Win32/Worm.Magistr的手动检测和清除

前几天单位的机器中了毒,由于没有使用杀毒软件,手工处理的,下面简单说一下.
本机几乎没有感觉,直到局域网中有部分机器无法上网,CMD中运行 arp -a ,发现局域网中机器的网关都指向了非网关的中毒机器.
这也是该病毒最讨厌的地方,伪造网关,进行arp欺骗.
以下是简单的查杀和检测方法.
病毒名 : Worm.Magistr
中文名 : 马吉斯
类型 : 病毒
危险级别 : 较危险

病毒是由C语言编写的感染型病毒,感染后缀名为EXE的32位PE可执行程序,病毒源的大小为40KB。
病毒源文件为boot.exe,由用户从U盘上提取。
病毒检查:
检查驱动器根目录下是否有boot.exe。
由于一些病毒文件是隐藏的,手动检测需要使用 AVG Anti-Rootkit 检查是否存在“C:\WINNT\linkinfo.dll”。
是否网络出现异常,特别是局域网中其他机器的网管被欺骗为中毒机器的ip.

推荐工具链接:

AVG Anti-Rootkit Free
专杀工具地址 : http://free.grisoft.com/doc/downloads-products/us/frt/0?prd=arw

BitComet AntiARP 是一个防护ARP攻击的小工具,作为服务运行,不需要任何设置即可自动防护ARP攻击。http://www.bitcomet.com/tools/antiarp/index-zh.htm

病毒专杀及相关链接:
微软专杀工具: http://go.microsoft.com/fwlink/?linkid=37020&name=Win32/Magistr

作者: Mr.Tang

伯虎

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

  ×  2  =  20