電腦中毒, 大蝦們請救命!!!

由於厭惡Windows, 我已經轉用Linux. 可是我們家領導喜歡用Windows, 所以我機器上還留著Windows2000(同時還裝著瑞星防火牆和F-secure殺毒軟體). 可是今天發現機器上的Windows2000已經中毒, 癥狀如下:

Task Manager上顯示兩個異常進程: wpa.exe和109.tmp, 用Fport查知, wpa.exe在C:\WINNT\system32\wpa.exe, 109.tmp也在C:\WINNT\system32目錄下, 可是進程wpa.exe和109.tmp根本殺不掉, 在C:\WINNT\system32目錄下居然還找不到wpa.exe(這個木馬真夠狡猾的,我不知道它是怎麼做到的), 文件109.tmp也刪不了. 這個wpa.exe在我機上開了無數個TCP埠, 1260, 1282, 1308,...., 4972, 109.tmp開的埠是25856, 進程詳細情況如下:

Pid   Process            Port  Proto Path                          
216   services       ->  31    TCP   C:\WINNT\system32\services.exe
412   svchost        ->  135   TCP   C:\WINNT\system32\svchost.exe
8     System         ->  139   TCP                                 
8     System         ->  445   TCP                                 
768   MSTask         ->  1026  TCP   C:\WINNT\system32\MSTask.exe  
1144  ABAQUSLM       ->  1037  TCP   C:\ABAQUS\License\ABAQUSLM.exe
8     System         ->  1041  TCP                                 
1592  wpa            ->  1260  TCP   C:\WINNT\system32\wpa.exe     
1592  wpa            ->  1282  TCP   C:\WINNT\system32\wpa.exe     
1592  wpa            ->  1308  TCP   C:\WINNT\system32\wpa.exe     
1592  wpa            ->  1322  TCP   C:\WINNT\system32\wpa.exe     
1592  wpa            ->  1333  TCP   C:\WINNT\system32\wpa.exe     
1592  wpa            ->  1356  TCP   C:\WINNT\system32\wpa.exe     
1592  wpa            ->  1441  TCP   C:\WINNT\system32\wpa.exe     
1592  wpa            ->  1574  TCP   C:\WINNT\system32\wpa.exe     
.....
6712  BackWeb-7681197->  3974  TCP   C:\Program Files\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe
1592  wpa            ->  3980  TCP   C:\WINNT\system32\wpa.exe     
1592  wpa            ->  4027  TCP   C:\WINNT\system32\wpa.exe     
1592  wpa            ->  4155  TCP   C:\WINNT\system32\wpa.exe     
1592  wpa            ->  4405  TCP   C:\WINNT\system32\wpa.exe     
216   services       ->  4460  TCP   C:\WINNT\system32\services.exe
1592  wpa            ->  4482  TCP   C:\WINNT\system32\wpa.exe     
1592  wpa            ->  4526  TCP   C:\WINNT\system32\wpa.exe     
1592  wpa            ->  4527  TCP   C:\WINNT\system32\wpa.exe     
1592  wpa            ->  4762  TCP   C:\WINNT\system32\wpa.exe     
1592  wpa            ->  4908  TCP   C:\WINNT\system32\wpa.exe     
304   109            ->  25856 TCP   C:\WINNT\system32\109.tmp     
996   lmgrd          ->  27000 TCP   C:\ABAQUS\License\lmgrd.exe   

8     System         ->  137   UDP                                 
8     System         ->  138   UDP                                 
6712  BackWeb-7681197->  371   UDP   C:\Program Files\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe
8     System         ->  445   UDP                                 
228   lsass          ->  500   UDP   C:\WINNT\system32\lsass.exe   
1144  ABAQUSLM       ->  1039  UDP   C:\ABAQUS\License\ABAQUSLM.exe
1592  wpa            ->  1087  UDP   C:\WINNT\system32\wpa.exe     


這些進程都一直運行著, 我用ethereal查了一下, 好象是有人在用我機器掃描別的機器. 這個木馬怎麼才能殺掉呢?

我在保護模式下一頓狂刪, 進程里已經沒有這兩個東東了, 可是機器仍然不太正常, 開機時F-Secure依然警告. 在C:\WINNT\system32\裡頭有一個空文件叫win.htm, 抬頭是Henbang AD UpdateVersion, Henbang是什麼東東???? 另外在C:\WINNT\system32\底下又產生了一個NtmsData目錄, 每次刪完, 下次重啟又有了.

我的癥狀完全相同， 只不過我的是1.tmp， wpa.exe肯定是和哪個進程綁定了， 一開機肯定在，哪位高手指點一下， 謝謝。

我用的是pestpatrol
你們說的東西偶沒有領教過，所以不清楚，pestpatrol有沒有用哈!

這樣的病毒手動解決沒有太好的辦法，可能殺毒工具也是無能為力，格式化重裝系統吧。

你說的其他現象我一頭霧水懂不起，但其中的「Henbang」字眼，對我來說太刻骨銘心了。我也正為莫名其妙中了它的招而束手無策，急盼能在網上搜得破解之道……

「Henbang」是指「很棒俱樂部」。它是「上海很棒信息技術有限公司」的網站域名，網址為「http://club.henbang.net/」。但願這點信息能對你有用。

這是可惡的很棒小秘書。我也中過，重裝的系統。