手工清除蠕虫病毒W32/Rbot-NG

信息源：www.sgjiqi.com  作者：利伟   日期：2005-1-13

（此方法仅适用于Windows用户）

【病毒名称】
   W32/Rbot-NG
   W32.Rbot.gen
   W32/Sdbot.worm.gen.i
   WORM_RBOT.RW

【病毒类型】Worm

【影响系统】Windows、Unix、NetWare、DOS、OS/2、Macintosh Computers、OpenVMS。

【危险等级】中等

【特点概述】

• 通过网络共享传播。
• 修改注册表。
• 自动开启后门服务，允许远程未授权用户通过IRC访问或控制受感染电脑。
• 执行任意命令。

【发作原理】
   W32/Rbot-NG是W32/Rbot-QI的一个早期变种。与W32/Rbot-QI一样都具有后门功能的IRC网络蠕虫病毒，功能较W32/Rbot-QI少，破坏力更小。W32/Rbot-NG感染设有弱口令的网络共享漏洞的Windows系统。W32/Rbot-NG进入系统时，就将“NETSIS.EXE”复制至系统目录(%systemroot%\system32)中，并修改下列注册表项，以便在系统启动时获得运行的机会。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
Networks Controler = Netsis.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\
Networks Controler = Netsis.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
Networks Controler = Netsis.exe
                                                       (“Netsis.exe”中的字母无大小写敏感！！)

【常见故障】
   W32/Rbot-NG发作时，系统就会呈现出病毒特点现象。常见现象有：
    （A）用户无法正常操作或控制系统。
    （B）病毒运行时，可通过“任务管理”查看到“Netsis.exe”已占用大量内存，试图耗尽系统资源。

【清除方法】
   当系统有上述故障时，很有可能是已中毒。目前，国内较少感染W32/Rbot-NG及其变种，所以国内大部分杀毒软件并不能查杀。本人建议用户手工删除病毒，详细方法如下：
   <1> 请进入安全模式，查看任务管理中进程“Netsis.exe”有无运行，若有则终止；若无法终止，Windows 2000/NT/XP/2003系统用户则依次打开“控制面板”---“管理工具”---“服务”，在“服务”项下找到相应的服务并设将“启动类型”设为“禁用”、“服务状态”设为“停止”，随后再删除下列注册表项中的相关值。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
Networks Controler = Netsis.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\
Networks Controler = Netsis.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
Networks Controler = Netsis.exe
   <2> 删除系统目录下的“Netsis.exe”。
   <3> 搜索其它盘中是否还有“Netsis.exe”，有则删。
   <4> 重启系统至正常启动模式，即可。