关于rundl132.exe vidll.dll LOGO1.exe 的清除方法

 更新时间:2007年01月08日 00:00:00   作者:  
最近有朋友问我关于这几个病毒的清理方法.口头上说的不是很详细,现在贴一个详细的分析和对策吧.
1、打开系统的“显示隐藏文件”并下载相应的杀毒软件和 维金EXE修复工具 (重要)
2、查看你的系统进程 结束可疑的病毒木马程序(用户名为你的当前用户) 如:rundl132.exe svchost32.exe logo1_.exe 可能还有SERVICES.EXE SMSS.EXE 等伪装的系统木马。可以用tskill 来结束这些进程。
3、找到木马所在的路径并删除,然后新建一个同名文件,并设置为只读 属性 (这点非常重要),(一般在C:\windows , C:\Program Files \ 你可以搜索来找到木马所在的路径。
4、修改注册表。 在注册表里启动项目的所有木马启动项目, 在注册表全面搜索 Rundl132.exe和Logo1_.exe 并删除.
5、用维金修复工具修复所有感染的exe文件。(可以到安全模式进行)


以下是这个病毒的原理(网上收集的)

进程文件: rundl132 或 rundl132.exe 
进程位置: windir 
程序名称: Troj_AutoCrat.b.enc或Worm.Viking.cp威金 
程序用途: 后门木马病毒以窃取信息为主。或最新的病毒名称:Worm.Viking.cp 中 文 名:“威金”蠕虫变种CP 
程序作者: 
系统进程: 否 
后台程序: 是 
使用网络: 是 
硬件相关: 否 
安全等级: 低 
进程分析: 该病毒修改win.ini文件实现自启动,使用与rundll32.exe相似的rundl132.exe文件名。病毒运行后打开后门端口,允许恶意攻击者控制计算机。
病毒名称:Worm.Viking.cp
中 文 名:“威金”蠕虫变种CP 
释放vidll.dll到任何可执行文件目录下。
该病毒修改注册表创建Run/Timer项实现自启动,病毒文件包括:0Sy.exe 1Sy.exe 2Sy.exe 3Sy.exe 4Sy.exe 5Sy.exe 6Sy.exe 7Sy.exe 8Sy.exe 9Sy.exe以及 0~9.exe等等 。


档案编号:CISRT2006004 
病毒名称:Worm.Win32.Viking.i(AVP) 
病毒别名:Worm.Viking.bp(瑞星) 
病毒大小:27,194 字节 
加壳方式:UPack 
样本MD5:fe498f7687658c33547d72151111b93f 
发现时间:2006.5.30 
更新时间:2006.6.1 
关联病毒: 
传播方式:通过QQ尾巴、恶意网站传播 
技术分析: 
1、运行后创建文件:
%Windows%\rundl132.exe 
\vDll.dll(当前目录) 
2、建立自启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] 
"load"="%Windows%\rundl132.exe" 
3、vDll.dll将插入Explorer.exe或iexplore.exe进程。 
4、病毒会使用net命令停止毒霸服务:
net stop "Kingsoft AntiVirus Service" 
5、尝试访问共享网络ipc$和admin$,发送ICMP用“Hello,World”探测。 
6、生成的一些记录文件:
C:\gamevir.txt 
C:\1.txt 
C:\log.txt 
7、变种Logo1_.exe会感染(捆绑).exe文件,在这个rundl132.exe的测试中没有发现感染(捆绑).exe文件的情况。 
感染(捆绑).exe文件,但不感染(捆绑)以下目录中的.exe:
system 
system32 
windows 
Documents and Settings 
System Volume Information 
Recycled 
winnt 
Program Files 
Windows NT 
WindowsUpdate 
Windows Media Player 
Outlook Express 
Internet Explorer 
ComPlus Applications 
NetMeeting 
Common Files 
Messenger 
Microsoft Office 
InstallShield Installation Information 
MSN 
Microsoft Frontpage 
Movie Maker 
MSN Gaming Zone 
8、尝试修改HOSTS文件:
%System32%\drivers\etc\hosts 
9、添加注册表信息:
[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW] 
"auto"="1" 
10、尝试访问网络下载其它木马病毒,有WOW、征途、QQ尾巴等木马。 

1.在系统目录下生成一些病毒文件,有0sy.exe,到9sy.exe,还有图标为QQ的,图为为迅雷的,为real播放器的,反正是很容易骗过你的图标,名称一律为rundl132.exe (32之前是个1不是l,rundll32.exe是系统文件,是不是很会骗人?)

2.把迅雷和winrar的程序文件替换掉使你无法运行这两个程序,其他的程序有没有被换掉我不知道,反正我看到了这两个软件是这样.

3.打开进程管理器可以看到有rundl1.exe cmd.exe winxxx.exe xxx为数字且为随机的且在C:\Documents and Settings\你的用户名\Local Settings\temp 下

相关文章

最新评论