_desktop.ini,rundl132.exe,logo_1.exe,logo1_.exe,richdll.dll,vidll.dll,dll.dll之威金viking变种的解决办法
又见维金变种,与此前的差不多,还是围着这几个_desktop.ini,rundl132.exe,logo_1.exe,logo1_.exe,richdll.dll,vidll.dll来转圈,
以下是简单分析
1、释放自身以及感染exe文件后生成
%windir%\rundl132.exe
%windir%\logo_1.exe
病毒所在目录\vidll.dll
2、添加注册表信息
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load" "%windir%\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load" "%windir%\rundl132.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"
3、感染部分exe文件,并在被感染exe文件所在目录释放_desktop.ini
4、修改hosts文件
%system%\drivers\etc\hosts
5、vidll.dll插入到进程explorer.exe或iexplore.exe
6、停掉部分安全软件的进程(包括Mcafee)
------------------------------------------------------------------------------------------------------------------------
解决过程(EDP-Tom 2006/12/18更新):
0、进入StandAlone模式(拔掉网线、停止本地链接、禁止使用域管理员权限以防扩散)
1、杀毒过程中严格禁止使用域管理员权限链接入域
2、Nomal模式中删除被感染的Mcafee,打开我的电脑!选工具——文件夹选项——查看(快捷键按 ALT+T再按O)中的"隐藏受保护的操作系统文件(推荐)"的勾取消,把"显示所有文件和文件夹"选中
3、进入安全模式,重新安装没有被感染过的360安全卫士或其他辅助工具。删除用户组临时文件和cookis记录。
4、利用360的全面检测关闭有问题的进程,并且禁用所有启动项目(Run)
5、关闭rundl132.exe的进程,并删除 (可用360safe帮助查杀进程)%windir%\rundl132.exe
6、查找_desktop.ini,rundl132.exe,logo_1.exe,logo1_.exe,richdll.dll,vidll.dll,并删除。
7、因为DLL.dll模块被写入到explorer中,所以删除不掉.不过能有办法删除, 打开任务管理把进程中的explorer.exe结束掉,接着桌面变消失了,不怕!选中 任务管理器的“文件(F)”——“新任务(运行。。)(N)”然后运行 explorer.exe桌面就又出来了!接着把在C:盘下的DLL.dll删除掉(按CTRL+F查找它,然后删除)
8、在运行中输入regedit查找注册表键值: [HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]将其删除,然后按CTRL+F查找 注册表键值rundl132.exe及在这项中的所有键值将其删除
9、修复被更改的hosts文件,hosts文件用记事本打开 (可用SREv2.2工具)
%system%\drivers\etc\hosts
10、进入系统正常模式。重新安装并升级McaFee(利用闪盘或光盘拷贝所需文件)
11、重新启动、全面查杀整台电脑;
12、删除掉其余驱动器(例如D、E盘)上的可执行文件,因为已经被感染。需要重新安装(多数软件如此)。
13、现最高版本的Mcafee无法查杀修复被感染的exe文件(新变种)
13、通过360safe升级XP系统补丁。
14、防止再次感染 运行 gpedit.msc 打开组策略 依次单击用户配置- 管理模块- 系统-指定不给windows运行的程序点启用 然后 点显示 添加 logo1_exe 也就是病毒的源文件 。
--------------------------------------------------------------------------------
瑞星专杀工具下载地址
http://it.rising.com.cn/Channels/Service/index.shtml(对新变种无效果)
--------------------------------------------------------------------------------
杀毒软件在明,病毒在暗。
现阶段的Mcafee 2006/12/18面对最新的变种表现不佳。期待新的更新补丁。
AntiVir这款免费的个人版(全英文)杀毒软件面对新变种表现尚可(没有中标),但其对进程的管理颇为严格,不适合初学者使用。
比较凶狠的卡巴斯基对待该病毒也有效果,其限期版(6个月)可通过360安全卫士下载到。但不推荐(太狠)。
但由于很多肉鸡被安装了大量流氓软件以及木马而影响了Mcafee的毒库更新(进程被攻击),因此中毒。
---------------------------------------------------------------------------------