恩,我认为这是中了AV 终结者 病毒``
具体表现和方法如下:
“AV终结者”中毒感染现象
1. 生成很多8位数字或字母随机命名的病毒程序文件,并在电脑开机时自动运行。
2. 绑架安全软件,中毒后会发现几乎所有杀毒软件,系统管理工具,反间谍软件不能正常启动。即使手动删除了病毒程序,下次启动这些软件时,还会报错。
3. 不能正常显示隐藏文件,其目的是更好的隐藏自身不被发现。
4. 禁用windows自动更新和Windows防火墙,这样木马下载器工作时,就不会有任何提示窗口弹出来。为该病毒的下一步破坏打开方便之门。
5. 破坏系统安全模式,使得用户不能启动系统到安全模式来维护和修复
6. 当前活动窗口中有杀毒、安全、社区相关的关键字时,病毒会关闭这些窗口。假如你想通过浏览器搜索有关病毒的关键字,浏览器窗口会自动关闭。
7. 在本地硬盘、U盘或移动硬盘生成autorun.inf和相应的病毒程序文件,通过自动播放功能进行传播。这里要注意的是,很多用户格式化系统分区后重装,访问其它磁盘,立即再次中毒,用户会感觉这病毒格式化也不管用。
8. 病毒程序的最终目的是下载更多木马、后门程序。用户最后受损失的情况取决于这些木马和后门程序。
“AV终结者”中毒后4步解决方案
因为这个病毒同样会攻击金山毒霸,已经中毒的电脑会发同金山毒霸不能启动,双击没反应。利用手动解决相当困难,并且,AV终结者是一批病毒,不能简单的通过分析报告来人工删除。我们推荐的清除步骤如下:
1. 在能正常上网的电脑上登录金山毒霸网站下载AV终结者病毒专杀工具
下载地址:http://zhuansha.duba.net/259.shtml
2. 在正常的电脑上禁止自动播放功能,以避免通过插入U盘或移动硬盘而被病毒感染
[禁止方法图示],把AV终结者专杀工具从正常的电脑复制到U盘或移动硬盘上,然后再复制到中毒的电脑上。
3. 执行AV终结者专杀工具,清除已知的病毒,修复被系统配置。
(注:AV终结者专杀工具的重要功能是修复被破坏的系统,包括修复映像劫持;修复被破坏的安全模式;修复隐藏文件夹的正常显示和删除各磁盘分区的自动播放配置。)
4. 不要立即重启电脑,然后启动杀毒软件,升级病毒库,进行全盘扫描。以清除木马下载器下载的其它病毒。
如何防范“AV终结者”?
因为AV终结者病毒一旦感染,清除过程相当复杂,可能不少用户就会去重装。我们建议用户不要轻易重装系统,使用我们推荐的步骤完成清除,必要时拨打客服电话,请求支持。请采取以下措施防范AV终结者病毒
1. 使用金山网镖或Windows防火墙,可有效防止网络病毒通过黑客攻击手段入侵。
2. 使用金山毒霸的漏洞修复功能或者windows update来修补系统漏洞,特别需要注意安装浏览器的最新补丁。
3. 升级杀毒软件,开启实时监控
4. 网管采取综合措施防范ARP攻击挂马事件,有关ARP攻击的解决办法请点击这里。
5. 关闭windows的自动播放功能
另外一种可能,是中了前面流行的威金Worm.viking病毒,很好识别 启动任务管理器,点击进程标签,如果存在一 个logo1.exe的进程 很不幸,你已中此毒,具体方法:
1、手动清除
发信人: ILOVEAPPLE (大海), 信区: Virus
标 题: Re: 有没有中过viking维金的,请问卡巴6对此有效否?
发信站: 水木社区 (Sat Sep 23 15:33:43 2006), 站内
可以这样:
先删除dll.dll(删除方法见置底)、log_1.exe、rundl123.exe等文件,或在安全模式下清除。
主要是dll.dll,这个文件会让windows的explorer.exe调用(这个传播方法较历害)。
然后根据病毒感染exe的特征,你可以用搜索查找所有的的*.exe文件,然后浏览一下文件,利用卡巴实时检测功能把查毒,清除(也可设置卡巴查杀配置,不过好几个选项,。。。);最后执行如下命令清除病毒遗留文件:
如下命令 可以全选 用记事本保存成一个 killViking.bat 文件。
也可以一条一条的手动输入,开始菜单 运行 输入CMD回车,然后执行下面的每一条,按回车执行。
带echo , pause的可以忽略。
echo off
del %Windir%\ MH_FILE\ MH_DLL.dll
del %Windir%\MickNew\MickNew.dll
del %Windir%\TODAYZTKING\TODAYZTKING.DLL
del %Windir%\1.txt
del %Windir%\0Sy.exe
del %Windir%\1Sy.exe
del %Windir%\2Sy.exe
del %Windir%\rundl132.exe
del %Windir%\vDll.dll
del %Windir%\Dll.dll
del %Windir%\log_1.exe
del %Windir%\rundl123.exe
echo 正在清除_desktop.ini文件,请稍等......
del c:\_desktop.ini /f/s/q/a
del d:\_desktop.ini /f/s/q/a
del e:\_desktop.ini /f/s/q/a
echo 清除完毕!
pause
2、发信人: itrose (说不清楚), 信区: Virus
标 题: viking威金dll.dll变种暂时解决方案
发信站: 水木社区 (Tue Sep 12 18:59:31 2006), 站内
威金某变种,病毒文件:
c:\windows\rundl132.exe
c:\windows\dll.dll
在该文件夹下还可能有realplayer.exe excel.exe qq.exe等并不该出现的文件
此变种尚无专杀,我摸索出一种方法,目前看有效,请大家参考.
卸载WINRAR ,QQ,OFFICE,realplayer等知名软件,安全模式下删除上面提到的病毒文件.
3、被威金感染后的应用程序,一般都需要重装了。
4、总结
发信人: sihecun (如果有来生), 信区: Virus
标 题: Worm.Viking变种疯狂席卷国内互联网
发信站: 水木社区 (Thu Jun 8 22:39:08 2006), 站内
附件是瑞星的专杀(20060606)
http://community.highai.com/blog ... 06/06/02/88885.aspx
国内老牌的感染型蠕虫Worm.Viking变种正在国内快速传播中,金山、瑞星等国内反病毒厂商都对变种做了应急处理,小陌提醒广大国内用户紧快升级手中的杀毒软件来防范此家族的变种。
Viking家族的变种会感染pe文件,给中招用户带来不小麻烦,同时还具有网络感染、下载网络木马等其他功能。中招用户的典型特征为电脑中出现logo_1.exe、rundl132.exe文件。
同时该家族的Worm.Viking.i(瑞星Worm.Viking.bp)变种还通过qq尾巴传播,qq尾巴的形式:
h**p://www.qq.com.search_2.shtml.cgi-client-entry.photo.39pic.com/qq%E5%83%8F%E5%86%8C2/
以下是金山的报告:
金山:Worm.Viking.m http://vi.db.kingsoft.com/index. ... mp;action=viewgraph
病毒分析
病毒被激活后,释放以下文件:
%SystemRoot%\rundl132.exe
%SystemRoot%\logo_1.exe
病毒目录\vdll.dll
添加以下启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="%SystemRoot%\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="%SystemRoot%\rundl132.exe"
感染所有分区下大小27KB-10MB的可执行文件(但不感染系统文件夹和programe files文件夹下的文件),并在被感染的文件夹中生成_desktop.ini。文件如果发现这个东西的话,恭喜恭喜,估计十有八九已遭遇不幸了,并且感染后会造成一些网友说的“EXE文件图标花了”
通过不安全的共享网络传播,网络可用时,枚举内网所有共享主机,并尝试用弱口令连接\IPC$、\admin$等共享目录,连接成功后进行网络感染。
结束一些国内的反病毒软件进程,如毒霸,瑞星,木马客星等。
vdll.dll注入Explorer或者Iexplore进程,当外网可用时,下载其他木马程序(如前段时间比较BT的红底黑色龙头图案的WINLOGON)。
将拿到的几个样本文件看了下,其中rundl132.exe为病毒文件,VThunder为感染后的文件,Thunder为原文件。
winhex将这3个文件打开,发现感染方式为“头寄生”,VThunder文件头被插入了rundl132的代码。
rundl132.exe
VThunder.exe
Thunder.exe
offset删除至00069E6后另存为,即可还原到原来的thunder了。
在这里提醒大家,对这个病毒防范胜于查杀。目前,包括毒霸在内的部分杀软可以较好的处理感染后的EXE文件,但部分杀软采取的方法却是直接删除(如卡巴斯基),这可不是件好事。因此,小空建议你,及时升级你的杀软,并打开实时监控;安装一款防火墙;关闭不必要的网络共享;通过在线更新等给系统打好补丁;给管理员帐户加上足够强壮的密码;对于来历不名的文件不要随意运行。
※ 来源:·水木社区 newsmth.net·[FROM: 221.221.27.*]
5、其他专杀
(1)瑞星的提取工具 http://it.rising.com.cn/Channels ... 3119832d22607.shtml
(2)金山毒霸的专杀 http://db.kingsoft.com/download/3/246.shtml
(3) 强烈推荐的专杀 by nslog
流行感染EXE文件清除提取修复工具(威金、千橡等)
即.exe执行的时候生成一个同名的xxx~.exe,可以完美修复所有.exe可执行文件 版本更新为1.6
下载地址: http://nslog.cn.googlepages.com/Killqx_Gui_V16.rar
目前版本: v1.6
使用办法: 选择目录或者文件夹扫描便可。没有什么好说的。
祝你成功 |
发表于 2007-8-17 14:58:42
发表于 2007-9-20 18:07:35
