大家谁知道我中的是什么毒啊?(急!!!)

大家谁知道我中的是什么毒啊?(急!!!),第1张

这是一个通过共享传播的蠕虫病毒。该病毒运行后除了会在系统目录中释放多个木马病毒,还会在除系统盘以为的其他所有磁盘根目录下释放木马病毒和自运行脚本,只要进入该磁盘,病毒就会运行。同时病毒还会修改大量的文件关联,使得用户每次打开这些文件的时候病毒就得到了运行。该蠕虫病毒是通过网络共享传播的,它会将自己拷贝到局域网内所有的共享目录和其所有子目录中,诱骗其他用户运行。

1.将自己拷贝到C:\WINNT\rundl132.exe

2.释放另一蠕虫病毒到C:\Program Files\svhost32.exe(也是worm.Beann)

3.添加注册表启动项:

蠕虫的:

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows

"load"="C:\WINNT\rundl132.exe"

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows

"load"="C:\PROGRA~1\svhost32.exe"

木马的:

HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN

"TProgram"="C:\WINNT\smss.exe"

HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN

"ToP"="C:\WINNT\LSASS.exe"

4.在当前目录下释放vDll.dll

5.释放一传奇木马病毒C:\WINNT\System32\ztdll.dll(Win32.Troj.Lineage.zc)

6..释放Win32.Troj.PSWWoW木马病毒的多个副本:

C:\WINNT\1.com

C:\WINNT\1SY.EXE

C:\WINNT\smss.exe

C:\WINNT\finders.com

C:\WINNT\EXP10RER.com

C:\WINNT\exerouter.exe

C:\WINNT\System32\rund1132.com

C:\WINNT\System32\command.pif

C:\WINNT\System32\MSCONFIG.COM

C:\WINNT\System32\dxdiag.com

C:\WINNT\System32\regedit.com

C:\WINNT\Debug\DebugProgram.exe

C:\progra~1\intern~1\inexplore.com

C:\progra~1\common~1\inexplore.pif

7.释放Win32.Troj.PSWLmir.xi木马病毒的多个副本:

C:\WINNT\2SY.EXE

C:\WINNT\LSASS.exe

C:\WINNT\EXERT.exe

C:\WINNT\System32\MSCONFIG.COM

C:\WINNT\System32\dxdiag.com

C:\WINNT\System32\regedit.com

C:\WINNT\Debug\DebugProgram.exe

C:\progra~1\intern~1\INTEXPLORE.com

C:\progra~1\common~1\INTEXPLORE.pif

8.在其他盘根目录下释放Win32.Troj.PSWWoW病毒副本:

(在此只写了D盘的)

D:\command.com

并生成一个D:\autorun.inf,其内容如下:

[autorun]

OPEN=D:\command.com

此外还有一个.ini文件,该文件只纪录了当前的日期

D:\_desktop.ini

2006/5/26

9.将蠕虫拷贝到局域网所有的共享目录和其所有子目录中

10.修改大量文件关联:

HKLM\SOFTWARE\Classes\htmlfile\shell\open\command

(Default)=""C:\Program Files\Internet Explorer\inexplore.com" -nohome"

HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command

(Default)=""C:\Program Files\Internet Explorer\inexplore.com""

HKCR\ftp\shell\open\command

(Default)=""C:\Program Files\Internet Explorer\inexplore.com" %1"

HKCR\htmlfile\shell\open\command

(Default)=""C:\Program Files\Internet Explorer\inexplore.com" -nohome"

HKCR\htmlfile\shell\opennew\command

(Default)=""C:\Program Files\common~1\inexplore.pif""

HKCR\http\shell\open\command

(Default)=""C:\Program Files\common~1\inexplore.pif" -nohome"

HKLM\SOFTWARE\Classes\http\shell\open\command

(Default)=""C:\Program Files\common~1\inexplore.pif" -nohome"

HKCR\Drive\shell\find\command

(Default)="%SystemRoot%\EXP10RER.com"

HKLM\SOFTWARE\Classes\htmlfile\shell\open\comman

(Default)=""C:\Program Files\Internet Explorer\inexplore.com" -nohome"

HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command

(Default)=""C:\Program Files\Internet Explorer\inexplore.com""

HKCR\ftp\shell\open\command

(Default)=""C:\Program Files\Internet Explorer\inexplore.com" %1"

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

Cookies="C:\Documents and Settings\jjwen1\Cookies"

HKCR\htmlfile\shell\open\command

(Default)=""C:\Program Files\Internet Explorer\inexplore.com" -nohome"

HKCR\htmlfile\shell\opennew\command

(Default)=""C:\Program Files\common~1\inexplore.pif""

HKCR\http\shell\open\command

(Default)=""C:\Program Files\common~1\inexplore.pif" -nohome"

HKLM\SOFTWARE\Classes\http\shell\open\command

(Default)=""C:\Program Files\common~1\inexplore.pif" -nohome"

HKCR\WindowFiles\shell\open\command

(Default)="C:\WINNT\EXERT.exe "%1" %*"

HKCR\.exe

(Default)="WindowFiles"

下面是总结了各种办法共大家参考:

方法一:

logo1_.exe病毒清除办法

在网上看到关于logo1_.exe病毒的情况,结合我在实际中清除病毒的经验特总结一下,给中此病毒的网友以参 考,我是参考了“网星”和其他网友的帖子综合的,不算我的原创哦,只能是帮助大家尽快清除这可恶的病毒。

在网上看到关于logo1_.exe病毒的情况,结合我在实际中清除病毒的经验特总结一下,给中此病毒的网友以参考,我是参考了“网星”和其他网友的帖子综合的,不算我的原创哦,只能是帮助大家尽快清除这可恶的病毒:

关于 logo1_.exe基本介绍:

病毒名称:worm@w32.looked

病毒别名:virus.win32.delf.62976 [kaspersky], w32/hllp.philis.j [mcafee],w32.looked [symantec]net-worm.win32.zorin.a

病毒型态:worm (网络蠕虫)

病毒发现日期:2004/12/20

影响平台:windows 95/98/me , windows nt/2000/xp/2003

风险评估:散播程度:中;破坏程度:中.

主要症状:

1、占用大量网速,使机器使用变得极慢。

2、会捆绑所有的exe文件,只要一运用应用程序,在winnt下的logo1.exe图标就会相应变成应用程序图标。

3、有时还会时而不时地d出一些程序框,有时候应用程序一起动就出错,有时候起动了就被强行退出。

4、网吧中只感梁win2k pro版,server版及xp系统都不感染。

5、能绕过所有的还原软件。

详细技术信息:

病毒运行后,在%windir%生成 logo1_.exe 同时会在windws根目录生成一个名为virdll.dll的文件。

%windir%virdll.dll

该蠕虫会在系统注册表中生成如下键值:

[hkey_local_machinesoftwaresoftdownloadwww]

auto = 1

盗取密码

病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码,将游戏密码发送到该木马病毒的植入者手中。阻止以下杀毒软件的运行病毒试图终止包含下列进程的运行,这些多为杀毒软件的进程。 包括卡八斯基,金山公司的毒霸。瑞星等。98%的杀毒软件运行。国产软件在中毒后都被病毒杀死,是病毒杀掉-杀毒软件。如金山,瑞星等。哪些软件可以认出病毒。但是认出后不久就阵亡了。通过写入文本信息改变%system%driversetchosts 文件。这就意味着,当受感染的计算机浏览许多站点时(包括众多反病毒站点),浏览器就会重定向到66.197.186.149。

病毒感染运行windows *** 作系统的计算机,并且通过开放的网络资源传播。一旦安装,蠕虫将会感染受感染计算机中的.exe文件。该蠕虫是一个大小为82k的windows pe可执行文件。通过本地网络传播该蠕虫会将自己复制到下面网络资源:

admin$

ipc$

症状:

蠕虫会感染所有.exe的文件。但是,它不会感染路径中包含下列字符串的文件:

program files

common files

complus applicati

documents and settings

netmeeting

outlook express

recycled

system

system volume information

system32

windows

windows media player

windows nt

windowsupdate

winnt

蠕虫会从内存中删除下面列出的进程:

eghost.exe

iparmor.exe

kavpfw.exe

kwatchui.exe

mailmon.exe

ravmon.exe

z

网吧遭此病毒破坏造成大面积的卡机,瘫痪。危害程度可以和世界排名前十的爱情后门变种相比。该病毒可以通过网络传播,传播周期为3分钟。如果是新做的系统处于中了毒的网络环境内,只要那个机器一上网,3分钟内必定中招。中招后你安装 rising skynet symantec mcafee gate rfw.exe ravmon.exe kill nav 等杀毒软件 都无法补救你的系统,病毒文件 logo1_.exe 为主体病毒,他自动生成病毒发作所需要的的 sws32.dll sws.dlll kill.exe 等文件。这些文件一但衍生。他将迅速感染系统内explore 等系统核心进程 及所以.exe的可执行文件,外观典型表现症状为 传奇 ,泡泡堂,等游戏图标变色。 此时系统资源可用率极低,你每重新启动一次,病毒就会发作一次。该病毒对于防范意识较弱,还原软件未能及时装到位的网吧十分致命,其网络传播速度十分快捷有效。旧版的杀毒软件无法检测,新版的无法彻底根杀。一但网吧内某台机器中了此病毒,那么该网吧所有未中毒的机器都处于危险状态。由于病毒发作贮留于内存。且通过explore.exe 进行传播。因此即使是装了还原精灵,还原卡的机器也同样会被感染。你重新启动后系统可以还原。但是你一但开机还是会被感染。

病毒发作会生成另外病毒 pwsteal.lemir.gen 和 trojan.psw.lineage 等等。都是些非常厉害的后门程序。和外挂病毒相似,但是其威力是外挂病毒的50倍以上。在win98平台下,改病毒威害比较小。在win2000 /xp/2003

平台对于网吧系统是致命的。运行系统极度卡机。你重新启动后你会发现你所有游戏的.exe 程序全部都感染了最新杀毒软件杀完后。除了系统可以勉强运行。其他的你也别想运行了。

病毒清理办法:

如果在病毒没有发作情况下杀毒是可以完全搞定的。如果发作了也不要杀毒了。直接克盘恢复吧。

一、找到注册表中[hkey_local_machinesoftwaresoftdownloadwww]

auto = 1

删除downloadwww主键

二、找到

[hkey_local_machinesoftwaremicrosoftwindows ntcurrentversioninifilemappingsystem.iniboot]

winlogo 项,把winlogo 项 后面的c:winntsws32.dll 删掉,接下来把hkey_local_machine]software/microsoft/windows/currentversi 键中 /runonce/runonceex 两个中其中有个是也是

c:winntsws32.dll

把类似以上的全部删掉 注意不要删除默认的键值(删了的话后果自负)

如果没有以上键值,则直接跳过此步骤

三 结束进程

按“ctrl+alt+del”键d出任务管理器,找到logo1_.exe 等进程,结束进程,可以借助绿鹰的进程管理软件处理更方便。找到expl0rer.exe进程(注意第5个字母是数字0不是字母o),找到它后选中它并点击“结束进程” 以结束掉(如果expl0rer.exe进程再次运行起来需要重做这一步)。

四 装杀毒软件

装完后不要重新启动(切记)直接升级病毒库,升级完后,把c:winnt 目录下所有带毒文件删除。然后运行杀毒软件开始杀毒。杀完后。还有几个杀毒软件无法删掉的东西要把名字记下来。因为不同的系统有不同的名字。所以这里说不清楚了。自己记下来。,重新启动后再次杀毒。记的把可疑的进程的结束。否则杀毒软件无法干净杀毒。还有最重要的一点记的把杀毒软件无法清除的病毒设置为删除文件。一般要重复杀毒3-5次才能杀干净。

五 看看杀毒后的系统。

缺少的了很多系统文件。系统处于危险状态。如果你有ghost 备份。这个时候恢复一下。系统可以干净无损。如果没有请运行 sfc 命令检查文件系统。具体 *** 作为 运行-输入cmd 命令进入dos 提示符。-输入sfc

/scannow -- 提示放入系统光盘。--放进去吧。然后慢慢等。看看成果。杀毒效果显著。毒杀干净了。但是杀完毒后很多游戏都玩不了。忙了一圈都不知道自己在忙什么。 郁闷吧。然后重新做系统吧。谁叫中毒的是网吧的系统杀毒及重装系统后的防范。有些网友在处理病毒的时候可能有这样的感觉好不容易清除了,或者没办法重新装了系统,但是没多长时间有中了同样的病毒,所以说有免疫程序实最好的了。

下面就将免疫程序公布如下,供网友们下载使用: 建议做系统的时候把默认共享关闭。关闭ipc$ admin$ 关闭554 关闭icmp路由。给administrator 组所有成员设置密码。最好数字加英文

下载地址可以到http://www.e169.net的软件下载中去找找,你可以直接通过下面的网址下载:

http://www.e169.net/softdown/list.asp?id=151

文件说明下载解压后有3个文件dellogo.bat放在winnt目录下,98的用户放到windows目录下delshare.bat放到开始菜单--程序---启动项中,目的能让计算机启动后就删除默认共享,从而阻止病毒对外传播和再次感染的桥梁。ljl.reg下载后直接运行这个文件,提示,信息导入注册表后,说明写入注册表成功,目的是让计算机重新启动后能立刻删除病毒主题文件logo1_.exe文件。要注意的实这个注册表导入文件是针对win2000系统的,如果您是其他的 *** 作系统,请参考修改一下就可以。

以上 *** 作只是阻断传播,如果怕在使用中感染此病毒,您还需要按照如下 *** 作,这样即使病毒感染,也不能运行主体病毒程序。当然这里说的 *** 作实针对win2000系统的,其他的系统可以参考 *** 作:

运行 gpedit.msc 打开组策略

依次单击用户配置- 管理模块- 系统-指定不给windows运行的程序点启用 然后 点显示 添加 logo1_exe 也就是病毒的源文件 。

方法二:

时解决办法是先把进程结束了,在windows目录下面新建两个和logo1_.exe与rundl132.exe同名的文件夹,设属性为只读和隐藏就可以了,当然原来的病毒文件要先删掉.

然后去下面下载专杀工具:

http://it.rising.com.cn/service/technology/RavVikiing.htm

进安全模式,杀吧.

杀完后,检查查杀结果,看看查出的文件是不是全部清除了,如果还有几个为"无法清除"状态

就看看这几个是什么文件,如果不是什么重要文件,就手工删掉.

然后再进入系统,所有文件的图标都正常了,病毒死光.

以上是我刚经历过的方法.没有照搬网上

----------------------------------------------------------

我前天刚中了这个病毒.用临时方法解决了,但图标没有全恢复过来.

昨天又中了灰鸽子,于是重装了系统

发现重装系统后viking病毒还在!!强吧.

不过安全模式用专杀杀一下就可以了.

方法三:

典型的viking病毒的症状.

首先viking病毒的所有发作症状就不必再罗列了。

介绍下自己的解决办法吧。。未必是最好的。。但到目前为止系统运行正常。

1.运行windows update把系统的补丁打上.

2.修改你登录系统时的密码,如果没猜错的话.你在登录系统时没有设置密码.viking病毒正是利用了这一特征.设置密码虽然在每次登录系统时麻烦了点,但必竟比病毒发作要强不少了,很多人都是因为这一点中了viking病毒的,俺自己也不例外.

3.删除所有已经被感染过的exe文件:图标已经变花的exe文件就是被感染的文件.

4.在安全模式下删除病毒文件:包括rundl132.exe和logo1_.exe还有另外的病毒生成文件_desktop.ini(隐藏文件,大小为10个字节左右,内容格式如2006/9/12)

5.如果还觉得不放心的话,安装瑞星,然后用瑞星的漏洞扫描程序再把系统补丁打全.

PS:偶不知道对不对 哈~

希望更多人看到,我也是小马激活office引起这个问题,现在完美解决,可能大家都看到过pe系统下删除clean64文件的办法,但是却找不到,不是找不到,其实是木马作者已经把木马名字换了,大家可以注意到中招后,此路径没有memory文件夹,而是多出另外一个名字文件夹,我的是叫dzip,进去之后里面有两个文件,一个32一个64,名字可能是其他,我的是叫dx,其实正常电脑下这个explore文件下没有文件夹了,不信你可以换一台好的电脑试试,最后解决办法来了,就是把这个文件夹删了,木马作者也看了很多百度知道为了反查杀就改头换面,真是可恶,诅咒他全家死光光

我今天也遇到了类似的问题,是闪迪CRUIZE酷刃闪存盘,查了许多对策,包括什么换电脑、格式化之类的,没舍得试,因为里面的东西太多了。也在闪迪网站上查了下,得到一个貌似很专业的修改注册表的方法,不管用,还差点把我的笔记本弄瘫痪。终于找到一个简便,又安全的试了下,果然成功了。其实就是给电脑安装一个USB驱动,就解决了。

之所以拿出来说事,是因为这个驱动程序装得有点讲究:

1、百度一个USB万能驱动,我下的这个叫-USB万能驱动(2011完整版),下载后的文件夹名字叫wnusbdrivers;

2、解压缩软件包;

3、把软件包里的6个文件全部拷贝进windows system32里;

4、需要提示注意的是找到windows system32的路径是c\windows\System32,

里面都是隐藏文件,你在打开后,把复制的6个文件点编辑-粘贴后,就都消失不见了。

然后关掉文件夹,再插入闪迪,就可以读出来了。


欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/tougao/9263876.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023-04-26
下一篇 2023-04-26

发表评论

登录后才能评论

评论列表(0条)

保存