最近有朋友問(wèn)我關(guān)于這幾個(gè)病毒的清理方法．口頭上說(shuō)的不是很詳細(xì)，現(xiàn)在貼一個(gè)詳細(xì)的分析和對(duì)策吧．
1、打開(kāi)系統(tǒng)的“顯示隱藏文件”并下載相應(yīng)的殺毒軟件和 維金EXE修復(fù)工具 （重要）
2、查看你的系統(tǒng)進(jìn)程 結(jié)束可疑的病毒木馬程序(用戶名為你的當(dāng)前用戶） 如：rundl132.exe svchost32.exe logo1_.exe 可能還有SERVICES.EXE SMSS.EXE 等偽裝的系統(tǒng)木馬?？梢杂胻skill 來(lái)結(jié)束這些進(jìn)程。
3、找到木馬所在的路徑并刪除，然后新建一個(gè)同名文件，并設(shè)置為只讀 屬性 （這點(diǎn)非常重要），（一般在C:\windows , C:\Program Files \ 你可以搜索來(lái)找到木馬所在的路徑。
4、修改注冊(cè)表。 在注冊(cè)表里啟動(dòng)項(xiàng)目的所有木馬啟動(dòng)項(xiàng)目， 在注冊(cè)表全面搜索 Rundl132.exe和Logo1_.exe 并刪除.
5、用維金修復(fù)工具修復(fù)所有感染的exe文件。（可以到安全模式進(jìn)行）


以下是這個(gè)病毒的原理（網(wǎng)上收集的）

進(jìn)程文件： rundl132 或 rundl132.exe 
進(jìn)程位置： windir 
程序名稱： Troj_AutoCrat.b.enc或Worm.Viking.cp威金 
程序用途： 后門木馬病毒以竊取信息為主?；蜃钚碌牟《久Q：Worm.Viking.cp 中 文 名：“威金”蠕蟲(chóng)變種CP 
程序作者： 
系統(tǒng)進(jìn)程： 否 
后臺(tái)程序： 是 
使用網(wǎng)絡(luò)： 是 
硬件相關(guān)： 否 
安全等級(jí)： 低 
進(jìn)程分析： 該病毒修改win.ini文件實(shí)現(xiàn)自啟動(dòng)，使用與rundll32.exe相似的rundl132.exe文件名。病毒運(yùn)行后打開(kāi)后門端口，允許惡意攻擊者控制計(jì)算機(jī)。
病毒名稱：Worm.Viking.cp
中 文 名：“威金”蠕蟲(chóng)變種CP 
釋放vidll.dll到任何可執(zhí)行文件目錄下。
該病毒修改注冊(cè)表創(chuàng)建Run/Timer項(xiàng)實(shí)現(xiàn)自啟動(dòng)，病毒文件包括：0Sy.exe 1Sy.exe 2Sy.exe 3Sy.exe 4Sy.exe 5Sy.exe 6Sy.exe 7Sy.exe 8Sy.exe 9Sy.exe以及 0～9.exe等等 。


檔案編號(hào)：CISRT2006004 
病毒名稱：Worm.Win32.Viking.i（AVP） 
病毒別名：Worm.Viking.bp（瑞星） 
病毒大?。?7,194 字節(jié) 
加殼方式：UPack 
樣本MD5：fe498f7687658c33547d72151111b93f 
發(fā)現(xiàn)時(shí)間：2006.5.30 
更新時(shí)間：2006.6.1 
關(guān)聯(lián)病毒： 
傳播方式：通過(guò)QQ尾巴、惡意網(wǎng)站傳播 
技術(shù)分析： 
1、運(yùn)行后創(chuàng)建文件：
%Windows%\rundl132.exe 
\vDll.dll（當(dāng)前目錄） 
2、建立自啟動(dòng)項(xiàng)：
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] 
"load"="%Windows%\rundl132.exe" 
3、vDll.dll將插入Explorer.exe或iexplore.exe進(jìn)程。 
4、病毒會(huì)使用net命令停止毒霸服務(wù)：
net stop "Kingsoft AntiVirus Service" 
5、嘗試訪問(wèn)共享網(wǎng)絡(luò)ipc$和admin$，發(fā)送ICMP用“Hello,World”探測(cè)。 
6、生成的一些記錄文件：
C:\gamevir.txt 
C:\1.txt 
C:\log.txt 
7、變種Logo1_.exe會(huì)感染（捆綁）.exe文件，在這個(gè)rundl132.exe的測(cè)試中沒(méi)有發(fā)現(xiàn)感染（捆綁）.exe文件的情況。 
感染（捆綁）.exe文件，但不感染（捆綁）以下目錄中的.exe：
system 
system32 
windows 
Documents and Settings 
System Volume Information 
Recycled 
winnt 
Program Files 
Windows NT 
WindowsUpdate 
Windows Media Player 
Outlook Express 
Internet Explorer 
ComPlus Applications 
NetMeeting 
Common Files 
Messenger 
Microsoft Office 
InstallShield Installation Information 
MSN 
Microsoft Frontpage 
Movie Maker 
MSN Gaming Zone 
8、嘗試修改HOSTS文件：
%System32%\drivers\etc\hosts 
9、添加注冊(cè)表信息：
[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW] 
"auto"="1" 
10、嘗試訪問(wèn)網(wǎng)絡(luò)下載其它木馬病毒，有WOW、征途、QQ尾巴等木馬。 

1.在系統(tǒng)目錄下生成一些病毒文件，有0sy.exe,到9sy.exe，還有圖標(biāo)為QQ的，圖為為迅雷的，為real播放器的，反正是很容易騙過(guò)你的圖標(biāo)，名稱一律為rundl132.exe （32之前是個(gè)1不是l,rundll32.exe是系統(tǒng)文件，是不是很會(huì)騙人？）

2.把迅雷和winrar的程序文件替換掉使你無(wú)法運(yùn)行這兩個(gè)程序,其他的程序有沒(méi)有被換掉我不知道,反正我看到了這兩個(gè)軟件是這樣.

3.打開(kāi)進(jìn)程管理器可以看到有rundl1.exe cmd.exe winxxx.exe xxx為數(shù)字且為隨機(jī)的且在C:\Documents and Settings\你的用戶名\Local Settings\temp 下

最新評(píng)論