点
在线时间: 0(时)
注册时间: 2004-04-01
最后登录: 2004-08-15
楼主  发表于: 2004-04-28 13:06

[求助] 帮看下 是不是 木马

C:\WINDOWS\System32\wuamgrd.exe
是的话 怎么删除 谢谢
枯れない花
级别: 论坛版主
UID: 11
精华: 0
发帖: 2266
威望: 8 星
金钱: 381185 浮游币
贡献值: 8813 点
好评度: 7896 点
人气: 1049 点
在线时间: 1384(时)
注册时间: 2004-03-24
最后登录: 2023-04-20
沙发  发表于: 2004-04-28 18:36

跑不了是worm了~~引自Sophos
W32/RBot-A is a worm with a backdoor component that spreads on weakly protected network shares on the Windows platform. The worm spreads by scanning random IP addresses for open SMB ports (445) and trying to copy itself to the Windows system folder on the remote Admin$ and C$ shares as the file wuamgrd.exe.


如果需要删除的话~~

先得删除%HomeDrive%\debug.txt

然后编辑注册表
HKEY_LOCAL_MACHINE :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Microsoft Update = wuamgrd.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\
Microsoft Update = wuamgrd.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Microsoft Update = wuamgrd.exe


HKU\[code number]\Software\Microsoft\Windows\
CurrentVersion\Run\Microsoft Update = wuamgrd.exe

HKU\[code number]\Software\Microsoft\Windows\
CurrentVersion\RunRunOnce\Microsoft Update = wuamgrd.exe

如果有,就删除~~~HKU那个不太容易找到的是[code number] 反正,搜索吧~~~~

方法译自Sophos~~~:)
最后充启~~~我想应该就没有了~~~:)