如何查杀nowell系统服务器下的威金病毒？？？

>HacktoolFtpScanb 病毒名称 HacktoolFtpScanb 病毒中文名 “Ftp扫描者”变种b 病毒类型 黑客工具 危险级别 ★★ 影响平台 Win 9X/ME/NT/2000/XP/2003 感染对象 描述HacktoolFtpScanb“Ftp扫描者”变种b是一个用于扫描FTP服务器地址的黑客工具。黑客可以利用此工具扫描出互联网中FTP服务器的IP地址，进而可以入侵这些服务器，远程控制这些服务器。 最近病毒肆虐，中了好多个病毒，杀到最后就这个HacktoolRootkit最顽强，不停的在Documents and Setting目录下放置一个msdirectxsys的文件，而Norton就不厌其烦的去把这个sys文件隔离，可惜治标不治本。网上搜了一堆的查杀工具，居然没一个能搞定。赛门铁克官方的解决方案更是bullshit。 说穿了原来很简单：这个msdirectxsys只是外壳，实际捣鬼的是一个随机产生的随机文件。只要找到进程里面的可疑文件杀掉，同时删除，一切OK。 我用的是WinXP sp1专业版，杀死HacktoolRootkit病毒的方法是先按“Ctrl+Alt+Del”三键调出Windows任务管理器，在其中的进程中找到“Rtvscanexe”文件后结束这个进程，然后用搜索按钮搜到“Rtvscanexe”这个文件后直接删除，重启计算机后可以解决问题，我刚刚杀掉了这个病毒，好爽啊！但愿有这个方面困惑的朋友试一试，我用的时候 *** 作简单，停灵验的。

如果怀疑服务器中病毒了，首要的任务清除病毒。
首先，服务器安装杀毒软件，升级到最新版本。
然后，断掉网络，到安全模式下，全盘对服务器进行杀毒。这样也能避免病毒通过局域网渠道传播到其他的机器上。
平时建议服务器及时修复漏洞，不要随便下载安装软件。设置安全级别比较高的口令，禁止其他人随便登陆。

装个木马克星
然后安全模式下杀
或者启动项查找木马注册信息
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows AppInit_DLLs
HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows run
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
删掉后再诺顿杀之
回复人：如影随行(mudonfield)2005-11-14 15:55:03
病毒名称: HacktoolRootkit
该蠕虫试图利用Windows的漏洞和SQL数据库中SA用户设置的密码过于简单的漏洞来传播。运行该程序会在Windows系统目录下生成wipv6exe（64,512 bytes）和msdirectxsys（6,656 bytes）文件。打开任意的TCP端口并试图从特定IRC服务器连接并以以管理者（Operator）的身份执行恶意控制。
1。删除注册表项：
HKEY_LOCAL_MACHINESYSTEMControlSet001Servicesmsdirectx
ImagePath = C:Windows 系统目录msdirectxsys
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmsdirectx
ImagePath = C:Windows 系统目录msdirectxsys
2。用killbox直接删除
3。关闭系统还原到安全模式下杀
Rootkit主要分为两种
1更改系统数据结构
2更改系统执行路径
在安全模式下反复杀还是无济于事,msdirectxsys这个文件始终无法删除
这个驱动可能在安全模式下加载了现在顶级后门都有在安全模式下加载得能力另外再看看是不是还有守护进程或者驱动,防止主程序被删除的
msdirectxsys这个驱动只能在DOS环境下删除了
回复人：忽悠(Stylistxyc)2005-11-14 18:47:38
搞定一次的经验：
HacktoolRootkit在瑞星里面是上报的TrojanRootkitm病毒。以前他有几个版本。他主要是由于你的PC机的漏洞和安全设置过于简单造成的。到现在为止已经出现6个版本。这个SPOOLV。SYS只是最近出现的新版本。并且到摸前为止没有一个杀毒软件可以直接能够完全清除此病毒。一旦你的电脑感染此病毒。那么病毒程序会自动网你的服务里面写入一个SPOOL的服务。下面教你如何删除此病毒
1：病毒的执行文件C:windowsspoollvexe病毒文件C:WINNTsystem32spoolvsys
2：因为执行文件是隐藏文件。必须使用KillBoxexe工具协助删除此顽固文件。（下个KillBoxexe复制两个文件路径删除即可），最好是到安全模式下面进行此 *** 作
3：到正常模式下面修改注册表。删除SPOOL的服务。直接到注册表查找spoollvexe。删除那一项OK
4：去服务里面禁止SPOOL服务。

你好，一般服务器如果感染了蠕虫病毒（尤其是网络蠕虫）有可能会感染给客户机，但是首先还是需要确定你的服务器中是否有蠕虫病毒。

所以，建议你使用杀毒软件对服务器进行病毒检测，最好把病毒库更新到最新。

因为蠕虫病毒不是很特殊的病毒，一般杀毒软件都可以检测出来，所以如果你确实没有扫描出，那么可能他们找出的蠕虫是误报。

有其他问题欢迎到电脑管家企业平台咨询，我们将竭诚为您服务！

电脑管家企业平台：>

腾讯电脑管家企业平台：>

在网络环境下，防范病毒问题显得尤其重要。这有两方面的原因：首先是网络病毒具有更大破坏力。其次是遭到病毒破坏的网络要进行恢复非常麻烦，而且有时恢复几乎不可能。因此采用高效的网络防病毒方法和技术是一件非常重要的事情。网络大都采用“Client-Server”的工作模式，需要从服务器和工作站两个结合方面解决防范病毒的问题。在网络
上对付病毒有以下四种基本方法： 以NetWare为例，在NetWare中，提供了目录和文件访问权限与属性两种安全性措施。“访问权限有：防问控制权、建立权、删除权、文件扫描权、修改权、读权、写权和管理权。属性有：需归档、拷贝禁止、删除禁止、仅执行、隐含、索引、清洗、读审记、写审记、只读、读写、改名禁止、可共享、系统和交易。属性优先于访问权限。根据用户对目录和文件的 *** 作能力，分配不同的访问权限和属性。例如，对于公用目录中的系统文件和工具软件，应该只设置只读属性，系统程序所在的目录不要授予修改权和管理权。这样，病毒就无法对系统程序实施感染和寄生，其它用户也就不会感染病毒。
由此可见，网络上公用目录或共享目录的安全性措施，对于防止病毒在网上传播起到积极作用。至于网络用户的私人目录，由于其限于个别使用，病毒很难传播给其它用户。采用基于网络目录和文件安全性的方法对防止病毒起到了一定作用，但是这种方法毕竟是基于网络 *** 作系统的安全性的设计，存在着局限性。现在市场上还没有一种能够完全抵御计算机病毒侵染的网络 *** 作系统，从网络安全性措施角度来看，在网络上也是无法防止带毒文件的入侵。 这种方法是将防病毒功能集成在一个芯片上，安装在网络工作站上，以便经常性地保护工作站及其通往服务器的路径。工作站是网络的门户，只要将这扇门户关好，就能有效地防止病毒的入侵。将工作站存取控制与病毒保护能力合二为一插在网卡的EPROM槽内，用户也可以免除许多繁琐的管理工作。
Trend Micro Devices公司解决的办法是基于网络上每个工作站都要求安装网络接口卡网络接口卡上有一个Boot Rom芯片，因为多数网卡的Boot Rom并没有充分利用，都会剩余一些使用空间，所以如果安全程序够小的话，就可以把它安装在网络的Boot Rom的剩余空间内，而不必另插一块芯片。
市场上Chipway防病毒芯片就是采用了这种网络防病毒技术。在工作站DOS引导过程中，ROMBIOS，Extended BIOS装入后，Partition Table装入之前，Chipway获得控制权，这样可以防止引导型病毒。Chipway的特点是：①不占主板插槽，避免了冲突；②遵循网络上国际标准，兼容性好；③具有他工作站防毒产品的优点。但目前，Chipway对防止网络上广为传播的文件型病毒能力还十分有限。 Station Lock是著名防病毒产品开发商Trend Micro Devices公司的新一代网络防病毒产品。其防毒概念是建立在”病毒必须执行有限数量的程序之后，才会产生感染效力“的基础之上。例如，病毒是一个不具自我辨别能力的小程序，在病毒传染过程中至少必须拦截一个DOS中断请求，而且必须试图改变程序指针，以便让系统优先执行病毒程序从而获得系统控制权。引导型病毒必须使用系统的BIOS功能调用，文件型病毒必须将自己所有的程序代码拷贝到另一个系统执行文件时才能复制感染。混合型病毒和多形体病毒在实施感染之前也必须获取系统控制权，才能运行病毒体程序而实施感染。Station Lock就是通过这些特点，用间接方法观察，精确地预测病毒的攻击行为。其作用对象包括多型体病毒和未来型病毒。
Station Lock也能处理一些基本的网络安全性问题，例如存取控制、预放未授权拷贝以及在一个点对点网络环境下限制工作站资源相互存取等。Station Lock能根据病毒活动辩别可能的病毒攻击意图，并在它造成任何破坏之前予以拦截。由于Station Lock是在启动系统开始之前，就接管了工作站上的硬件和软件，所以病毒攻击Station Lock是很困难的。Station Lock是目前网络环境下防治病毒比较有效的方法。 服务器是网络的核心，一旦服务器被病毒感染，就会使服务器无法启动，整个网络陷于瘫痪，造成灾难性后果。目前基于服务器的防治病毒方法大都采用了NLM(NetWare Load Module)技术以NLM模块方式进行程序设计，以服务器为基础，提供实时扫描病毒能力。市场上的产品如Central Point公司的AntiVirus for Networks，Intel公司的LANdesk Virus Protect以及南京威尔德电脑公司的Lanclear for NetWare等都是采用了以服务器为基础的防病毒技术。这些产品的目的都是保护服务器，使服务器不被感染。这样，病毒也就失去了传播途径，因而从根本上杜绝了病毒在网上蔓延。
(1)对服务器中所有文件扫描
这一方法是对服务器的所有文件进行集中检查看其是否带毒，若有带毒文件，则提供给网络管理员几种处理方法。允许用户清除病毒，或删除带毒文件，或更改带毒文件名成为不可执行文件名并隔离到一个特定的病毒文件目录中。
(2)实时在线扫描
网络防病毒技术必须保持全天24小时监控网络是否有带毒文件进入服务器。为了保证病毒监测实时性，通常采用多线索的设计方法，让检测程序作为一个随时可以激活的功能模块，且在NetWare运行环境中，不影响其它线索的运行。这往往是设计一个NLM最重要的部分，即多线索的调度。实时在线扫描能非常及时地追踪病毒的活动，及时告之网络管理员和工作站用户。
(3)服务器扫描选择
该功能允许网络管理员定期检查服务器中是否带毒，例如可按每月、每星期、每天集中扫描一下网络服务器，这样就使网络用户拥有极大的 *** 作选择余地。
(4)自动报告功能及病毒存档
当网络用户将带毒文件有意或无意地拷入服务器中时，网络防病毒系统必须立即通知网络管理员，或涉嫌病毒的使用者，同时自己记入病毒档案。病毒档案一般包括：病毒类型、病毒名称、带毒文件所存的目录及工作站标识等，另外，记录对病毒文件处理方法。
(5)工作站扫描
考虑到基于服务器的防病毒软件不能保护本地工作站的硬盘，有效的方法是在服务器上安装防毒软件，同时在上网的工作站内存中调入一个常驻扫毒程序，实时检测在工作站中运行的程序。如LANdesk Virus Protect采用Lpscan，而LANClear for NetWare采用world程序等。
(6)对用户开放的病毒特征接口
大家知道病毒及其变种层出不穷。据有关资料报道，截止1994年2月25日，全世界流传的MSDOS病毒达2700多种。如何使防病毒系统能对付不断出现的新病毒？这要求开发商能够使自己的产品具有自动升级功能，也就是真正交给网络用户防治病毒的一把金钥匙。其典型的做法是开放病毒特征数据库。用户随时将遇到的带毒文件，经过病毒特征分析程序，自动将病毒特征加入特征库，以随时增强抗毒能力。当然这一工作难度极大，需要不懈的努力。在上述四种网络防毒技术中，Station Lock是一种针对病毒行为的防治方法，StationLock目前已能提供Intel以太网络接口卡支持，而且未来还将支持各种普及型的以太令牌环(Token-Ring)网络接口卡。
基于服务器的防治病毒方法，表现在可以集中式扫毒，能实现实时扫描功能，软件升级方便。特别是当连网的机器很多时，利用这种方法比为每台工作站都安装防病毒产品要节省成本。其代表性的产品有LANdesk、LANClear for NetWare等。 早在80年代未，就有一些单机版静态杀毒软件在国内流行。但由于新病毒层出不穷以及产品售后服务与升级等方面的
原因，用户感觉到这些杀毒软件无力全面应付病毒的大举进攻。面对这种局面，当时国内就有人提出：为防治计算机病毒，
可将重要的DOS引导文件和重要系统文件类似于网络无盘工作站那样固化到PC机的BIOS中，以避免病毒对这些文件的感染。
这可算是实时化反病毒概念的雏形。
虽然固化 *** 作系统的设想对防病毒来说并不可行，但没过多久各种防病毒卡就在全国各地纷纷登场了。这些防病毒卡
插在系统主板上，实时监控系统的运行，对类似病毒的行为及时提出警告。这些产品一经推出，其实时性和对未知病毒的
预报功能便大受被病毒弄得焦头烂额的用户的欢迎，一时间，实时防病毒概念在国内大为风行。据业内人士估计，当时全
国各种防病毒卡多达百余种，远远超过了防病毒软件产品的数量。不少厂家出于各方面的考虑，还将防病毒卡的实时反病
毒模式转化为DOSTSR的形式，并以应用软件的方式加以实现，同样也取得了较不错的效果。
为什么防病毒卡或DOSTSR实时防病毒软件能够风行一时？从表面上来看，是因为当时静态杀毒技术发展还不够快，而
且售后服务与升级一时半会也都跟不上用户的需要，从而为防病毒卡提供了一个发展的契机。但究其最根本的原因，还是
因为以防病毒卡为代表的产品技术，较好地体现了实时化反病毒的思想。
如果单纯从应用角度考虑，用户对病毒存在情况是一无所知的。用户判断是否被病毒感染，唯一可行的办法就是用反
病毒产品对系统或数据进行检查，而用户又不能做到每时每刻都主动使用这种办法进行反病毒检查。用户渴望的是不需要
他们干预就能够自动完成反病毒过程的技术，而实时反病毒思想正好满足了用户的这种需求。这就是防病毒卡或DOSTSR防
病毒软件当时能够大受用户欢迎的根本原因。
实时反病毒技术一向为反病毒界所看好，被认为是比较彻底的反病毒解决方案。多年来其发展之所以受到制约，一方面是因为它需要占用一部分系统资源而降低系统性能，使用户感到不堪忍受；另一方面是因为它与其他软件（特别是 *** 作系统）的兼容性问题始终没有得到很好的解决。
2008-2009年来，随着硬件处理速度的不断提高，实时化反病毒技术所造成的系统负荷已经降低到了可被大家忽略的程度，而Windows95/98和NT等多任务、多线程 *** 作系统，又为实时反病毒技术提供了良好的运行环境。所以从1998年底开始，实时反病毒技术又重整旗鼓，卷土重来。表面看来这也许是某些反病毒产品争取市场的重要举措，但通过深入分析不难看出：重提实时反病毒技术是信息技术发展的必然结果。 对于同时运行多个任务的情况，传统基于DOS的反病毒技术无法在Windows环境下发挥正常的反病毒功能，因为它无法控制其他任务所使用的资源。只有在较高优先级上，对系统资源进行全面、实时的监控，才有可能解决Windows多任务环境下的反病毒问题。 由于防病毒卡存在与系统不兼容、只预防不杀毒、安装不便、误报警等原因，已使其无法在市场上立足。虽然在传统DOS环境下有些反病毒产品使用了TSR实现了病毒防治的实时化，但它们却普遍存在兼容性方面的问题。大家将看到Windows 仍将它作为实模式窗口（有时又被称为DOS虚拟机）打开，这种实模式窗口所能访问到的资源是固定的，是由Windows分配的。出于安全性考虑，Windows不允许这个TSR访问不属于它的资源（特别是系统关键数据）。如果此时系统遭受病毒入侵（比如病毒企图改写硬盘主引导扇区），将会发生什么情况？一般情况下，TSR检测不到这种病毒行为， 即发生了所谓“漏报”。更严重的情况可能是TSR发现了这种病毒行为，但由于系统认为所涉及的资源与该TSR所属于的实模式窗口无关而产生了 *** 作冲突，这种情况下，TSR非但杀不了病毒，还很有可能造成系统被挂起或系统崩溃。

---