最近有朋友問我關于這幾個病毒的清理方法．口頭上說的不是很詳細，現(xiàn)在貼一個詳細的分析和對策吧．
1、打開系統(tǒng)的“顯示隱藏文件”并下載相應的殺毒軟件和 維金EXE修復工具 （重要）
2、查看你的系統(tǒng)進程 結束可疑的病毒木馬程序(用戶名為你的當前用戶） 如：rundl132.exe svchost32.exe logo1_.exe 可能還有SERVICES.EXE SMSS.EXE 等偽裝的系統(tǒng)木馬?？梢杂胻skill 來結束這些進程。
3、找到木馬所在的路徑并刪除，然后新建一個同名文件，并設置為只讀 屬性 （這點非常重要），（一般在C:\windows , C:\Program Files \ 你可以搜索來找到木馬所在的路徑。
4、修改注冊表。 在注冊表里啟動項目的所有木馬啟動項目， 在注冊表全面搜索 Rundl132.exe和Logo1_.exe 并刪除.
5、用維金修復工具修復所有感染的exe文件。（可以到安全模式進行）


以下是這個病毒的原理（網上收集的）

進程文件： rundl132 或 rundl132.exe 
進程位置： windir 
程序名稱： Troj_AutoCrat.b.enc或Worm.Viking.cp威金 
程序用途： 后門木馬病毒以竊取信息為主?；蜃钚碌牟《久Q：Worm.Viking.cp 中 文 名：“威金”蠕蟲變種CP 
程序作者： 
系統(tǒng)進程： 否 
后臺程序： 是 
使用網絡： 是 
硬件相關： 否 
安全等級： 低 
進程分析： 該病毒修改win.ini文件實現(xiàn)自啟動，使用與rundll32.exe相似的rundl132.exe文件名。病毒運行后打開后門端口，允許惡意攻擊者控制計算機。
病毒名稱：Worm.Viking.cp
中 文 名：“威金”蠕蟲變種CP 
釋放vidll.dll到任何可執(zhí)行文件目錄下。
該病毒修改注冊表創(chuàng)建Run/Timer項實現(xiàn)自啟動，病毒文件包括：0Sy.exe 1Sy.exe 2Sy.exe 3Sy.exe 4Sy.exe 5Sy.exe 6Sy.exe 7Sy.exe 8Sy.exe 9Sy.exe以及 0～9.exe等等 。


檔案編號：CISRT2006004 
病毒名稱：Worm.Win32.Viking.i（AVP） 
病毒別名：Worm.Viking.bp（瑞星） 
病毒大?。?7,194 字節(jié) 
加殼方式：UPack 
樣本MD5：fe498f7687658c33547d72151111b93f 
發(fā)現(xiàn)時間：2006.5.30 
更新時間：2006.6.1 
關聯(lián)病毒： 
傳播方式：通過QQ尾巴、惡意網站傳播 
技術分析： 
1、運行后創(chuàng)建文件：
%Windows%\rundl132.exe 
\vDll.dll（當前目錄） 
2、建立自啟動項：
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] 
"load"="%Windows%\rundl132.exe" 
3、vDll.dll將插入Explorer.exe或iexplore.exe進程。 
4、病毒會使用net命令停止毒霸服務：
net stop "Kingsoft AntiVirus Service" 
5、嘗試訪問共享網絡ipc$和admin$，發(fā)送ICMP用“Hello,World”探測。 
6、生成的一些記錄文件：
C:\gamevir.txt 
C:\1.txt 
C:\log.txt 
7、變種Logo1_.exe會感染（捆綁）.exe文件，在這個rundl132.exe的測試中沒有發(fā)現(xiàn)感染（捆綁）.exe文件的情況。 
感染（捆綁）.exe文件，但不感染（捆綁）以下目錄中的.exe：
system 
system32 
windows 
Documents and Settings 
System Volume Information 
Recycled 
winnt 
Program Files 
Windows NT 
WindowsUpdate 
Windows Media Player 
Outlook Express 
Internet Explorer 
ComPlus Applications 
NetMeeting 
Common Files 
Messenger 
Microsoft Office 
InstallShield Installation Information 
MSN 
Microsoft Frontpage 
Movie Maker 
MSN Gaming Zone 
8、嘗試修改HOSTS文件：
%System32%\drivers\etc\hosts 
9、添加注冊表信息：
[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW] 
"auto"="1" 
10、嘗試訪問網絡下載其它木馬病毒，有WOW、征途、QQ尾巴等木馬。 

1.在系統(tǒng)目錄下生成一些病毒文件，有0sy.exe,到9sy.exe，還有圖標為QQ的，圖為為迅雷的，為real播放器的，反正是很容易騙過你的圖標，名稱一律為rundl132.exe （32之前是個1不是l,rundll32.exe是系統(tǒng)文件，是不是很會騙人？）

2.把迅雷和winrar的程序文件替換掉使你無法運行這兩個程序,其他的程序有沒有被換掉我不知道,反正我看到了這兩個軟件是這樣.

3.打開進程管理器可以看到有rundl1.exe cmd.exe winxxx.exe xxx為數(shù)字且為隨機的且在C:\Documents and Settings\你的用戶名\Local Settings\temp 下

最新評論