VIP可享有论坛特权,免看广告,负分归零,重新加分开始!
「我要成为VIP」
| 该用户匿名发帖 发表于 2006-10-20 09:00 只看TA 1楼 |
|---|
| 该用户已被删除 |
|
[交流] 10月17号新版本《威金》病毒解决方法 今天朋友机子中毒了,叫我帮修(帮MM修总是比较有动力的!)到了那里之后,发现她电脑图标都花了,凭着我多年来搞电脑的经验告诉我说:“中了威金了!!”然后立马上瑞星网站上下了个专杀。。。晕倒,一用专杀工具,电脑就关机。。。没法,进安全模式后再用专杀工具杀吧!奇怪是,一个毒都没杀到。。。。再打开C盘,查找 logo1_.exe,确实又有。。。没法,杀毒软件就是杀不出来。。。。只好用卡巴了,卡巴一查,杀出来了,版本号是Worm.Viking.bb的威金病毒,不了浪费力气了,只有卡巴能查出来。至少是到现在为止。 但卡巴杀了的话,exe文件就会被删掉。。。因为很多工具和游戏人家还都是有用的。。。没法,只好等专杀工具更新,但其间人家还是要用电脑的麻。怎么办哩。。。我一边手动杀毒,一边观察中毒的情况。 没法,只好用手动的,手动删除了注册表和相关病毒文件后,(手动删的方法,大家网上找找吧,一找一大堆)。然后用策略组禁用logo1_.exe和rundl132.exe,本以为情况能暂时解决,让她顶到专杀工具出来,没想到情况依旧。。。。 后来又注意到每运行一个程序,进程里就会多个cmd.exe的程序运行项。难道这版本的病毒依靠cmd.exe来运行的?再把cmd.exe添加到策略组的禁用项里面。 (具体方法为运行策略组 gpedit.msc在运行栏里面输入就行!然后---用户配置---管理模板----系统-----不要运行指定的windows程序)就行了。 这样就能暂时解决了,病毒在本机上就运行不了了,本机只是有带毒而已!不影响使用,等过阵子专杀工具出来了,再用专杀工具杀就OK了。就能保住EXE文件了。 如果策略组无效的朋友可以把cmd.exe的文件名改成其它!我朋友那台机子就是。。。策略组的不要运行指定的windows程序功能无效。。。帮她弄的时后脑袋一时转不过来,浪费我不少时间。。。呵呵,后来才是想到的。。。(人笨没法。。。) 差点忘了,所有中了毒的exe文件会在同目录下生成一个文件名为_desktop.ini 的隐藏的系统文件。 下面附上手动删掉病毒相关启动项的方法: 鉴于很多网友查询该病毒的查杀方法,现重新发布如下,如若转载,请注明出处[www.wainfu.com] 操作之前,请先升级你的杀毒软件病毒库为最新版本。 一 开机按F8键,进入电脑安全模式。 二 进入任务管理器,查找有无rundl132.exe等可疑进程,如有,进束该进程。 找到explorer.exe进程,也结束掉该进程(很重要,且顺序不用弄反),这时桌面会有所变化,再点点任务管理器的新建任务(运行...),输入explorer后确定,桌面恢复正常。做此一步,是防止病毒将vdll.dll注入explorer.exe。 三 打开文件夹选项,去掉“隐藏受保护的操作系统文件”前的钩,选中“显示所有文件和文件夹”。 四 删除以下目录下的文件:(有则删除,没有更好) C:\Windows\rundl132.exe C:\Windows\logo_1.exe C:\1.txt 搜索并删除电脑里所有vdll.dll和_desktop.ini文件。 五 用记事本打开C:\Windows\system32\drivers\etc\hosts文件,检查显示的是否跟以下内容相同,删除127.0.0.1 localhost以下所以内容,保存退出。 # Copyright (c) 1993-1999 Microsoft Corp. # # This is a sample HOSTS file used by Microsoft TCP/IP for Windows. # # This file contains the mappings of IP addresses to host names. Each # entry should be kept on an individual line. The IP address should # be placed in the first column followed by the corresponding host name. # The IP address and the host name should be separated by at least one # space. # # Additionally, comments (such as these) may be inserted on individual # lines or following the machine name denoted by a '#' symbol. # # For example: # # 102.54.94.97 rhino.acme.com # source server # 38.25.63.10 x.acme.com # x client host 127.0.0.1 localhost 六 输入regedit进入系统注册表,查找到 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 删除字符串"load"="C:\\Windows\\rundl132.exe" 查找到[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] 删除字符串"load"="C:\\Windows\\rundl132.exe" 查找到[HKEY_LOCAL_MACHINE\SOFTWARE\] 删除下面整个soft项,其中包括所带的DownloadWWW。 查找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows] 删除所有ver_down[数字]的字符串值。 以下是此病毒的危害说明及它的原理 关于 Logo1_.exe 基本介绍 病毒名称 Worm@W32.Looked 病毒别名 Virus.Win32.Delf.62976 [Kaspersky], W32/HLLP.Philis.j [McAfee],W32.Looked [symantec] Net-Worm.Win32.Zorin.a 病毒型态 Worm (网络蠕虫) 病毒发现日期 2004/12/20 影响平台 Windows 95/98/ME , Windows NT/2000/XP/2003 风险评估 散播程度:中 破坏程度:中 主要症状: 1、占用大量网速,使机器使用变得极慢。 2、会捆绑所有的EXE文件,只要一运用应用程序,在winnt下的logo1.exe图标就会相应变成应用程序图标。 3、有时还会时而不时地弹出一些程序框,有时候应用程序一起动就出错,有时候起动了就被强行退出。 4、网吧中只感梁win2k pro版,server版及XP系统都不感染。 5、能绕过所有的还原软件。 详细技术信息: 病毒运行后,在%Windir%生成 Logo1_.exe 同时会在windws根目录生成一个名为"virDll.dll"的文件。 %WinDir%\virDll.dll 该蠕虫会在系统注册表中生成如下键值: [HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW] "auto" = "1" 盗取密码 病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码,将游戏密码发送到该木马病毒的植入者手中。 阻止以下杀毒软件的运行 病毒试图终止包含下列进程的运行,这些多为杀毒软件的进程。 包括卡八斯基,金山公司的毒霸。瑞星等 。98%的杀毒软件运行。 国产软件在中毒后都被病毒杀死,是病毒杀掉-杀毒软件。如金山,瑞星等。哪些软件可以认出病毒。但是 认出后不久就阵亡了。 通过写入文本信息改变"%System%\drivers\etc\hosts" 文件。这就意味着,当受感染的计算机浏览许多站点时 (包括众多反病毒站点),浏览器就会重定向到66.197.186.149。 病毒感染运行windows操作系统的计算机,并且通过开放的网络资源传播。一旦安装,蠕虫将会感染受感染计算 机中的.exe文件。 该蠕虫是一个大小为82K的Windows PE可执行文件。 通过本地网络传播 该蠕虫会将自己复制到下面网络资源: ADMIN$ IPC$ 症状 蠕虫会感染所有.exe的文件。但是,它不会感染路径中包含下列字符串的文件: \Program Files Common Files ComPlus Applications Documents and Settings NetMeeting Outlook Express Recycled system System Volume Information system32 windows Windows Media Player Windows NT WindowsUpdate winnt 蠕虫会从内存中删除下面列出的进程: EGHOST.EXE IPARMOR.EXE KAVPFW.EXE KWatchUI.EXE MAILMON.EXE Ravmon.exe ZoneAlarm 好多人遭此病毒破坏造成大面积的卡机,瘫痪。我查遍了好多病毒,和自己收集的病毒样本做了比较,发现此病毒极度变态。危害程度可以和世界排名前十的爱情后门变种相比。该病毒可以通过网络传播,传播周期为3分钟。如果是新做的系统处于中了毒的网络环境内,只要那个机器一上网,3分钟内必定中招。中招后你安装 rising SkyNet Symantec McAfee Gate Rfw.exe RavMon.exe kill NAV 等杀毒软件 都无法补救你的系统,病毒文件 Logo1_.exe 为主体病毒,他自动生成病毒发作所需要的的 SWS32.DLL SWS.DLLL KILL.EXE 等文件。这些文件一但衍生。他将迅速感染系统内EXPLORE 等系统核心进程 及所以.exe 的可执行文件,外观典型表现症状为图标变色。 此时系统资源可用率极低,你每重新启动一次,病毒就会发作一次,重新启动5次后系统基本崩溃。病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码,将游戏密码发送到该木马病毒的植入者手中。 |
| 0 |
| 该用户匿名发帖 发表于 2006-10-20 09:03 只看TA 2楼 |
|---|
|
附上手动杀毒,批处理: @ECHO OFF del c:\winnt\logo1_.exe del c:\windows\logo1_.exe del c:\winnt\0sy.exe del c:\windows\0sy.exe del c:\winnt\1sy.exe del c:\windows\1sy.exe del c:\winnt\2sy.exe del c:\windows\2sy.exe del c:\winnt\3sy.exe del c:\windows\3sy.exe del c:\winnt\4sy.exe del c:\windows\4sy.exe del c:\winnt\rundl132.exe del c:\windows\rundl132.exe net share c$ /d net share d$ /d net share e$ /d net share F$ /d net share G$ /d net share h$ /d net share i$ /d net share j$ /d net share admin$ /d net share ipc$ /d del c:\winnt\logo1_.exe del c:\windows\logo1_.exe del c:\windows\vdll.dll del c:\winnt\vdll.dll del c:\winnt\kill.exe del c:\windows\kil.exe del c:\winnt\sws32.dll del c:\windows\sws32.dll del c:\winnt\rundl132.exe del c:\windows\rundl132.exe echo. echo. echo. echo. ***************************** echo. echo. 正在查毒...请不要关闭...... echo. echo. ***************************** echo. echo. echo. echo. ping 127.0.0.1 -n 5 del c:\winnt\logo1_.exe del c:\windows\logo1_.exe del c:\windows\vdll.dll del c:\winnt\vdll.dll del c:\winnt\kill.exe del c:\windows\kil.exe del c:\winnt\sws32.dll del c:\windows\sws32.dll del c:\winnt\rundl132.exe del c:\windows\rundl132.exe echo. echo. echo. echo. ***************************** echo. echo. 正在查毒...请不要关闭...... echo. echo. ***************************** echo. echo. echo. echo. ping 127.0.0.1 -n 5 del c:\winnt\logo1_.exe del c:\windows\logo1_.exe del c:\windows\vdll.dll del c:\winnt\vdll.dll del c:\winnt\kill.exe del c:\windows\kil.exe del c:\winnt\sws32.dll del c:\windows\sws32.dll del c:\windows\0sy.exe del c:\winnt\1sy.exe del c:\windows\1sy.exe del c:\winnt\2sy.exe del c:\windows\2sy.exe del c:\winnt\3sy.exe del c:\windows\3sy.exe del c:\winnt\4sy.exe del c:\windows\4sy.exe del c:\winnt\rundl132.exe del c:\windows\rundl132.exe del C:\winnt\Logo1_.exe del C:\winnt\rundl132.exe del C:\winnt\bootconf.exe del C:\winnt\kill.exe del C:\winnt\sws32.dll del C:\winnt\dll.dll del C:\winnt\vdll.dll del C:\winnt\system32\ShellExt\svchs0t.exe del C:\Program Files\Internet Explorer\0SY.exe del C:\Program Files\Internet Explorer\1SY.exe del C:\Program Files\Internet Explorer\2sy.exe del C:\Program Files\Internet Explorer\3sy.exe del C:\Program Files\Internet Explorer\4sy.exe del C:\Program Files\Internet Explorer\5sy.exe del C:\Program Files\Internet Explorer\6SY.exe del C:\Program Files\Internet Explorer\7sy.exe del C:\Program Files\Internet Explorer\8sy.exe del C:\Program Files\Internet Explorer\9sy.exe del C:\winnt\system32\Logo1_.exe del C:\winnt\system32\rundl132.exe del C:\winnt\system32\bootconf.exe del C:\winnt\system32\kill.exe del C:\winnt\system32\sws32.dll del C:\windows\Logo1_.exe del C:\windows\rundl132.exe del C:\windows\bootconf.exe del C:\windows\kill.exe del C:\windows\sws32.dll del C:\windows\dll.dll del C:\windows\vdll.dll del C:\windows\system32\ShellExt\svchs0t.exe del C:\windows\system32\Logo1_.exe del C:\windows\system32\rundl132.exe del C:\windows\system32\bootconf.exe del C:\windows\system32\kill.exe del C:\windows\system32\sws32.dll del c:\_desktop.ini /f/s/q/a del d:\_desktop.ini /f/s/q/a del e:\_desktop.ini /f/s/q/a del f:\_desktop.ini /f/s/q/a del g:\_desktop.ini /f/s/q/a del h:\_desktop.ini /f/s/q/a del i:\_desktop.ini /f/s/q/a del j:\_desktop.ini /f/s/q/a del k:\_desktop.ini /f/s/q/a 把以上代码复制,保存到记事本,然后把记事本的TXT改成BAT 在运行就可以了`` [ 本帖最后由 请别打脸 于 2006-10-20 09:06 AM 编辑 ] |
| 0 |
