一个关于病毒的问题！

冰琳儿

　　我装的是2000和ｘｐ双系统，近日系统速度明显变慢，熊猫卫士频频报出病毒，金山毒霸却没什么反应，全面杀毒后也不见什么效果。
　　于是痛下决心不怕麻烦，用金山创建了杀毒盘后，在ｄｏｓ下彻底通杀了一遍，揪出三个病毒：分别为Hack.niuzudoor.4372、Hack.ircGeneric.642048、BAT.Muma，均在c:\winnt\system32\下，都清除后，感觉系统速度还是没变快，而且好多时候都没操作了，硬盘还在读。
　　还有，我在c:\winnt\system32\下还找到两个BAT文件，11.bat(9字节)和muma.bat(0字节)。
　　另11.bat的内容为：SET IPA=%NUM1%.%NUM2%
　　　　　　　　　　　CALL 10.BAT %NUM3%
　　请高手们指点，11.bat的作用是什么？还有，病毒都清除了，为何muma.bat还存在？

瓶子

你在ＸＰ下看一下任务管理器的ＣＰＵ利用率是多少

硬盘是我家

MUMA(Bat.Worm.Muma)病毒档案
日期：2003:6:13 ·来源：瑞星公司  查看:[大字体 中字体 小字体]
　
　　警惕程度：★★★★
　　发作时间：随机
　　病毒类型：批处理病毒
　　传播方式：网络
　　感染对象：网络
　　依赖系统: WIN9X//NT/2000/XP

　　病毒介绍：

　　该病毒是一个以“批处理文件”形式存在的蠕虫病毒，它构思巧妙，主病毒体采用批处理命令编写，不但自身携带一些病毒程序，还利用系统提供的正常程序阻塞网络。该病毒共由9个批处理病毒体组成，调用7个程序完成病毒的破坏工作，会扫描整个网段、端口，记录密码为空的计算机，并对这些计算机进行攻击。该病毒运行时还会将自身改装成一个服务程序，随系统启动，建立有管理员权限的新用户，并利用该用户登陆计算机，进行新一轮的网络攻击。

　　病毒的发现与清除：

　　此病毒会有如下特征，如果用户发现计算机中有这些特征，则很有可能中了此病毒：

　　1、该病毒由start.bat、muma.bat、10.bat、replace.bat、ipc.bat、hack.bat、random.bat、ntservice.bat、ss.bat等9个病毒体组成，并且调用HFind.exe、ntservice.exe、nwiz_.exe、psexec.exe、psexesvc.exe、rep.exe等程序进行破坏，病毒运行时会将这些文件拷贝到系统目录下。

　　2、病毒运行时会使用net use指令，对密码为空或有简单密码的计算机进行IPC连接，远程启动ntservice.bat病毒文件，目的是在系统中启动一个名称为“Application”的“服务”，该服务会运行另一个病毒体“ss.bat”，用系统管理工具查看系统是否存在一个名为：“Application”的服务。

　　3、病毒还会利用“net user”命令在被感染的计算机中增加一个有管理员权限的新用户：admin，密码为KKKKKKK，并以此帐号、密码登陆被感染机器（127.0.0.1），以管理员的身份调用START.BAT，查看系统中是否存在这样的一个用户。

　　用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了MUMA(Bat.Worm.Muma)病毒。


[size=24:eff240af38]赶紧杀木马！！[/color:eff240af38]

ArXoR

哇.....兄弟....
哪找的啊......我也想进步....
8)  8)  8)

硬盘是我家

万能的Google，I服了You！！我Love你！
:D  :D  :D  :D  :D  :D  :D  :D  :D  :D  :D  :D

冰琳儿

我又发现了10.bat，内容如下：
DEL IPCFIND.TXT
HFIND %IPA%.%1.1 %IPA%.%1.254 -t 254
NWZI.EXE
CALL replace.BAT
CALL ipc2.bat IPCFind.txt
DEL IPCFind.txt
    是什么意思呢？为什么我那天没有发觉这个文件？
    杀毒要怎么杀？
  另外，我现在好几次都是一打开ADSL拨号连接，正在拨号，就死机了，按任何键都不起作用。
  请问我该怎么办啊？

硬盘是我家

huidengfeng

你不会天天挂在网上研究这些东西吧!~!!

硬盘是我家

你认为呢？ :lol:

rarenmen

我也同时用过两个杀毒软件，明显瑞星过于严格，把千夫指都给我当病毒删了。
给你提个醒，删东西时看好是自己用的还是那东西不是自己的以免以后后悔