viking(logo_1.exe rundl132.exe)的另一个查杀方法  viking(logo_1.exe rundl132.exe)的另一个查杀方法2006-12-30 10:32:48viking(logo_1.exe rundl132.exe)的另一个查杀方法2006-12-30 10:32:48viking(logo_1.exe rundl132.exe)的另一个查杀方法 viking(logo_1.exe rundl132.exe)的另一个查杀方法 viking(logo_1.exe rundl132.exe)的另一个查杀方法2006-12-30 10:32:48viking(logo_1.exe rundl132.exe)的另一个查杀方法2006-12-30 10:32:48viking(logo_1.exe rundl132.exe)的另一个查杀方法 |
文谷 www.wengu.com
来源:Choven blog 作者:Choven
时间:2006-12-30 10:32:48 浏览人数:
|
viking(logo_1.exe rundl132.exe)的另一个查杀方法 viking(logo_1.exe rundl132.exe)的另一个查杀方法2006-12-30 10:32:48viking(logo_1.exe rundl132.exe)的另一个查杀方法2006-12-30 10:32:48viking(logo_1.exe rundl132.exe)的另一个查杀方法
---------------------------------------------------------------------------------------------------------------------------------------
1。如果在病毒没有发作情况下杀毒是可以完全搞定的。如果发作了也不要杀毒了。直接克盘恢复吧。
2。该病毒可以通过网络传播,传播周期为3分钟。如果是新做的系统处于中了毒的网络环境内,只要那个机器一上网,3分钟内必定中招。
----------------------------------------------------------------------------------------------------------------------------------------
所幸的是,在没有格盘的情况下,目前也基本上搞定这个病毒了。
专杀工具:可以清除注册表及病毒文件logo_1.exe rundl132.exe
 点击下载此文件
免疫防御工具:内附操作说明
点击下载此文件
免疫防御工具二:原理是利用一个两个系统文件替代病毒文件,使之无法发作。这个包里面用了一个闹钟小程序来替代病毒文件,非常可爱也非常实用。
点击下载此文件
瑞星的垃圾viking专杀工具,虽然垃圾,但对付早期未变种的病毒还是有效
http://it.rising.com.cn/Channels/Service/2006-07/1153119832d22607.shtml
关键:关于被感染的exe文件:
1.升级到最新病毒库的mcafee可以查出被感染的exe文件,建议使用macafee扫描整个硬盘,删除所有被感染.exe文件。一般你运行过的exe文件,为自动复制~exe的附本,此附本无毒,可以改名后正常使用。(虽然损失有点惨重,但总比格掉整个硬盘好。)
2.据说9月20日网友反映,norton现已可以清除病毒,国产杀毒软件尚无一可以清除。
3.9月17日我安装了windows的更新后,病毒未发作。9月19日为作测试,卸栽该补丁后,病毒9月20日再次发作。尚未验证此补丁是否可以解决此病毒感染的exe文件。不妨一试。
详情:http://my.swufe.com/blog/c_log_660
----------------------------------------------
最佳解决方案:
1。先清除病毒文件,可手工,可用专杀工具,可用mcafee或者norton。
2。清除注册表。下面的病毒描述中含有注册表位置。
3。windows更新或者下载安装补丁。
4。组策略:运行 gpedit.msc 打开组策略
依次单击用户配置- 管理模块- 系统-指定不给windows运行的程序点启用 然后 点显示 添加 logo1_exe ,rundl132.exe,也就是病毒的源文件。(或许还有别的文件,视情况而定。)
5。全盘杀毒,建议使用mcafee,删除感染的exe文件,重新安装这些应用程序。
该病毒临床症状:
1.感染所有的EXE文件
2.W32.Looked.I 蠕虫,执行后会在系统生成:%Windir%
undl132.exe, %CurrentFolder%vDll.dll 等病毒文件; 并在注册表添加系统服务随系统启动,试图终止安全相关的程序,终止系统重要进程,注入自身到DLL组件,vdll.dll到iexplore.exe,explore.exe,全盘搜索.exe文件,并注入自身到这些文件,无法清除, 使系统文件全部都染病毒
3.中止大部分的杀毒软件进程,诺顿可以隔离。但是结果是EXE文件全部执行不了
4.在共享的打印机上不停的打印,内容为当天日期
5.在C:\winnt 或是 windows生成Logo1_.exe , rundl132.exe,bootconf.exe几个文件,感染应用程序的速度非常快,只要你一用到某个应用程序,马上就会被感染,并且Logo1_.exe 会变成此应用程序的图标.
6.在局域网内部中传播相当快,能通过信使传播,但已禁用信使的电脑也能被感染,不知道它有多少传播途径.
7.被感染的机子很难清除干净,在某些电脑上的每一个文件夹还会有一个 _desktop 的記事本文件,內容為當前日期
解决方法:
中毒后的解决方法:
重装系统和相关软件(截至今天晚上23点,尚未找到彻底清除方法)
病毒特性:
Win32.Looked.S是一种通过网络共享感染文件的蠕虫。它是大小为27,075字节,以Upack格式压缩的Win32可运行程序。它生成一个23,040字节的DLL文件,用来下载并运行二进制运行程序。
感染方式:
运行时,Win32.Looked.S使用以下文件名复制到%Windows%目录:
rundl132.exe
Logo1_.exe
注:%Windows%是一个可变路径。病毒通过查询操作系统来决定当前Windows文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt,windows95/98/me中默认的安装路径是C:\Windows,windowsXP中默认的安装路径是C:\Windows。
它还会修改注册表,为了在每次系统启动时运行"rundl123.exe"文件:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load = "%Windows%\rundl132.exe"
随后,蠕虫在当前目录生成一个DLL文件"vDll.dll"。它会注入Explorer程序,并被用来下载和在Explorer程序中启动程序。
蠕虫还会生成"SemaphoreMe",以确保每次只有一个副本运行。
传播方式 :
通过感染文件传播
Looked.S在硬盘的z:/ 到 c:/ 驱动器循环搜索。它从本地根目录开始,感染扩展名为.exe的文件。蠕虫预谋自己到目标文件,并将文件大小增长到27,075字节。蠕虫不感染超过10,485,760字节的文件,或者带有以下名称的子文件夹中的文件:
system
system32
windows
Documents and Settings
System Volume Information
Recycled
Winnt
\Program Files\Windows NT
\Program Files\WindowsUpdate
\Program Files\Windows Media Player
\Program Files\Outlook Express
\Program Files\Internet Explorer
\Program Files\ComPlus Applications
\Program Files\NetMeeting
\Program Files\Common Files
\Program Files\Messenger
\Program Files\Microsoft Office
\Program Files\Install Shield Installation Information
\Program Files\MSN
\Program Files\Microsoft Frontpage
\Program Files\Movie Maker
\Program Files\MSN Gaming Zone
蠕虫还会在每个经过的目录中生成一个名为"_desktop.ini"的文件。这个文件包含系统日期,是无害的txt文件。
通过网络共享传播
蠕虫尝试通过IPC$ 和 admin$共享进行传播,使用'administrator'用户名和空口令。它还会尝试很多自带的用户名和密码,包括一个空用户名和口令。
蠕虫通过发送包括"Hello,World"数据的ICMP信息包到本地C类地址段目标IP地址来探测潜在目标。
危害
下载并运行任意文件
蠕虫从"17dk.com"域下载很多文本和二进制文件。它还会尝试下载2个文本文件和2个运行文件。二进制运行文件下载到%Windows%目录,并随后运行。
终止进程
Looked.S会终止以下运行的进程:
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMORE.EXE
Ravmond.EXE
RavMon.exe
停止服务
如果以下服务在系统上运行,蠕虫将停止这个服务:
Kingsoft AntiVirus Service
关闭窗口
Looked.S搜索带有"Ravmon.exe"标题的窗口,类别名为"RavMonClass"。如果找到,蠕虫就会关闭这个窗口。
主要症状:
1、占用大量网速,使机器使用变得极慢。
2、会捆绑所有的exe文件,只要一运用应用程序,在winnt下的logo1.exe图标就会相应变成应用程序图标。
3、有时还会时而不时地弹出一些程序框,有时候应用程序一起动就出错,有时候起动了就被强行退出。
4、网吧中只感梁win2k pro版,server版及xp系统都不感染。
5、能绕过所有的还原软件。
详细技术信息:
病毒运行后,在%windir%生成 logo1_.exe 同时会在windws根目录生成一个名为virdll.dll的文件。
%windir%virdll.dll
该蠕虫会在系统注册表中生成如下键值:
[hkey_local_machinesoftwaresoftdownloadwww]
auto = 1
盗取密码
病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码,将游戏密码发送到该木马病毒的植入者手中。
阻止以下杀毒软件的运行
病毒试图终止包含下列进程的运行,这些多为杀毒软件的进程。 包括卡八斯基,金山公司的毒霸。瑞星等。98%的杀毒软件运行。国产软件在中毒后都被病毒杀死,是病毒杀掉-杀毒软件。如金山,瑞星等。哪些软件可以认出病毒。但是认出后不久就阵亡了。通过写入文本信息改变%system%driversetchosts 文件。这就意味着,当受感染的计算机浏览许多站点时(包括众多反病毒站点),浏览器就会重定向到66.197.186.149。
病毒感染运行windows操作系统的计算机,并且通过开放的网络资源传播。一旦安装,蠕虫将会感染受感染计算机中的.exe文件。该蠕虫是一个大小为82k的windows pe可执行文件。通过本地网络传播该蠕虫会将自己复制到下面网络资源:
admin$
ipc$
症状
蠕虫会感染所有.exe的文件。但是,它不会感染路径中包含下列字符串的文件:
program files
common files
complus applicati
documents and settings
netmeeting
outlook express
recycled
system
system volume information
system32
windows
windows media player
windows nt
windowsupdate
winnt
蠕虫会从内存中删除下面列出的进程:
eghost.exe
iparmor.exe
kavpfw.exe
kwatchui.exe
mailmon.exe
ravmon.exe
z
网吧遭此病毒破坏造成大面积的卡机,瘫痪。危害程度可以和世界排名前十的爱情后门变种相比。该病毒可以通过网络传播,传播周期为3分钟。如果是新做的系统处于中了毒的网络环境内,只要那个机器一上网,3分钟内必定中招。中招后你安装 rising skynet symantec mcafee gate rfw.exe ravmon.exe kill nav 等杀
毒软件 都无法补救你的系统,病毒文件 logo1_.exe 为主体病毒,他自动生成病毒发作所需要的的 sws32.dll
sws.dlll kill.exe 等文件。这些文件一但衍生。他将迅速感染系统内explore 等系统核心进程 及所以.exe
的可执行文件,外观典型表现症状为 传奇 ,泡泡堂,等游戏图标变色。 此时系统资源可用率极低,你每重新启动一次,病毒就会发作一次。
该病毒对于防范意识较弱,还原软件未能及时装到位的网吧十分致命,其网络传播速度十分快捷有效。旧版的杀毒软件无法检测,新版的无法彻底根杀。一但网吧内某台机器中了此病毒,那么该网吧所有未中毒的机器都处于危险状态。由于病毒发作贮留于内存。且通过explore.exe 进行传播。因此即使是装了还原精灵,还原卡的机器也同样会被感染。你重新启动后系统可以还原。但是你一但开机还是会被感染。病毒发作会生成另外病毒 pwsteal.lemir.gen 和 trojan.psw.lineage 等等。都是些非常厉害的后门程序。和外挂病毒相似,但是其威力是外挂病毒的50倍以上。在win98平台下,改病毒威害比较小。在win2000 /xp/2003平台对于网吧系统是致命的。运行系统极度卡机。你重新启动后你会发现你所有游戏的.exe 程序全部都感染了最新杀毒软件杀完后。除了系统可以勉强运行。其他的你也别想运行了。
病毒清理办法
如果在病毒没有发作情况下杀毒是可以完全搞定的。如果发作了也不要杀毒了。直接克盘恢复吧。
一、找到注册表中[hkey_local_machinesoftwaresoftdownloadwww]
auto = 1
删除downloadwww主键
二、找到
[hkey_local_machinesoftwaremicrosoftwindows ntcurrentversioninifilemappingsystem.iniboot]
winlogo 项
把winlogo 项 后面的c:winntsws32.dll 删掉
接下来把hkey_local_machine]software/microsoft/windows/currentversi 键中 /runonce/runonceex
两个中其中有个是也是
c:winntsws32.dll
把类似以上的全部删掉 注意不要删除默认的键值(删了的话后果自负)
如果没有以上键值,则直接跳过此步骤
三 结束进程
按“ctrl+alt+del”键弹出任务管理器,找到logo1_.exe 等进程,结束进程,可以借助绿鹰的进程管理软件处
理更方便。找到expl0rer.exe进程(注意第5个字母是数字0不是字母o),找到它后选中它并点击“结束进程”
以结束掉(如果expl0rer.exe进程再次运行起来需要重做这一步)。
四 装杀毒软件
装完后不要重新启动(切记)直接升级病毒库,升级完后,把c:winnt 目录下所有带毒文件删除。然后运行
杀毒软件开始杀毒。
杀完后。还有几个杀毒软件无法删掉的东西要把名字记下来。因为不同的系统有不同的名字。所以这里说不清
楚了。自己记下来。,重新启动后再次杀毒。记的把可疑的进程的结束。否则杀毒软件无法干净杀毒。还有最重
要的一点记的把杀毒软件无法清除的病毒设置为删除文件。一般要重复杀毒3-5次才能杀干净。
五。看看杀毒后的系统。
缺少的了很多系统文件。系统处于危险状态。如果你有ghost 备份。这个时候恢复一下。系统可以干净无损。如果没有请运行 sfc 命令检查文件系统。具体操作为 运行-输入cmd 命令进入dos 提示符。-输入sfc
/scannow -- 提示放入系统光盘。--放进去吧。然后慢慢等。看看成果。杀毒效果显著。毒杀干净了。但是杀完毒后很多游戏都玩不了。忙了一圈都不知道自己在忙什么。郁闷吧。然后重新做系统吧。谁叫中毒的是网吧的系统杀毒及重装系统后的防范,有些网友在处理病毒的时候可能有这样的感觉好不容易清除了,或者没办法重新装了系统,但是没多长时间有中了同样的病毒,所以说有免疫程序实最好的了。
下面就将免疫程序公布如下,供网友们下载使用: 建议做系统的时候把默认共享关闭。关闭ipc$ admin$ 关闭554 关闭icmp路由。给administrator 组所有成员设置密码。最好数字加英文下载地址可以到http://www.e169.net的软件下载中去找找,你可以直接通过下面的网址下载:http://www.e169.net/softdown/list.asp?id=151 文件说明下载解压后有3个文件dellogo.bat放在winnt目录下,98的用户放到windows目录下delshare.bat放到开始菜单--程序---启动项中,目的能让计算机启动后就删除默认共享,从而阻止病毒对外传播和再次感染的桥梁。ljl.reg下载后直接运行这个文件,提示,信息导入注册表后,说明写入注册表成功,目的是让计算机重新启动后能立刻删除病毒主题文件logo1_.exe文件。要注意的实这个注册表导入文件是针对win2000系统的,如果您是其他的操作系统,请参考修改一下就可以。
以上操作只是阻断传播,如果怕在使用中感染此病毒,您还需要按照如下操作,这样即使病毒感染,也不能运行主体病毒程序。当然这里说的操作实针对win2000系统的,其他的系统可以参考操作:
运行 gpedit.msc 打开组策略
依次单击用户配置- 管理模块- 系统-指定不给windows运行的程序点启用 然后 点显示 添加 logo1_exe 也就是病毒的源文件 。
还有一步要做
我试过上面的方法,没有搞定没,他少了另一个步骤,在c盘中搜索rundl132.exe(注意rundl----132.exe,后面一个是一,以前都让他混过去了)删除,注册表中也要删除rundl132.exe相关的内容
viking(logo_1.exe rundl132.exe)的另一个查杀方法 viking(logo_1.exe rundl132.exe)的另一个查杀方法2006-12-30 10:32:48viking(logo_1.exe rundl132.exe)的另一个查杀方法2006-12-30 10:32:48viking(logo_1.exe rundl132.exe)的另一个查杀方法 |
|
|
版权与免责声明:① 本网转载其他媒体稿件是为传播更多的信息,此类稿件不代表本网观点,版权归原作者所有,本网不承担此类稿件侵权行为的连带责任。
② 本站原创文章,转载时请注明出自文谷及作者姓名
③在本网 BBS上发表言论者,文责自负。
④如您因版权等问题需要与本网联络,请在30日内联系 。
viking(logo_1.exe rundl132.exe)的另一个查杀方法 viking(logo_1.exe rundl132.exe)的另一个查杀方法2006-12-30 10:32:48viking(logo_1.exe rundl132.exe)的另一个查杀方法2006-12-30 10:32:48viking(logo_1.exe rundl132.exe)的另一个查杀方法 viking(logo_1.exe rundl132.exe)的另一个查杀方法 viking(logo_1.exe rundl132.exe)的另一个查杀方法2006-12-30 10:32:48viking(logo_1.exe rundl132.exe)的另一个查杀方法2006-12-30 10:32:48viking(logo_1.exe rundl132.exe)的另一个查杀方法
|
