⑴ 开机弹出命令提示窗口
恭喜你中毒了
关于rundl132.exe vidll.dll LOGO1.exe cmd.exe 0Sy.exe 1Sy.exe 2Sy.exe 3Sy.exe 4Sy.exe 5Sy.exe 6Sy.exe 7Sy.exe 8Sy.exe 9Sy.exe的清除方法
进程文件: rundl132 或 rundl132.exe /ZV7
进程位置: windir ,q@y Pj1
程序名称: Troj_AutoCrat.b.enc或Worm.Viking.cp威金 y)(xNspi
程序用途: 后门木马病毒以窃取信息为主。或最新的病毒名称:Worm.Viking.cp 中 文 名:“威金”蠕虫变种CP 8$',5-e
程序作者: !-SoUX j
系统进程: 否 7U9vqih7
后台程序: 是 v5=>kMaq.
使用网络: 是 Cf [|w-
硬件相关: 否 1'B\V-c5
安全等级: 低 LU <w"
进程分析: 该病毒修改win.ini文件实现自启动,使用与rundll32.exe相似的rundl132.exe文件名。病毒运行后打开后门端口,允许恶意攻击者控制计算机。 Mt5bRVZ
病毒名称:Worm.Viking.cp k]BIxyTI
中 文 名:“威金”蠕虫变种CP L9 gA
释放vidll.dll到任何可执行文件目录下。 3dAmo8W
该病毒修改注册表创建Run/Timer项实现自启动,病毒文件包括:0Sy.exe 1Sy.exe 2Sy.exe 3Sy.exe 4Sy.exe 5Sy.exe 6Sy.exe 7Sy.exe 8Sy.exe 9Sy.exe以及 0~9.exe等等 。
档案编号:CISRT2006004 a59D@t1i|E
病毒名称:Worm.Win32.Viking.i(AVP) =6 Lm DA
病毒别名:Worm.Viking.bp(瑞星) |R}dOhRE{Y
病毒大小:27,194 字节 D54lLR
加壳方式:UPack Q&+=4z.
样本MD5: DTI$9$^
发现时间:2006.5.30 2`5w2qHs#
更新时间:2006.6.1 4Z &DEf
关联病毒: /#Dg:,*H
传播方式:通过QQ尾巴、恶意网站传播 ^;C\ hK)
技术分析: = c6bsb3
1、运行后创建文件: X=@y%"
%Windows%\rundl132.exe oQ&FpuwJ|
\vDll.dll(当前目录) 7e )P}??
2、建立自启动项: Dz;(=y/t^V
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] H*Y |a
"load"="%Windows%\rundl132.exe" .yc&Y 5F
3、vDll.dll将插入Explorer.exe或iexplore.exe进程。 vjB9-+E"S
4、病毒会使用net命令停止毒霸服务: Mb`p]>8v
net stop "Kingsoft AntiVirus Service" ]OC WUlldv
5、尝试访问共享网络ipc$和admin$,发送ICMP用“Hello,World”探测。 n]lEz1
6、生成的一些记录文件: E17> D<
C:\gamevir.txt F|CsTDm
C:\1.txt 4ROOY_bM+
C:\log.txt ZW #_<
7、变种Logo1_.exe会感染(捆绑).exe文件,在这个rundl132.exe的测试中没有发现感染(捆绑).exe文件的情况。 [T e ,Pm>G
感染(捆绑).exe文件,但不感染(捆绑)以下目录中的.exe: V>H8yVI
system X2Pk~ukd
system32 F>T^]d_
windows w& ~3R6
Documents and Settings -Dj=`>nB
System Volume Information yX= 3
Recycled -bacDHc A
winnt zTj85pS#6E
Program Files Nl v<,
Windows NT }+,Xp]bcZ
WindowsUpdate $1"qLqrT]_
Windows Media Player ]m75H~e; i
Outlook Express RR<QKW$Z
Internet Explorer f`-l^q;:0K
ComPlus Applications ti!$7[Yn{
NetMeeting 1,iWR
Common Files ? ?%~>5
Messenger nI~NxnT#p:
Microsoft Office '`Ekd04aj
InstallShield Installation Information ?F&<`hD
MSN D4J(c3KrQ
Microsoft Frontpage 7Q1q 5</1
Movie Maker }BAhkub
MSN Gaming Zone 'P,gr[
8、尝试修改HOSTS文件: ^xGkulT.
%System32%\drivers\etc\hosts L4&'^='J_z
9、添加注册表信息: x4UF
[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW] m 4$_./^
"auto"="1" P6N Z[
10、尝试访问网络下载其它木马病毒,有WOW、征途、QQ尾巴等木马。 m4.%[T
1.在系统目录下生成一些病毒文件,有0sy.exe,到9sy.exe,还有图标为QQ的,图为为迅雷的,为real播放器的,反正是很容易骗过你的图标,名称一律为rundl132.exe (32之前是个1不是l,rundll32.exe是系统文件,是不是很会骗人?) <XAk c,W9
2.把迅雷和winrar的程序文件替换掉使你无法运行这两个程序,其他的程序有没有被换掉我不知道,反正我看到了这两个软件是这样. F\GvQ]Q=
3.打开进程管理器可以看到有rundl1.exe cmd.exe winxxx.exe xxx为数字且为随机的且在C:\Documents and Settings\你的用户名\Local Settings\temp 下
清除方法: -q9Z; p]
1、结束%Windows%\rundl132.exe的进程,删除%Windows%\rundl132.exe KP i
还有其他未知的进程 ^FM#uQ&r
2、删除启动项: wKY1:Xw
删除注册表中一切关于rundl132.exe的项目. y$%+S|,A_
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] 0|1cO yP
"load"="%Windows%\rundl132.exe" 3_4v VM
[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW] '&sfJ. T5
"auto"="1" a@[^p>T @C
3 强制删除迅雷和winrar,不是卸载而是在文件夹上直接点右键点删除,这是用unlocker就可以强制删除掉.删除系统目录下的0sy.exe,到9sy.exe 8& ^a>
4 删除c盘根目录下的vDll.dll文件和一个叫todaynew 的文件夹,同样要强制删除, -o9BQ
5 删除C:\Documents and Settings\你的用户名\Local Settings\temp 这个文件夹 wb>A)U?t
删除以上文件之前一定要先选择显示所有文件 \9LT *>
注意:记得要在安全模式下,断网 关闭系统还原 否则清除不掉