300台机子感染W32.Almanahe.B!inf病毒，求大佬科普

qingyanbai

公司都中了W32.Almanahe.B!inf病毒，公司有300多台机。

如图



会在C盘生成 setup.exe

用户都是域用户，不明白user那里为什么是Administrator，而且Administrator密码相同的电脑才会有这个病毒提示。

是不是其中一台电脑有问题？导致这个问题发生

在sep11里，应该怎样查呢？求大佬科普

ywsuda

是企业购买的就直接找symantec公司

qingyanbai

ywsuda 发表于 2012-12-20 18:10
是企业购买的就直接找symantec公司

谢谢跟进，诺顿公司提到 病毒是已经隔离的，属于安全。但必须删除C盘下Setup.exe（这个我用域策略解决），因为有部分电脑用旧版的诺顿，这些电脑没有自己的杀毒软件服务器，所以必须built up 一个旧版服务器。继续跟进，并在这里反映

ruibin_yuan

看，使用“合法”授权的好处出来了呗，个人用户正版，企业用户合法授权，出了问题可以理直气壮的去问你的软件供应商。

keyoushi

介个是个网游盗号木马，通过系统弱口令感染，要在注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run的路径里删除其键值，再把系统密码改成比较长的字符就可以了。

zhilu

W32.Almanahe.B!inf ,N年前的病毒，许多杀软提示删除但不了了之(有谁不服的可以先让该病毒感染系统后在查杀试试），安全模式和PE环境查杀无效，除了楼上说的删除注册表键值以外，打开任务管理器，切换到进程，然后点查看、选择列 把PID前面的勾点开。然后看里面有没有什么可疑的进程，有的话删了。如果再次生成的话通过PID标识就可以找到再生它的父进程。启动命令提示符窗口（WIN+R），执行“taskkill /im system.exe /f”命令。刷新一下电脑后重新输入上述命令。找到后删了 。
然后打开我的电脑、工具、文件夹选项、查看、显示所有文件夹。所有文件设置成可显示。打开c:\windows\system32\drivers，里面有一个s3公司的riodrvs.sys文件和rio8drvs.sys，或者在c:\windows下有一个linkinfo.dll（注意c:\windows\system32下的linkinfo.dll是正常文件）,删除这3个文件。

在这个病毒上杀软的反应速度：Norton > 瑞星 > 卡巴 = 卖咖啡


许多时候中毒，靠的是自己动手而不是杀软

GreenCodes

zhilu 发表于 2012-12-22 01:12
W32.Almanahe.B!inf ,N年前的病毒，许多杀软提示删除但不了了之(有谁不服的可以先让该病毒感染系统后在查杀 ...

看来管理还是最重要的规范用户行为很重要