12   2  /  2  页   跳转

Worm.Viking.kq这是个什么毒啊~

收藏
單純僦昰緈諨
头像
初生襁褓狮
  • 帖子:30
  • 注册: 2007-01-29
  • 来自:
发表于: 2007-01-31 20:00 | 短消息 资料
字号: 11楼

你不是感染上了威金的变种了吧~!!汗~去网站下栽个威金专杀工具试试....                                                    http://it.rising.com.cn/service/technology/RavVikiing.htm 
这是瑞星官方的专杀工具.....
gototop
 
popcrazy
头像
初生襁褓狮
  • 帖子:10
  • 注册: 2007-01-31
  • 来自:
发表于: 2007-01-31 20:02 | 只看楼主 短消息 资料
字号: 12楼

以前用过了,不过好像还是8行哦
gototop
 
單純僦昰緈諨
头像
初生襁褓狮
  • 帖子:30
  • 注册: 2007-01-29
  • 来自:
发表于: 2007-01-31 20:04 | 短消息 资料
字号: 13楼

下载了专杀软件后.重起切换到安全模式..然后再进行杀毒..或许可以!!
gototop
 
猪知山
头像
锋芒艾服狮
  • 帖子:1891
  • 注册: 2005-03-11
  • 来自:
发表于: 2007-01-31 20:10 | 短消息 资料
字号: 14楼

很少这么千创百孔的日志

留名关注
gototop
 
horseluke11
头像
飘泊而立狮
  • 帖子:497
  • 注册: 2006-11-13
  • 来自:
发表于: 2007-01-31 20:16 | 短消息 资料
字号: 15楼

结束进程
C:\DOCUME~1\test\LOCALS~1\Temp\kwatlog.exe

用sreng勾掉或者删除以下启动项目。方法:打开SREG,启动项目=>服务,在“注册表选项卡”勾掉以下启动项目(或者直接删除)。
<svc><C:\DOCUME~1\test\LOCALS~1\Temp\kwatlog.exe> [Microsoft Corporation]
<synu><C:\WINDOWS\SVCHOST.EXE> [N/A]
<wsttrs><C:\WINDOWS\WINLOGON.EXE> [N/A]
<wsvbs><C:\WINDOWS\RUNDLL32.exe> [N/A]
<NiceMt><C:\WINDOWS\Systemt.exe> [N/A]
<upsy><C:\DOCUME~1\test\LOCALS~1\Temp\upsy.exe> [N/A]
<upxdnd><C:\DOCUME~1\test\LOCALS~1\Temp\upxdnd.exe> [N/A]



用sreng删除服务FE790A6。方法:打开SREG,启动项目=>服务=>WIN32服务应用程序,勾选“隐藏已认证的微软项目”。删除以下服务。
[FE790A6 / FE790A6][Stopped/Auto Start]
<C:\WINDOWS\system32\FE790A6.EXE -service><N/A>

删除文件
C:\DOCUME~1\test\LOCALS~1\Temp\kwatlog.exe
C:\WINDOWS\SVCHOST.EXE
C:\WINDOWS\WINLOGON.EXE
C:\WINDOWS\RUNDLL32.exe
C:\WINDOWS\Systemt.exe
C:\DOCUME~1\test\LOCALS~1\Temp\upsy.exe
C:\DOCUME~1\test\LOCALS~1\Temp\upxdnd.exe
C:\WINDOWS\system32\FE790A6.EXE
C:\WINDOWS\system32\windhcp.ocx
C:\DOCUME~1\test\LOCALS~1\Temp\kwatlog.exe
C:\DOCUME~1\test\LOCALS~1\Temp\98.dll
C:\DOCUME~1\test\LOCALS~1\Temp\packet.dll
C:\DOCUME~1\test\LOCALS~1\Temp\WanPacket.dll


清空用户临时文件夹(C:\DOCUME~1\test\LOCALS~1\Temp),Internet临时文件夹,和Windows临时文件夹(C:\WINDOWS\TEMP)
gototop
 
深渊t34
头像
初生襁褓狮
  • 帖子:89
  • 注册: 2007-01-26
  • 来自:
发表于: 2007-01-31 20:27 | 短消息 资料
字号: 16楼

恩恩  这个日志期待高人的指点
gototop
 
horseluke11
头像
飘泊而立狮
  • 帖子:497
  • 注册: 2006-11-13
  • 来自:
发表于: 2007-01-31 20:52 | 短消息 资料
字号: 17楼

个人意见的初步解决方法已出,请看第14楼。


但是不太明白两个问题:
1、驱动程序
[squellab / squellab][Stopped/]
<2 - 系统找不到指定的文件。
><N/A>
什么东西?


2、斑竹啊,为什么其他日志不会显示微软的系统服务和驱动,而这份日志全部显示出来呢?难怪这么长(但如果能够区分微软的系统服务和驱动就应该不难)。


顺便多说两句。
[PID: 256][C:\DOCUME~1\test\LOCALS~1\Temp\kwatlog.exe] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)?哇哇哇,现在的病毒能够做的如此精美了......
[C:\DOCUME~1\test\LOCALS~1\Temp\packet.dll] [CACE Technologies, 3, 1, 0, 27]
CACE Technologies,什么公司?
gototop
 
yiren1994
头像
初生襁褓狮
  • 帖子:7
  • 注册: 2007-01-31
  • 来自:
发表于: 2007-01-31 21:08 | 短消息 资料
字号: 18楼

========Content========
威金”变种运行后,在系统目录下释放病毒文件: C:\windows\logo1_exe 
C:\windows\rundl132.exe 
C:\windows\dll.dll 
修改注册表,实现开机自启。自动从黑客指定站点下载“天堂杀手”以及“QQ大盗(QQpass)”等10余种木马病毒,盗取包括天堂、征途、梦幻西游、传奇等多种流行网络游戏玩家密码以及QQ的用户名和密码。还会在每个文件夹下生成_desktop.ini文件。感染共享文件夹下的.exe可执行文件。只要点击带毒的.exe可执行文件,就会感染计算机上所有后缀为.exe的文件。 该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒,病毒运行后将自身伪装成系统正常文件,以迷惑用户,通过修改注册表项使病毒开机时可以自动运行,同时病毒通过线程注入技术绕过防火墙的监视,连接到病毒作者指定的网站下载特定的木马或其它病毒,同时病毒运行后枚举内网的所有可用共享,并尝试通过弱口令方式连接感染目标计算机。
  运行过程过感染用户机器上的可执行文件,造成用户机器运行速度变慢,破坏用户机器的可执行文件,给用户安全性构成危害。

  病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、和带病毒的邮件附件等方式进行传播。

也许是这样…………
专杀:
http://kvup.jiangmin.com/download/VikingKiller.rar
http://down.www.kingsoft.com/db/download/othertools/DubaTool_Viking.COM
查杀要点:
  1. 升级至最新的病毒库或下载最新的专杀工具;
  2. 关闭相关网络共享资源或设置复杂的密码(用于清除病毒后防止再次感染);
  3. 断开全部网络连接;
  4. 进入安全模式。

先试试吧
gototop
 
horseluke11
头像
飘泊而立狮
  • 帖子:497
  • 注册: 2006-11-13
  • 来自:
发表于: 2007-02-03 16:04 | 短消息 资料
字号: 19楼

引用:
【horseluke11的贴子】
2、斑竹啊,为什么其他日志不会显示微软的系统服务和驱动,而这份日志全部显示出来呢?难怪这么长(但如果能够区分微软的系统服务和驱动就应该不难)。
………………



这个问题开新帖讨论:
http://forum.ikaka.com/topic.asp?board=33&artid=8263410
gototop
 
没有后天dē男孩
头像
初生襁褓狮
  • 帖子:46
  • 注册: 2007-02-01
  • 来自:
发表于: 2007-02-03 16:15 | 短消息 资料
字号: 20楼

谁来指点一下???
看不懂..
gototop
 
<<上一主题|下一主题>>
12   2  /  2  页   跳转
页面顶部
Powered by Discuz!NT