单车之家-BikeHome.net

标题: 我晕死 [打印本页]

作者: 小白 时间: 2006-9-15 11:24
标题: 我晕死
我晕死，这两天公司电脑上都是毒，杀都杀不完，几小时报就有，是个VIKING的，谁有高招，重装系统的不算

作者: 阿越 时间: 2006-9-15 11:28
有啥稀奇的,我上周在我的电脑里一共杀了136个病毒......

作者: 小白 时间: 2006-9-15 11:50
我是从来不用GHOST的，重装也就一小时的事，现在就等技术部来帮我重装电脑了，没法子了

作者: 一摔 时间: 2006-9-15 11:54

技术部也做这么没有技术含量的事啊

作者: 沙粒 时间: 2006-9-15 11:57
重装吧估计方便些~~~

作者: 夏天草莓 时间: 2006-9-15 12:02
是为了看晕S的小白是什么样子的我才进来的

作者: 小白 时间: 2006-9-15 12:05

不重装不行，重起一下系统文件夹下都毒，NND windows2000还没 msconfig，晕死

作者: 水帖创作者 时间: 2006-9-15 12:50
唉....!LZ你这种病毒大体分为两中,一种是蠕虫,一种是DOS`!.蠕虫又分为6种,DOS分5种...不知楼主具体中的哪一种吖???

作者: combo 时间: 2006-9-15 12:54
如果是viking的话，就用这个专杀工具吧。

威金（Worm.Viking）”病毒专杀工具.rar

107 KB, 下载次数: 187

作者: 小白 时间: 2006-9-15 12:54
蠕虫，我是没办法了，大概是注入到了EXPLORER。EXE文件里去了，反正一开机就中，几个毒用专杀工具，三个杀毒软件，和手工杀都杀不掉，不知道是哪个程序藏的那么好，反正我是没想法了，现在只能保证D盘没毒了，重装C盘吧

作者: 水帖创作者 时间: 2006-9-15 12:56
我觉得你D盘好象也保不住勒,给你发点资料你看看吧..

作者: combo 时间: 2006-9-15 12:57
还有，杀毒后，再看看winnt目录下有没有rundl132文件，注意看噢。有点话，删调。

作者: 水帖创作者 时间: 2006-9-15 13:15
病毒自己运行后把病毒复制到Windows下,文件名是:%SystemRoot%\rundl132.exe

如果运行被感染的文件,病毒就会把病毒体复制到其他乱七八糟的文件:%SystemRoot%\logo_1.exe

而且这个病毒同时会在病毒文件夹下自己声成:病毒目录\vdll.dll

这个病毒从X盘开始向前寻找任何可用分区中的exe文件也就是传说中的执行文件啦.然后传染差不多大小27kb-10mb的exe文件，传染完成后在被传染的文件夹中再生成一个该死的东西.:_desktop.ini (这个文件的属性一般为:系统,隐藏.)

病毒会自行尝试修改这个文件:%SysRoot%\system32\drivers\etc\hosts.,

然后病毒开始修改注册表勒..,病毒通过添加如下注册表项实现病毒开机自动运行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\rundl132.exe"

病毒运行了以后会尝试查找窗体名为:<<<<<<RavMonClass>>>>>>的程序，找到窗体后发送口令关闭这个程序.,.!哎,,高手多阿..

然后开始对以下杀毒软件进程名，找到以后后终止运行(所以杀毒软件就不好使啦.):
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe

这个时候又开始勒...病毒尝试用以下命令终止一些杀毒软件:net stop "Kingsoft AntiVirus Service"

然后开始发送ICMP探测数据<<<Hello,World>>>>>,看看网络状态.,如果网络能用的时侯,
枚举内网所有共享的主机,,.并且对其用弱口令连接\\IPC$、\admin$等目录,,,,,.如果连接成功啦将进行网络感染..,

继续感染小白机器上的exe文件,但不碰小白机器上以下文件夹中的文件:

system
system32
windows
Documents and settings
system Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone

枚举系统进程,,..尝试将病毒dll也就是vdll.dll有选择性的加入以下进程名对应的程序:
Explorer
Iexplore
找到和条件一样的进程后随便注入以上两个进程中的一个,,..小白,好好看看哟。 .西西

当外网能用的时候,,被注入的dll文件试着连接以下网站下载并运行相关程序:
http://www.17**.com/gua/zt.txt 保存为:c:\1.txt
http://www.17**.com/gua/wow.txt 保存为:c:\1.txt
http://www.17**.com/gua/mx.txt 保存为:c:\1.txt

http://www.17**.com/gua/zt.exe 保存为:%SystemRoot%\0Sy.exe
http://www.17**.com/gua/wow.exe 保存为:%SystemRoot%\1Sy.exe
http://www.17**.com/gua/mx.exe 保存为:%SystemRoot%\2Sy.exe
小白,三个程序都为木马程序

病毒会把下载完的<<<1.txt>>>的内容加到以下注册表项里:
[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]
"ver_down0"="[boot loader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++"
"ver_down1"="[boot loader]
timeout=30
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" ////"
"ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" /////"
行勒..小弟弟也就懂这一点...有部分是复制的.,
这是这个病毒的运行方式...杀毒的办法呢有一个.,不过需要你破费啦.
另外你的D盘已经报废勒...

作者: 水帖创作者 时间: 2006-9-15 13:23
比较好的办法是:就是用我附件的那个专杀工具,如果不行的话,,看下面..
1.,就是格了C盘,重装系统,然后不安装任何软件,不运行其他程序,直接运行专杀工具..,
2.,.GHOST也许有效.但如果D盘的软件被感染了,则GHOST后,系统启动时,也会把D盘或其他盘的程序一起打开,可能再次中毒.如果GHOST无效,还是按照1的方法.

DubaTool_Viking.rar

124 KB, 下载次数: 92

维金专杀.

作者: 小白 时间: 2006-9-15 14:20
哈，那些东西我都看一次，也都杀了一次，再下个你的专杀工具吧，我没想法了

杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧杀吧

[s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20] [s:20]

作者: 夏天草莓 时间: 2006-9-15 14:25
小白疯了

作者: 小白 时间: 2006-9-15 14:32
快了，NND，重装电脑还要我下班后搬过去，晕死，对我又没关系的，到时候大家一起中毒，关我P事呀

作者: 夏天草莓 时间: 2006-9-15 14:33
说气话不利于解决问题的

作者: greenicexhl 时间: 2006-9-15 14:37

引用第2楼阿福于2006-09-15 11:41发表的“”:

有一天在起点是不是听你说过你都用GHOST的？

我用GHOST的～五分钟搞定

作者: 水帖创作者 时间: 2006-9-15 15:42
什么东西5分钟搞定..?

作者: greenicexhl 时间: 2006-9-15 16:50
就是一个操作系统的恢复程序而已

作者: iamdb 时间: 2006-9-16 00:06
GHOST，系统的镜像

作者: alonefire 时间: 2006-9-16 00:22
这里不是有人信息安全专业的吗？出来说两句啊

作者: jingo 时间: 2006-9-16 10:40

看上面的介绍这个病毒满牛的么......建议LZ重装完还是自己装个GHOST吧,用过的人都知道是非常实用的,我的习惯就是拔猫重装系统,然后是所有需要的软件,都装好了GHOST一下,以后一般情况下中毒中木马什么的恢复一下四五分钟就能搞定了.没有msconfig.exe的话网上下载一个放进system32文件夹里就能用了.还有建议重装完头一次启动进安全模式用专杀工具,可能是多此一举,但感觉更放心一点.
最后感叹下LZ的技术部好懒啊.......GHOST装系统顶多十分钟搞定了,一下下而已么.......

作者: alonefire 时间: 2006-9-16 11:14
msconfig.exe放哪里都可以用

作者: greenicexhl 时间: 2006-9-16 17:12
就是嘛

GHOST万岁

作者: 苏志南 时间: 2006-9-17 03:52
半夜里，为了能把第一页的最后更新全都刷成苏志南的名字，于是就在凌晨的此刻来回帖。
复制加粘帖，就是我的偷懒手段。
有点不安，就小小地鄙视了一下自己，然后继续。

欢迎光临单车之家-BikeHome.net (http://bbs.bikehome.net/)