瑞星卡卡安全论坛

昨天晚上因为被威金的新变种感染，所以就研究了一整个晚上，直到现在为止还没有睡觉
昨天晚上发的求助贴http://forum.ikaka.com/topic.asp?board=28&artid=8209838。此变种威金跟之前的威金不一样，其RUNDL123.EXE不再是在WINDOWS文件夹下，而是在WINDOWS\UNINSTALL下，而且生成的.DLL是RICHDLL.DLL文件。本人的电脑里只装诺吨10.0和MACFEE这两款杀软，此时诺吨10.0对此变种的威金主文件不能检测是病毒，而MACFEE确能把RUNDL123.EXE杀掉，但是LOGO1_.EXE就检测不到是病毒，不知道是不是我的这两个杀软也被威金感染到的缘故，所以检测不到LOGO1_.EXE是病毒。
  而且发现此威金病毒与之前的威金病毒有不同之处，就是之前的都会在每个文件夹下声称_desktop.ini，而这个威金病毒却不是，只是生成在系统盘跟目录下；之前的威金都把所有的.EXE都变成模糊的图标，而这个却不是，只是把图标变空白了。

  其中已经用金山与瑞星的专杀都无法检测，还用非杀软业界出的威金专杀，是范贤义制作，也都无法修复被感染的文件，不是修复不了，而是检测不到被感染的文件，看来以上的工具只能是对付老威金了。但是本人并未安装瑞星，金山，江民，咔吧等杀软来测试，也不知道这些杀软能不能杀。

以下办法只是适合有重要文件而不想删除的人，适合有终生学习精神的人，因为以下办法很费时间，鼠标不停的点到烦死人。
杀法如下：
第一：要安装MACFEE杀软，然后在MACFEE的主程序里的“有害程序策略”里的“用户定义的检测”添加logo1.exe和RICHDLL.DLL，既然MACFEE能检测到RUNDL123.EXE，所以就不能添加RUNDL123.EXE这个了。

以上做法是要释放被威金感染的.EXE的代码，当释放后MACFEE就能直接把以上的文件都杀掉，当然正常的那个.EXE不会有事。

第二：在未杀的时候，先要将MACFEE设置密码，因为威金LOGO1_.EXE出来的话，MACFEE会自动禁用监控，所以要设置密码。

以上的目的是：当MACFEE发现病毒是，不会被病毒所强行停止监控，MACFEE监控一但停止，那么之前所做的功夫就白费了，因为还会再次感染所有.EXE，我就是做了几次试验后才发觉的。

第三：利用系统自带的搜索来搜索除系统盘外的.EXE，还要搜索系统盘里的Program Files文件夹。

第四:在搜索到的.EXE文件，只要有图标的就不用理会，只要没有图标的，也就是只是中间空白的就需要点击，当点击后，MACFEE就会弹出病毒的消息筐，显示的是删除。

你会发现其中有写.EXE文件后面还有多出一个.EXE后缀，而且杀的时候要注意任务管理器的程序，不要不停的点击，因为任务管理器里程序一多，就会有死机的迹象，而且还会发现没点击一个.EXE文件都会在任务管理器里出现一两个CMD.EXE程序。



附件: 35062220061114105000.jpg

...............

附件: 35062220061114105126.jpg

2222222222222222

附件: 35062220061114105155.jpg

22222222222222

附件: 35062220061114105249.jpg

33333333333333333

附件: 35062220061114105336.jpg

444444444444444444444

附件: 35062220061114105419.jpg

55555555555555555555555

附件: 35062220061114105502.jpg

先说一下，卡吧不能杀，我以前用的就是，连老的都杀不掉，别说变种了，

站个位置先，

有个问题，
我的exe文件，即使直接双击打开，也不会在windows目录下建议logo1_.exe等文件。。。

中威金的可以试一试。不错！ding

晕，看了一半，没能有勇气再看下去。探索的过程写了出来，值得赞赏。不过冗长了一点，明确点出重点更好些。
而且，之前在置顶帖发布的农夫威金专杀，早已把这个样本入库，完全可以查杀，呵呵。

我也是中了你这个病毒
不过我的是Logo_1.exe
也有CMD.EXE
而且有一点奇怪
我那被感染的.EXE会自动还原的！！！不知道是不是 也就是说能正常运行，空白的图标变会原来这个程序本身的的图标 程序也减少几K
而且在“C:\Documents and Settings\Administrator\Local Settings\Temp”会生成$$aC.bat等文件
其内容是：
:try1
Del "F:\天邪QQ2006beta3绿色版\QQBattleZone.exe"
if exist "F:\天邪QQ2006beta3绿色版\QQBattleZone.exe" goto try1
ren "F:\天邪QQ2006beta3绿色版\QQBattleZone.exe.exe" "QQBattleZone.exe"
if exist "F:\天邪QQ2006beta3绿色版\QQBattleZone.exe.exe" goto try2
"F:\天邪QQ2006beta3绿色版\QQBattleZone.exe"
:try2
del "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\$$aC.bat"
我不明白这个什么意思？？？

引用:

【轩辕小聪的贴子】晕，看了一半，没能有勇气再看下去。探索的过程写了出来，值得赞赏。不过冗长了一点，明确点出重点更好些。 而且，之前在置顶帖发布的农夫威金专杀，早已把这个样本入库，完全可以查杀，呵呵。 ………………

哈哈 这个都是在没有专杀出来的时候才能用上场..而且这个是上个星期写的，当时农夫还没出专杀

表达能了有限.........

我下了农夫威金专杀
查过了！
杀不了！

引用:

【影手里剑的贴子】我也是中了你这个病毒 不过我的是Logo_1.exe 也有CMD.EXE 而且有一点奇怪 我那被感染的.EXE会自动还原的！！！不知道是不是 也就是说能正常运行，空白的图标变会原来这个程序本身的的图标 程序也减少几K 而且在“C:\Documents and Settings\Administrator\Local Settings\Temp”会生成$$aC.bat等文件 其内容是： :try1 Del "F:\天邪QQ2006beta3绿色版\QQBattleZone.exe" if exist "F:\天邪QQ2006beta3绿色版\QQBattleZone.exe" goto try1 ren "F:\天邪QQ2006beta3绿色版\QQBattleZone.exe.exe" "QQBattleZone.exe" if exist "F:\天邪QQ2006beta3绿色版\QQBattleZone.exe.exe" goto try2 "F:\天邪QQ2006beta3绿色版\QQBattleZone.exe" :try2 del "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\$$aC.bat" 我不明白这个什么意思？？？ ………………

删除QQ空间,再重命名为QQBattleZone.exe.exe

所以你要删除你QQ空间里的QQBattleZone.exe.exe文件就可以了

http://forum.ikaka.com/topic.asp?board=28&artid=8204487
是这个帖子吧?我怎么看不到下载连接?

没有QQBattleZone.exe.exe

只有QQBattleZone.exe

ren "F:\天邪QQ2006beta3绿色版\QQBattleZone.exe.exe" "QQBattleZone.exe"
这里是什么意思？？

if exist又是什么意思

引用:

【影手里剑的贴子】没有QQBattleZone.exe.exe 只有QQBattleZone.exe ren "F:\天邪QQ2006beta3绿色版\QQBattleZone.exe.exe" "QQBattleZone.exe" 这里是什么意思？？ if exist又是什么意思 ………………

你有没有显示系统上的后缀名啊,也许你看到的QQBattleZone.exe文件就是QQBattleZone.exe.exe文件
这是批处理命令，只知道上面是重命名，下面的if语句还不会掌握，恕不能帮你解答.

中过ViKing.cb，症状相似，卡吧能杀