[灌水]_desktop.ini,rundl132.exe,logo_1.exe,logo1_.exe,richdll.dll,vidll.dll,d　　　　　　

yy113lena

夜叉

Rank: 9 Rank: 9 Rank: 9

帖子: 817
精华: 2
积分: 3919
经验: 2169 点
金钱: 3692 ￥
贡献: 175 点
在线时间: 298 小时
注册时间: 2004-12-10

1楼大中小发表于 2006-12-19 08:34 只看该作者

[灌水]_desktop.ini,rundl132.exe,logo_1.exe,logo1_.exe,richdll.dll,vidll.dll,d

_desktop.ini,rundl132.exe,logo_1.exe,logo1_.exe,richdll.dll,vidll.dll,dll.dll之威金viking变种的解决办法

又见维金变种，与此前的差不多，还是围着这几个_desktop.ini,rundl132.exe,logo_1.exe,logo1_.exe,richdll.dll,vidll.dll来转圈，

以下是简单分析

1、释放自身以及感染exe文件后生成
%windir%\rundl132.exe
%windir%\logo_1.exe
病毒所在目录\vidll.dll

2、添加注册表信息
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load" "%windir%\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load" "%windir%\rundl132.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"

3、感染部分exe文件，并在被感染exe文件所在目录释放_desktop.ini

4、修改hosts文件
%system%\drivers\etc\hosts

5、vidll.dll插入到进程explorer.exe或iexplore.exe

6、停掉部分安全软件的进程（包括Mcafee）

------------------------------------------------------------------------------------------------------------------------
解决过程（EDP-Tom 2006/12/18更新）：

0、进入StandAlone模式（拔掉网线、停止本地链接、禁止使用域管理员权限以防扩散）

1、杀毒过程中严格禁止使用域管理员权限链接入域

2、Nomal模式中删除被感染的Mcafee，打开我的电脑！选工具——文件夹选项——查看（快捷键按 ALT+T再按O）中的"隐藏受保护的操作系统文件(推荐)"的勾取消,把"显示所有文件和文件夹"选中

3、进入安全模式，重新安装没有被感染过的360安全卫士或其他辅助工具。删除用户组临时文件和cookis记录。

4、利用360的全面检测关闭有问题的进程，并且禁用所有启动项目（Run）

5、关闭rundl132.exe的进程，并删除（可用360safe帮助查杀进程）%windir%\rundl132.exe

6、查找_desktop.ini,rundl132.exe,logo_1.exe,logo1_.exe,richdll.dll,vidll.dll,并删除。

7、因为DLL.dll模块被写入到explorer中,所以删除不掉.不过能有办法删除, 打开任务管理把进程中的explorer.exe结束掉，接着桌面变消失了，不怕！选中任务管理器的“文件（F）”——“新任务（运行。。）（N）”然后运行 explorer.exe桌面就又出来了！接着把在C:盘下的DLL.dll删除掉(按CTRL+F查找它,然后删除)

8、在运行中输入regedit查找注册表键值： [HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]将其删除,然后按CTRL+F查找注册表键值rundl132.exe及在这项中的所有键值将其删除

9、修复被更改的hosts文件，hosts文件用记事本打开（可用SREv2.2工具）
%system%\drivers\etc\hosts

10、进入系统正常模式。重新安装并升级McaFee（利用闪盘或光盘拷贝所需文件）

11、重新启动、全面查杀整台电脑；

12、删除掉其余驱动器（例如D、E盘）上的可执行文件，因为已经被感染。需要重新安装（多数软件如此）。

13、现最高版本的Mcafee无法查杀修复被感染的exe文件（新变种）

13、通过360safe升级XP系统补丁。

14、防止再次感染运行 gpedit.msc 打开组策略依次单击用户配置- 管理模块- 系统-指定不给windows运行的程序点启用然后点显示添加 logo1_exe 也就是病毒的源文件。

--------------------------------------------------------------------------------
瑞星专杀工具下载地址
http://it.rising.com.cn/Channels/Service/index.shtml（对新变种无效果）
--------------------------------------------------------------------------------

杀毒软件在明，病毒在暗。

现阶段的Mcafee 2006/12/18面对最新的变种表现不佳。期待新的更新补丁。

AntiVir这款免费的个人版（全英文）杀毒软件面对新变种表现尚可（没有中标），但其对进程的管理颇为严格，不适合初学者使用。

比较凶狠的卡巴斯基对待该病毒也有效果，其限期版（6个月）可通过360安全卫士下载到。但不推荐（太狠）。

但由于很多肉鸡被安装了大量流氓软件以及木马而影响了Mcafee的毒库更新（进程被攻击），因此中毒。

---------------------------------------------------------------------------------

TOP

yy113lena

夜叉

Rank: 9 Rank: 9 Rank: 9

帖子: 817
精华: 2
积分: 3919
经验: 2169 点
金钱: 3692 ￥
贡献: 175 点
在线时间: 298 小时
注册时间: 2004-12-10

2楼大中小发表于 2006-12-19 09:18 只看该作者

[转帖]威金遗留文件wlzs.exe,mhs2.exe,等的清除！
威金遗留文件wlzs.exe,mhs2.exe,等的清除！

注意：进行，本文的清除操作前，请确认已经完成了使用威金的专杀工具（ABC.COM或者农夫的专杀）成功清除了威金及受到感染的EXE文件。详细请看>>> http://hi.baidu.com/teyqiu/blog/item/bd8aa97731568f1bb051b928.html

wlzs.exe,mhs2.exe,rundl132.exe,zts2.exe,System64.sys,IEXPLORE.Sys,IEXPLORE.Dat的清除

本文的眼：最近看到这 6数字+1字母.BMP 和如下文件都是一并出现的，因此写此清除日志。貌似最新的“威金变种”。建议按本文的操作完成后，再用一款威金的专杀解决已经感染的文件问题。
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wlzs.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mhs2.exe
C:\WINDOWS\uninstall\rundl132.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\zts2.exe
C:\Program Files\Internet Explorer\PLUGINS\System64.sys
C:\Program Files\Internet Explorer\IEXPLORE.Sys
C:\Program Files\Internet Explorer\IEXPLORE.Dat
C:\WINDOWS\210531M.BMP

杀毒前关闭系统还原：右键我的电脑，属性，系统还原，在所有驱动器上关闭系统还原打勾即可。
清除IE的临时文件：打开IE 点工具-->Internet选项 : Internet临时文件，点“删除文件”按钮，将删除所有脱机内容打勾，点确定删除。
1 用工具killbox 分别填入如下的文件选择“重启后删除”。
注意一次删多个文件的方法看懂再操作。（也就是你拷贝了一个文件进去后点清除，弹出的提示选NO ，直到最后一个文件输完再点YES）
killbox的下载及其用法见： http://post.baidu.com/f?kz=126275178
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wlzs.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mhs2.exe
C:\WINDOWS\uninstall\rundl132.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\zts2.exe
C:\Program Files\Internet Explorer\PLUGINS\System64.sys
C:\Program Files\Internet Explorer\IEXPLORE.Sys
C:\Program Files\Internet Explorer\IEXPLORE.Dat
C:\WINDOWS\210531M.BMP
重启计算机然后再进入安全模式执行如下的操作
--------------------------------------------------------------
以下的操作都要求安全模式下进行。
[安全模式？重启电脑时按住F8 选择进入安全模式]
--------------------------------------------------------------
2 SREng 删除如下各项
方法 http://hi.baidu.com/teyqiu/blog/item/f706213fc52346ec54e72351.html
启动项目 -->注册表下的如下各项需要删除
<wlzs><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wlzs.exe>  [N/A]
<mhs2><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mhs2.exe>  [N/A]
<load><C:\WINDOWS\uninstall\rundl132.exe>  [N/A]
<zts2><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\zts2.exe>  [N/A]
<{6E44887F-5214-41F2-AB46-4728735C4CC6}><C:\Program Files\Internet Explorer\PLUGINS\System64.sys>  [N/A]
<{99F1D023-7CEB-4586-80F7-BB1A98DB7602}><C:\Program Files\Internet Explorer\IEXPLORE.Sys>  [N/A]
<{923509F1-45CB-4EC0-BDE0-1DED35B8FD60}><C:\Program Files\Internet Explorer\IEXPLORE.win>  [N/A]
<{FEB94F5A-69F3-4645-8C2B-9E71D270AF2E}><C:\Program Files\Internet Explorer\IEXPLORE.Dat>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><210531M.BMP>  [N/A] 这个不是删除编辑为空。

TOP

‹‹ 上一主题 | 下一主题 ››