这个Ftp木马如何清除，已经试了几种杀毒软件！

1gps

从来没有见过这么顽固的病毒，这个病毒现在是越来越频繁了，只要上网就得被感染，现在几分钟就得关一下卖咖啡得病毒检测清除窗口！使用卡巴也检测不到，木马检测程序也不起作用，头疼啊！如果重装，软件一大巴也太麻烦了，也怪我以前的Ghost文件给删了！

现在网上到是有解决办法，但是试过不起作用，怀疑方法不对啊！

使用卖咖啡的规则，限制住windows及windows/system32写文件，以及改CMD.exe访问权限也不起作用！

在安全方式下，扫描及检测病毒也找不到！

我的系统是XP sp2 已经自动更新所有的安全补丁，应该没有什么漏洞了！

我在卖咖啡里面已经把大部分端口关掉了！现在即使把端口限制住，也不能阻挡病毒发作，也许刚要发作就被卖咖啡检测并杀掉了，很奇怪，为什么能检测却不能彻底清除！

给大家发个图看看：

[ 本帖最后由 1gps 于 2006-10-1 21:15 编辑 ]

yaquan168

呵呵，谢谢楼住啊！我很少使用ＦＴＰ;P

iproffice

W32/sdbot.worm! 协议是传输文字,减少了病毒. 机器识别的文字是远距离"攻击"的机器,许多人患有不同的W32/sdbot.worm.gen.

这些不同的是W32/sdbot.worm.gen使用DCOM,当年(见http://vil.nai.com/vil/content/v_100499.htm查询和联系的片和LSASS、MS04-011利用造成缓冲溢出的脆弱机器,然后将该文件的小稿到本地盘.

在正常情况下,该文件稿将用于拉副本虫的感染原主办地跑,然后在本地系统感染这种机器还.

McAfeeVirusScan现在已经确定文字协议之前,能够有新的变数W32/sdbot.worm下载,系统仍然脆弱,必须尽早补.

w32 sdbot.worm ftp病毒防治

病毒文件netddesrv.exe样本分析和清除方法
文件名称：netddesrv.exe
文件长度：23,040字节
类型：蠕虫
名称：僵尸病毒
W32.Toxbot (Symantec);Backdoor.Win32.Codbot.at (Kaspersky Lab);W32/Sdbot.worm.gen (McAfee);Win32.Detox.based (Doctor Web);W32/Codbot-Z (Sophos);Worm/CodBot.19792 (H+BEDV);Dropped:Trojan.Deletme.A (SOFTWIN);W32/Sdbot.EZD.worm (Panda);Win32/Codbot (Eset)
受影响系统：Windows 95;Windows 98;Windows 2000;Windows NT; Windows Me;Windows XP
蠕虫特征
蠕虫运行后会产生如下特征：
1．连接IRC服务器；
1）连接IRC服务器的域名、IP、连接端口情况如下：
域名IP端口所在国家
0x80.online-software.org194.109.11.65TCP/6556，TCP/1023荷兰


0x80.martiansong.com64.202.167.129TCP/6556，TCP/1023美国
0x80.my1x1.com194.109.11.65TCP/6556，TCP/1023荷兰
0x80.goingformars.com64.202.167.129TCP/6556，TCP/1023美国
0x80.my-secure.name194.109.11.65TCP/6556，TCP/1023荷兰
0xff.memzero.info无法解析TCP/6556，TCP/1023

2）连接频道：#26# ；密码：g3t0u7
2．扫描随机产生的IP地址，并试图感染这些主机；
3．运行后将自身复制到%System%\netddesrv.exe；
4．在系统中添加名为NetDDE Server的服务，并受系统进程services.exe保护。
手工清除方法
该蠕虫在安全模式下也可以正常运行。但可以通过清除注册表的方式在正常模式下清除蠕虫。手工清除该蠕虫的相关操作如下：
1．断开网络；
2．恢复注册表；
打开注册表编辑器，在左边的面板中打开并删除以下键值：
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minmal\NetDDEsrv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\NetDDEsrv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetDDEsrv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minmal\NetDDEsrv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\NetDDEsrv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetDDEsrv
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SafeBoot\Minmal\NetDDEsrv
HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet \Control\SafeBoot\Network\NetDDEsrv
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\NetDDEsrv
3．重新启动计算机；
4．删除蠕虫释放的文件；
删除在%system%下的netddesrv.exe文件。（%system%是系统目录,在win2000下为c:\winnt\system32,在winxp下为c:\windows\system32）
5．运行杀毒软件，对系统进行全面的病毒查杀；
安装微软MS04-011、MS04-012、 MS04-007漏洞补丁。