瑞星卡卡安全论坛
不说谎的匹诺曹 - 2006-10-17 10:31:00
我单位服务器中了这个该死的病毒。我下载专杀杀了也没用,还是有。我恳求各位谁有方法能彻底杀掉它!关键这是我单位的服务器中了,其他机器也中了,我就重装系统,服务器上面有很重要的资料,最好不用重装就能杀掉它。急啊!!!谢谢各位高手了!!
worm.viking.af
zlyinggg - 2006-10-17 10:32:00
麻烦大哟`
不说谎的匹诺曹 - 2006-10-17 10:37:00
哭。。。。。。
希望谁能给我个具体的解决方案
不说谎的匹诺曹 - 2006-10-17 11:39:00
没人帮帮我吗?
射雕传人 - 2006-10-17 11:43:00
到处都是他
不说谎的匹诺曹 - 2006-10-17 11:48:00
斑竹呢?帮个忙啊!求求你了
高处好寒 - 2006-10-17 11:53:00
昨天重新GHOST了系统后,在线升级到18.49后全部杀死了维金
高处好寒 - 2006-10-17 11:55:00
用光盘安装最新版的瑞星制作的安装包查杀服务器试试
不说谎的匹诺曹 - 2006-10-17 16:27:00
斑竹,能给点意见吗?
不说谎的匹诺曹 - 2006-10-17 16:48:00
我试了,用瑞星杀不了啊。那个LOGO1_和rundl132还在,怎么办啊,愁死我了!
徽翰灵池 - 2006-10-17 16:53:00
呵呵
duziteng - 2006-10-17 16:53:00
以前下载版的瑞星杀毒软件还能杀所有威金的,但是现在威金一变种,瑞星没反应,唉~~~
不说谎的匹诺曹 - 2006-10-17 16:56:00
斑竹,不能见死不救啊!
duziteng - 2006-10-17 17:00:00
现在我是没辙了,只有把所有漏洞补丁先打上,再用杀毒找找,看行不行咯
陨落的流星 - 2006-10-17 17:00:00
我也中了...
图标都已经模糊了才发现..
升了瑞星,完全查不到...
上个月还查到过威金阿,新出的变种么
duziteng - 2006-10-17 17:03:00
MD,这威金不象冲击波,不是用补丁能解决的~~唉,一中再中,杀了还会中,现在连杀都杀不了了,看看下个版本会不会好点
展示空间 - 2006-10-17 18:29:00
我建议你用费尔托斯特安全2005,升级到最新版本就可以查杀了.
顶多重装 - 2006-10-17 18:52:00
可能是变种,你可以试一下下面帖子中的方法,今天有2个以上的人已经用这个方法杀掉威金了,
http://forum.ikaka.com/topic.asp?board=28&artid=8193749&page=1
我是菜菜的鸟 - 2006-10-17 19:03:00
我已经在本论坛发了无数个帖子了,威金,在我家里和单位的电脑上都有,屡次感染,屡次杀之,但是,没办法,还会有,我现在是得过且过,等待高人彻底专杀。
kukiguo - 2006-10-17 19:16:00
希望,我这个办法能帮到你们
方法如下:新建病毒文件名(LOGO1_.EXE;LOGO_1.EXE;RUNDL132.EXE;DLL.DLL,更改新建病毒文件名的属性,改成只读和隐藏即可.
这样可以阻止他爆发
顶多重装 - 2006-10-17 19:28:00
http://forum.ikaka.com/topic.asp?board=28&artid=8193749&page=1
的帖子中已经用一个免疫工具使用了那种方法
kukiguo - 2006-10-17 19:44:00
别打击我啦,本人菜鸟啦,,
说说经验..
顶多重装 - 2006-10-17 19:48:00
彼此,彼此,我也是菜鸟,呵呵
http://forum.ikaka.com/topic.asp?board=28&artid=8193749&page=1
的帖子中有点小经验,免疫工具实际是一个批处理
谁-怕-谁 - 2006-10-17 22:00:00
我们单位的服务器跟你症状一样.当时差点没把我给愁死.我是先断开网络用木马杀客在安全模式下查杀木马以后,然后再用威金专杀再在安全模式下杀毒.杀完以后安装瑞星杀软升级再杀一次.然后就OK了.
只用手工 - 2006-10-17 22:27:00
【回复“谁-怕-谁”的帖子】
兄弟,听我的,用手工杀
rundl132.exe的解决方法
档案编号:CISRT2006015
病毒名称:Trojan.Win32.Delf.rf(AVP)
病毒别名:
病毒大小:31,208 字节 (xiaran.dat大小13,888字节,MD5;511ad1cbae299a3ccaeb2a903bdd9000)
加壳方式:PE_Patch, NSPack
样本MD5:17307830f71c63fac3d4ee790267761d
发现时间:2006.7.31
更新时间:2006.7.31
关联病毒:Worm.Win32.Viking.r
Trojan-PSW.Win32.Lineage.acw
Trojan-PSW.Win32.Delf.fz
Trojan-PSW.Win32.Lineage.acw
传播方式:通过恶意网站、其它病毒下载/释放等途径传播
技术分析
==========
这是一个QQ尾巴,用来传播Worm.Win32.Viking.r的,本身由Worm.Win32.Viking.r下载:0Sy.exe。
0Sy.exe是一个WinRAR自解压图标的程序,运行后释放xiaran.dat到:
%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\xiaran.dat
创建ShellExecuteHooks:
CODE:[Copy to clipboard][HKEY_CLASSES_ROOT\CLSID\{BA8C2B95-A7E9-464B-A0A5-FFE9B8A1C030}\InProcServer32]
@="%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\xiaran.dat"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{BA8C2B95-A7E9-464B-A0A5-FFE9B8A1C030}"=""
更改默认IE主页:
CODE:[Copy to clipboard][HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://u4.sky99.cn"
每3秒恢复一次。
监视QQ聊天窗口,向好友发送QQ尾巴信息:
CODE:[Copy to clipboard]麻烦帮我朋友投个票啦!她正在竞选QQ小姐,参选Q-Zone空间上有她近照,点击为她增加人气,先谢谢喽……
http://q-zone.qq.c0m.%30%76%34%2E%6F%72%67/cgi-bin/Photo=No.947564
加密地址解释为:
http://q-zone.qq.c0m.0v4.org/cgi-bin/Photo-No.947564
清除步骤
==========
1. 在注册表里删除病毒建立的ShellExecuteHooks信息:
CODE:[Copy to clipboard][HKEY_CLASSES_ROOT\CLSID\{BA8C2B95-A7E9-464B-A0A5-FFE9B8A1C030}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{BA8C2B95-A7E9-464B-A0A5-FFE9B8A1C030}"
2. 重新启动计算机
3. 删除文件:
%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\xiaran.dat
4. 更改IE主页设置
-------------------------------------------------
Viking.r rundl132.exe viDll.dll 0v4.org sky99 解决方案
档案编号:CISRT2006014
病毒名称:Worm.Win32.Viking.r(AVP)
病毒别名:
病毒大小:31,215 字节
加壳方式:UPack
样本MD5:5777fc2962e8b608c92572d919d34bea
发现时间:2006.7.31
更新时间:2006.7.31
关联病毒:Trojan.Win32.Delf.rf
Trojan-PSW.Win32.Lineage.acw
Trojan-PSW.Win32.Delf.fz
Trojan-PSW.Win32.Lineage.acw
传播方式:通过QQ、恶意网站甚至感染文件等多种途径传播
技术分析
==========
相关文件:
%Windows%\rundl132.exe
%当前目录%\viDll.dll
又是一个Viking,和之前的变种一样,通过QQ、恶意网站、感染文件多种方式进行传播,恶意网站上下载下来的文件名是hou4.exe,恶意代码将其保存为%temp%\g0ld.com,并运行。
hou4.exe运行后复制自身到%Windows%\rundl132.exe,释放viDll.dll到当前目录插入Explorer.exe和iexplore.exe进程。
创建自启动项:
CODE:[Copy to clipboard][HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="%Windows%\rundl132.exe"
设置注册表信息:
CODE:[Copy to clipboard][HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"
并尝试访问网络下载其它木马程序:
http://www.q.q.39com.net/vipmm4/qq4.exe
http://www.m.h.39com.net/vipmm4/mh4.exe
http://www.z.t.39com.net/vipmm4/zt4.exe
http://www.r.h.39com.net/vipmm4/rxjh4.exe
http://www.w.w.39com.net/vipmm4/wow4.exe
这些大多都是盗取网游帐号的木马。
另外,在实际测试过程中未发现感染exe文件的行为。如果感染文件,感染方式应该和之前变种类似,不感染主要系统目录下的exe文件:
system
system32
windows
Documents and Settings
System Volume Information
Recycled
winnt
Program Files\
Program Files\Windows NT
Program Files\WindowsUpdate
Program Files\Windows Media Player
Program Files\Outlook Express
Program Files\Internet Explorer
Program Files\ComPlus Applications
Program Files\NetMeeting
Program Files\Common Files
Program Files\Messenger
Program Files\Microsoft Office
Program Files\InstallShield Installation Information
Program Files\MSN
Program Files\Microsoft Frontpage
Program Files\Movie Maker
Program Files\MSN Gaming Zone
在被感染过的目录里留下_desktop.ini文件,记录感染日期。
发送ICMP数据包“Hello,World”,尝试通过administrator管理员帐户空密码访问感染局域网内其它计算机:
\ipc$
\admin$
清除步骤
==========
1. 结束病毒进程%Windows%\rundl132.exe
2. 删除文件:
%Windows%\rundl132.exe
viDll.dll(可以用搜索查找,如果无法删除可以重启后再行删除)
3. 删除病毒建立的自启动项和还有其它注册表信息:
CODE:[Copy to clipboard][HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="%Windows%\rundl132.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
手工删除残余文件:
del c:\_desktop.ini /f/s/q/a
不说谎的匹诺曹 - 2006-10-18 8:14:00
要是别的机器中了,我也无所谓。关键是服务器啊!
我在服务器装了瑞星,可是系统忽然变的很慢很慢,是为什么?以前服务器有个杀毒软件,但是名存实亡,从来没升级过。它俩会不会冲突导致系统变慢啊?
水树雨下 - 2006-10-18 8:16:00
把没用的卸载,只留一个
fqdf - 2006-10-18 8:22:00
发个日志出来 大家也好帮你啊
不说谎的匹诺曹 - 2006-10-18 8:27:00
多谢各位网友的回复,我很感动!
今天还要和这病毒战斗一天!
影子110 - 2006-10-18 8:27:00
用SREng扫个日志~
http://www.kztechs.com/
© 2000 - 2026 Rising Corp. Ltd.