win32.lookd.p worm.viking 病毒的清理

蠕虫. 这种蠕虫真讨厌..感染了所有的.exe文件

Norton 只会隔离, 卡巴斯基干脆就直接删除感染的文件.. 连有用的都要被清理..郁闷..

等了两天终于有了新版的专杀工具, 不删除文件,只清理病毒的 工具

给你个连接..

下面在介绍一下这个垃圾病毒.

 一、病毒消息:
    威金蠕虫肆虐互联网 九千用户十余企业遭攻击[图]
    恶性病毒现身:穿透还原卡 杀死杀毒软件 
 病毒简介:该病毒是一个会从远端服务器下载文件并感染.exe文件的蠕虫病毒,它会降低安全防护的效能并通过网络共享传播自己。
    感染系统:Windows 2000、Windows 95、Windows 98、Windows Me、Windows NT、Windows Server 2003、Windows XP
    病毒行为(有些行为可能只在某个变种体现):
    1、(部分变种)创建文件%Windir%rundl132.exe (A copy of W32.Looked.I),注意这里的文件名是rundl132.exe,不是rundll32.exe,%Windir%默认为C:Windows或者C:Winnt;
    2、创建木马程序%CurrentFolder%vDll.dll (A copy of Download.Trojan),%CurrentFolder%表示病毒被初次执行时的目录,我见到的基本都在%Windir%下;
    3、(部分变种)从远端服务器下载病毒程序到%Windir%1.exe,并执行,有些变种下载的是zt.txt、zt.exe 、wow.txt 、wow.txt、mx.txt、mx.exe系列文件;
    4、拷贝自身为%Windir%Logo1_.exe;
    5、在注册表HKEY_LOCAL_MACHINESoftwareSoftDownloadWWW下创建键值"auto" = "1";
    6、(部分变种)在注册表HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWIndows创建键值"load" = "%Windir%rundl132.exe";
    7、(部分变种)停止服务Kingsoft AntiVirus Service;
    8、插入vDll.dll到IEXPLORE.EXE或EXPLORER.EXE
    9、从磁盘C到Y检索.exe文件并感染找到的文件,不会感染下列目录中的.exe文件: 

·system
·system32
·windows
·Documents and Settings
·System Volume Information
·Recycled
·winnt
·Program Files
·Windows NT
·WindowsUpdate
·Windows Media Player
·Outlook Express 
·Internet Explorer
·ComPlus Applications
·NetMeeting
·Common Files
·Messenger
·Microsoft Office
·InstallShield Installation Information
·MSN
·Microsoft Frontpage
·Movie Maker
·MSN Gamin Zone

    10、发送包含“Hello,World”字符串的ICMP包到192.168.0.30、192.168.8.1;
    11、使用administrator和空口令尝试打开任何对ICMP包响应的计算机的\ipc$和\admin$目录;
    12、拷贝自身到成功打开的共享目录;
    13、检索成功打开的共享目录,寻找并感染.exe文件;
    14、(部分变种)尝试结束下列进程: 

·EGHOST.EXE  
·IPARMOR.EXE  
·KAVPFW.EXE  
·KWatchUI.EXE  
·MAILMON.EXE  
·Ravmon.exe  
·ZoneAlarm

    15、(部分变种)在hosts文件(默认位置:%system%driversetc,%system%默认为C:WINDOWSsystem32或C:Winntsystem32)中添加内容,内容主要是将防病毒网站指向到本级或指定IP。

AcOol PS: 
    我分析的“Worm.Win32.Viking.i”病毒只包含了以上的7、8个步骤。

    四、病毒查杀: 
    1、专杀工具:

【下 载】:电信下载  网通下载  下载一  

    2、手动查杀:
    首先建议下在 hijackthis
    (1)在进程中找到并结束Logo1_.exe、rundl132.exe进程,未找到则直接跳过; 
    (2)找到并删除%Windir%下的Logo1_.exe、rundl132.exe、vDll.dll文件,其中vDll.dll可能在其他目录中,%Windir%默认为C:Windows或者C:Winnt。 
    (3)打开注册表,索引到HKEY_LOCAL_MACHINESoftwareSoftDownloadWWW,删除auto键值; 
    (4)打开注册表,索引到HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWIndows,删除load键值; 
    (5)打开%system%driversetc下hosts文件,删除“127.0.0.1       localhost”一行后所有内容; 

Read More