[交流] ★大家注意了：中了viking病毒和新快乐时光病毒会员请进来，有解决的相应办法★

想入非非该用户已被删除

1楼大中小发表于 2006-10-30 11:27 只看该作者

★大家注意了：中了viking病毒和新快乐时光病毒会员请进来，有解决的相应办法★

引用:

转自一个网友的经历

引用:

我这两天两台电脑都中毒了，桌面上的文件图标变花，网速慢！一直找不到原因，后来用卡巴斯基查出来是“worm.win32.viking.bb”威金病毒，只要是应用文件ＥＸＥ全部复在上面。卡巴斯基只能删除不能隔离～～这怎么办呢？都是安装程序和执行文件删掉了这很麻烦的呀。于是我在网上找了很多的专杀工具，其中有三个是非常有效的！一会儿就把病毒解除了～～～故大家不防来试试，有意无害～～

具体威金病毒(viking)症状和治理方法跟大家分析一下：

“Worm.Win32.Viking......”病毒分析及查杀

一、病毒消息：

威金蠕虫肆虐互联网九千用户十余企业遭攻击[图]

恶性病毒现身：穿透还原卡杀死杀毒软件

二、病毒症状：

看了一些关于此病毒的症状，不完全统计如下：

1、占用大量网速，使机器使用变得极慢。

2、会捆绑所有的EXE文件，只要一运用应用程序，在winnt下的logo1.exe图标就会相应变成应用程序图标。

3、有时还会时而不时地弹出一些程序框，有时候应用程序一起动就出错，有时候起动了就被强行退出。

4、网吧中只感梁win2k pro版，server版及XP系统都不感染。（严重表示怀疑！）

5、能绕过所有的还原软件。

6、下载并释放多个木马程序，包括xiaran.dat、rundl132.exe、vDll.dll、svchqs.exe、 svhost32.exe、rundll32.exe、dllz.dll、svchs0t.exe、C:\gamevir.txt、C:\1.txt 、C:\log.txt等等。

三、病毒分析：

根据病毒释放出来的文件，感觉它应该是W32.Looked病毒的某个变种，在symantec的官方站点检索一下，发现该病毒从2004年12月17日被发现，到最新变种被发现2006年5月29日，总计有7个变种，介绍如下：

http://securityresponse.symantec ... ata/w32.looked.html

http://securityresponse.symantec ... a/w32.looked.b.html

http://securityresponse.symantec ... a/w32.looked.c.html

http://securityresponse.symantec ... a/w32.looked.e.html

http://securityresponse.symantec ... a/w32.looked.f.html

http://securityresponse.symantec ... a/w32.looked.h.html

http://securityresponse.symantec ... a/w32.looked.i.html

通过对这几个病毒介绍的分析，我们发现该病毒除在个别版本中有所变动外，基本特征大体没有太多变化，而病毒作者必然是国人没错。

接着来分析一下Symantec定义的各变种病毒爆发后的操作：

病毒简介：该病毒是一个会从远端服务器下载文件并感染.exe文件的蠕虫病毒，它会降低安全防护的效能并通过网络共享传播自己。

感染系统：Windows 2000、Windows 95、Windows 98、Windows Me、Windows NT、Windows Server 2003、Windows XP

病毒行为（有些行为可能只在某个变种体现）：

1、（部分变种）创建文件%Windir%\rundl132.exe (A copy of W32.Looked.I)，注意这里的文件名是rundl132.exe，不是rundll32.exe，%Windir%默认为C:\Windows 或者C:\Winnt；

2、创建木马程序%CurrentFolder%\vDll.dll (A copy of Download.Trojan)，%CurrentFolder%表示病毒被初次执行时的目录，我见到的基本都在%Windir%下；

3、（部分变种）从远端服务器下载病毒程序到%Windir%\1.exe，并执行，有些变种下载的是zt.txt、zt.exe 、wow.txt 、wow.txt、mx.txt、mx.exe系列文件；

4、拷贝自身为%Windir%\Logo1_.exe；

5、在注册表HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW下创建键值"auto" = "1"；

6、（部分变种）在注册表HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\WIndows创建键值"load" = "%Windir%\rundl132.exe"；

7、（部分变种）停止服务Kingsoft AntiVirus Service；

8、插入vDll.dll到IEXPLORE.EXE或EXPLORER.EXE

9、从磁盘C到Y检索.exe文件并感染找到的文件，不会感染下列目录中的.exe文件：

·system

·system32

·windows

·Documents and Settings

·System Volume Information

·Recycled

·winnt

·Program Files

·Windows NT

·WindowsUpdate

·Windows Media Player

·Outlook Express

·Internet Explorer

·ComPlus Applications

·NetMeeting

·Common Files

·Messenger

·Microsoft Office

·InstallShield Installation Information

·MSN

·Microsoft Frontpage

·Movie Maker

·MSN Gamin Zone

10、发送包含“Hello,World”字符串的ICMP包到192.168.0.30、192.168.8.1；

11、使用administrator和空口令尝试打开任何对ICMP包响应的计算机的\\ipc$和\\admin$目录；

12、拷贝自身到成功打开的共享目录；

13、检索成功打开的共享目录，寻找并感染.exe文件；

14、（部分变种）尝试结束下列进程：

·EGHOST.EXE

·IPARMOR.EXE

·KAVPFW.EXE

·KWatchUI.EXE

·MAILMON.EXE

·Ravmon.exe

·ZoneAlarm

15、（部分变种）在hosts文件(默认位置：%system%\drivers\etc，%system%默认为C:\WINDOWS\system32\或C:\Winnt\system32)中添加内容，内容主要是将防病毒网站指向到本级或指定IP。

AcOol PS：

我分析的“Worm.Win32.Viking.i”病毒只包含了以上的7、8个步骤。

四、病毒查杀：

1、专杀工具：

“威金（Worm.Viking）”病毒专杀工具1.0

“维金”病毒专杀工具v2006.6.8.13

2、手动查杀：

首先建议下在IceSword1.8，在IceSword中进行操作。

（1）在进程中找到并结束Logo1_.exe、rundl132.exe进程，未找到则直接跳过；

（2）找到并删除%Windir%下的Logo1_.exe、rundl132.exe、vDll.dll文件，其中vDll.dll可能在其他目录中，%Windir%默认为C:\Windows或者C:\Winnt。

（3）打开注册表，索引到HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW，删除auto键值；

（4）打开注册表，索引到HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\WIndows，删除load键值；

（5）打开%system%\drivers\etc下hosts文件，删除“127.0.0.1 localhost”一行后所有内容；

（6）升级病毒定义库，在安全模式下对全盘进行扫描。

引用:

最后跟大家介绍一招：巧用DOS命令批量删除威金病毒残留的_desktop.ini和欢乐时光病毒的desktop.ini垃圾文件的命令。

我杀毒后发现有很多_desktop.ini文件，打开后发现里面只有日期，_desktop.ini文件本身属性是隐藏的系统文件，用本机上的搜索无法搜到（用解压Win.rar文件可以看到），同时还发现了新欢乐时光病毒的残留文件，仔细检查发现每个目录都有，到网上一搜，发现没有什么太好的方法，使用瑞星的专杀工具，不能清除这些文件，所以查看了一些网上的资料，并实际测试了一下非常有效的，具体方法如下：

首先你可以用记事本写下一行如下代码，例如你要删除Ｄ盘上的垃圾文件，写法如下：

　　del d:\_desktop.ini /f/s/q/a

但是这种方法每次需要手动更改盘符，当然也可以写多行代码，根据自己的盘符决定。文件的扩展名改成ＢＡＴ，例如：abc.bat

语句解释：

　　作用：强制删除d盘下所有目录内（包括d盘本身）的_desktop.ini文件并且不提示是否删除

　　/f 强制删除只读文件

　　/q 指定静音状态。不提示您确认删除。

　　/s 从当前目录及其所有子目录中删除指定文件。显示正在被删除的文件名。

　　/a的意思是按照属性来删除了

引用:

维金(Worm.Viking.m)专杀工具

 橙色八月

 “威金”专杀工具

[ 本帖最后由想入非非于 2006-10-30 11:28 AM 编辑 ]

TOP

作者的其他主题:
赵本山携徒彩排《捐助》小沈阳不“娘”了[5P] 莫文蔚变小三深宵约会蜜挽张亚东新恋情曝光[2P] 廖碧儿频频受伤陈豪心痛否认甜蜜共度春宵[4P] 牵老婆甜蜜购物触动警钟梁家辉收火做好好先生[2P] 近藤真彦念旧情访港拜祭昔日恋人梅艳芳[3P] 任达华疑遭人利用桃色风波女主角是演员[3P]

zjhnau99 该用户已被删除

2楼大中小发表于 2006-10-30 14:12 只看该作者

我的电脑也中毒了，exe文件被感染，但症状和楼主说的有点不一样啊！
我在网上下载的是“cureit”这个软件杀毒，能找到很多病毒，我的备份软件中的*.exe文件全被它杀了，所有软件都不能用了，只能重新下载了！郁闷死了！:(
不过这么详细的介绍，辛苦楼主了，给你颗红心做为奖励哈！:D

TOP

li123456

LEVEL 5

Rank: 4

积分: 30
金币: 1524 枚
威望: 0 点
金镑: 0 个
银币: 0 枚
舍利: 0 枚
注册时间: 2005-12-20
最后登录: 2019-9-5

3楼大中小发表于 2006-11-24 01:39 只看该作者

我的电脑前两天也中了VIKING一开机就死机CPU100%,用卡巴6.0查了170多个viking，吃一堑长一智，楼上的讲解受益匪浅！

TOP

‹‹ 上一主题 | 下一主题 ››