关于rundl132.exe vidll.dll LOGO1.exe 的清除方法

最近有朋友问我关于这几个病毒的清理方法.口头上说的不是很详细,现在贴一个详细的分析和对策吧.
1、打开系统的“显示隐藏文件”并下载相应的杀毒软件和 维金EXE修复工具 (重要)
2、查看你的系统进程 结束可疑的病毒木马程序(用户名为你的当前用户) 如:rundl132.exe svchost32.exe logo1_.exe 可能还有SERVICES.EXE SMSS.EXE 等伪装的系统木马。可以用tskill 来结束这些进程。
3、找到木马所在的路径并删除,然后新建一个同名文件,并设置为只读 属性 (这点非常重要),(一般在C:\windows , C:\Program Files \ 你可以搜索来找到木马所在的路径。
4、修改注册表。 在注册表里启动项目的所有木马启动项目, 在注册表全面搜索 Rundl132.exe和Logo1_.exe 并删除.
5、用维金修复工具修复所有感染的exe文件。(可以到安全模式进行)

以下是这个病毒的原理(网上收集的)

进程文件: rundl132 或 rundl132.exe 
进程位置: windir 
程序名称: Troj_AutoCrat.b.enc或Worm.Viking.cp威金 
程序用途: 后门木马病毒以窃取信息为主。或最新的病毒名称:Worm.Viking.cp 中 文 名:“威金”蠕虫变种CP 
程序作者: 
系统进程: 否 
后台程序: 是 
使用网络: 是 
硬件相关: 否 
安全等级: 低 
进程分析: 该病毒修改win.ini文件实现自启动,使用与rundll32.exe相似的rundl132.exe文件名。病毒运行后打开后门端口,允许恶意攻击者控制计算机。
病毒名称:Worm.Viking.cp
中 文 名:“威金”蠕虫变种CP 
释放vidll.dll到任何可执行文件目录下。
该病毒修改注册表创建Run/Timer项实现自启动,病毒文件包括:0Sy.exe 1Sy.exe 2Sy.exe 3Sy.exe 4Sy.exe 5Sy.exe 6Sy.exe 7Sy.exe 8Sy.exe 9Sy.exe以及 0~9.exe等等 。

档案编号:CISRT2006004 
病毒名称:Worm.Win32.Viking.i(AVP) 
病毒别名:Worm.Viking.bp(瑞星) 
病毒大小:27,194 字节 
加壳方式:UPack 
样本MD5:fe498f7687658c33547d72151111b93f 
发现时间:2006.5.30 
更新时间:2006.6.1 
关联病毒: 
传播方式:通过QQ尾巴、恶意网站传播 
技术分析: 
1、运行后创建文件:
%Windows%\rundl132.exe 
\vDll.dll(当前目录) 
2、建立自启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] 
"load"="%Windows%\rundl132.exe" 
3、vDll.dll将插入Explorer.exe或iexplore.exe进程。 
4、病毒会使用net命令停止毒霸服务:
net stop "Kingsoft AntiVirus Service" 
5、尝试访问共享网络ipc$和admin$,发送ICMP用“Hello,World”探测。 
6、生成的一些记录文件:
C:\gamevir.txt 
C:\1.txt 
C:\log.txt 
7、变种Logo1_.exe会感染(捆绑).exe文件,在这个rundl132.exe的测试中没有发现感染(捆绑).exe文件的情况。 
感染(捆绑).exe文件,但不感染(捆绑)以下目录中的.exe:
system 
system32 
windows 
Documents and Settings 
System Volume Information 
Recycled 
winnt 
Program Files 
Windows NT 
WindowsUpdate 
Windows Media Player 
Outlook Express 
Internet Explorer 
ComPlus Applications 
NetMeeting 
Common Files 
Messenger 
Microsoft Office 
InstallShield Installation Information 
MSN 
Microsoft Frontpage 
Movie Maker 
MSN Gaming Zone 
8、尝试修改HOSTS文件:
%System32%\drivers\etc\hosts 
9、添加注册表信息:
[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW] 
"auto"="1" 
10、尝试访问网络下载其它木马病毒,有WOW、征途、QQ尾巴等木马。

1.在系统目录下生成一些病毒文件,有0sy.exe,到9sy.exe,还有图标为QQ的,图为为迅雷的,为real播放器的,反正是很容易骗过你的图标,名称一律为rundl132.exe (32之前是个1不是l,rundll32.exe是系统文件,是不是很会骗人?)

2.把迅雷和winrar的程序文件替换掉使你无法运行这两个程序,其他的程序有没有被换掉我不知道,反正我看到了这两个软件是这样.

3.打开进程管理器可以看到有rundl1.exe cmd.exe winxxx.exe xxx为数字且为随机的且在C:\Documents and Settings\你的用户名\Local Settings\temp 下

(0)

相关推荐

  • 关于rundl132.exe vidll.dll LOGO1.exe 的清除方法

    最近有朋友问我关于这几个病毒的清理方法.口头上说的不是很详细,现在贴一个详细的分析和对策吧. 1.打开系统的"显示隐藏文件"并下载相应的杀毒软件和 维金EXE修复工具 (重要) 2.查看你的系统进程 结束可疑的病毒木马程序(用户名为你的当前用户) 如:rundl132.exe svchost32.exe logo1_.exe 可能还有SERVICES.EXE SMSS.EXE 等伪装的系统木马.可以用tskill 来结束这些进程. 3.找到木马所在的路径并删除,然后新建一个同名文件,并

  • 威金变种 rundl132.exe RichDll.dll,f1.exe,f2.exe,f3.exe,f4,exe,f5.exe,f11.exe解决方法

    威金变种 rundl132.exe RichDll.dll解决方法 该变种暂时还没被江民和卡巴查杀,并用了几个专杀就找到一个可查杀修复EXE文件! 病毒运行后,访问网络下载多个木马程序(f1.exe,f2.exe,f3.exe,f4.exe,f5.exe,f6.exe,f7.exe,f8.exe,f9.exe,f10.exe,f11.exe)并运行!生成以下病毒文件(感觉现在的病毒真是变态): C:\Documents and Settings\你的用户名\Local Settings\Temp

  • RAVFY.EXE,RAVWL.EXE,msdebug.dll,Servere.exe等的清除指南附SREng.EXE PowerRmv.com unlocker1.8.5.exe打

    本文的眼:注意这几个文件名RAVFY.EXE,RAVWL.EXE,msdebug.dll相当有迷惑性 一.提问:http://zhidao.baidu.com/question/23973092.html 二.分析: 1. 杀毒前关闭系统还原(Win2000系统可以忽略):右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可.  清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点"删除文件"按钮 ,将 删除所有脱机内

  • SysLoad3.exe木马病毒的分析及清除方法

    使用前,请先断网,删除系统目录下的SysLoad3.exe以及1.exe,2.exe,...,7.exe,用IceSword删除临时目录下的那几个动态库.当任务管理器里没有iexplore.exe和notepad.exe的进程时,就可以运行这个恢复程序了. 特别注意:运行过程中,不要去运行其他程序,有可能你运行的那个程序就是带毒的!! [b]二:以下是分析和手动清除方法: 昨天下午加班回来,发现本本的行为相当诡异.看了看任务管理器,有几个Ie的进程和几个Notepad的进程有些可疑.然后看了看注

  • autorun.inf和sbl.exe之U盘病毒的清除方法

    病毒生成如下文件: Code: C:\WINDOWS\system32\1.inf C:\WINDOWS\system32\chostbl.exe C:\WINDOWS\system32\lovesbl.dll 在每个分区下面创建autorun.inf和sbl.exe,并不断检测chostbl.exe的属性是否为隐藏 注册服务AnHao_VIP_CAHW 指向C:\WINDOWS\system32\chostbl.exe,达到开机启动的目的. 启动类型:自动 显示名称:A GooD DownLo

  • fjOs0r.dll、OnlO0r.dll 木马群的清除方法

    应该是有专门的生成器,遇到很多起了 不写分析了.. 解决方法: 1.下载sreng2.zip和IceSword120_cn.zip(以下简称冰刃) 下载后直接放桌面. 2.断开网络,关闭不需要的连接. 3.打开冰刃,设置-禁止线程创建,确定. 4.删除以下文件(如提示不存在文件不存在跳过即可): Code:  C:\Program Files\Common Files\fjOs0r.dll   31791 字节  C:\Program Files\Internet Explorer\OnlO0r

  • 使用 JScript 创建 .exe 或 .dll 文件的方法

    什么是 JScript? JScript 是由微软开发的活动脚本语言,基于 ECMAScript 规范实现.Internet Explorer 中的 JavaScript,实际上是指 JScript.JScript 已被 Windows Script Host(WSH)支持(WSH 中的 JavaScript shell scripting:C:\> cscript jslint.js).JScript 最新的版本(JScript.NET)基于 ECMAScript 4.0 ,并且可以在 .Ne

  • Python获取DLL和EXE文件版本号的方法

    本文实例讲述了Python获取DLL和EXE文件版本号的方法.分享给大家供大家参考.具体实现方法如下: 复制代码 代码如下: import win32api def getFileVersion(file_name):     info = win32api.GetFileVersionInfo(file_name, os.sep)     ms = info['FileVersionMS']     ls = info['FileVersionLS']     version = '%d.%d

  • roirpy.exe,mrnds3oy.dll,qh55i.dll等木马群手工清除解决方案

    roirpy.exe,mrnds3oy.dll,qh55i.dll等木马群手工清除解决方案 用xdelbox删除下面文件(添加下面所有路径或在空白处点右键-从剪贴板导入,在已添加的文件路径上点击右键,选择立刻重启执行删除[有提示不存在该文件的就忽略,添加其它文件]): c:\windows\roirpy.exe c:\windows\uunjkd.exe c:\windows\49400l.exe c:\windows\49400m.exe c:\windows\fjrlwx.exe c:\wi

  • 威金logo1.exe病毒专杀工具 下载

    病毒专杀-威金logo1.exe 病毒专杀工具包+威金logo1.exe 补丁 病毒专杀-威金logo 1.exe 病毒专杀工具包+威金logo 1.exe 补丁 集合了5个杀毒公司(瑞星,金山)的产品. 和.bat批量删除威金logo 1.exe 病毒的生成文件. 威金logo 1.exe 病毒的补丁. 用了觉得好的话,请多来本站发表评论和留言. 点击下载此文件

随机推荐