找回密码
 注册

QQ登录

只需一步,快速开始

查看: 1637|回复: 0

Viking变种清除史上最完美攻略

[复制链接]
发表于 2009-6-2 19:30:24 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
过了两天的日夜奋战,今天凌晨时终于把viking变种完全搞定。在之前在这里我也曾发过贴求助,但没有正确答案。所以在这里我把总结出的经验分享一下。

以下是我前两天的遭遇:

一次上网过后发现了一些可疑的进程。使用ecq-ps进程王来查看它们的路径,有些是病毒文件。有些则是通过正常系统进程如“svchost.exe csrss.exe“等作为勾子运行的dll和sys文件,我心里又想,这些小毛毒又来了,(我的系统装于04年,一直使用至今,中过无数次病毒,都被我统统搞定了,心想这次又来一个杀一个,来两个杀一双吧)。我用的双系统,重启进win98的dos手动删除以上路径的文件,再进winxp,删除以上文件相关的注册表键值。再进服务里边检查一下发现病毒残留的服务项目,还伪装得很好的。描述还和正常服务一个模样,什么管理系统应用程序的128位密钥传输的许可证服务。看了我都想笑。不过再看看源路径(文件名忘了)和依存关系,就露陷了。心想麻外行还可以。。二话不说machinesystemcurrentcontrolsevices下揪出来删!

重启,观察进程。一切恢复正常。喝口水。看会网络电视休息了。。可是就在这时真正的死神出现了。系统进程里突然暴出NN多病毒进程。瑞星也被关闭了,有些是刚才的有些不是。我慌了。先删除染毒的瑞星。(是昨天才升级的最新版啊)急忙用刚才的方法反复查杀多次,但每次启动后不久又会出现。。。且在98的纯dos下删除病毒文件时提示access denied(拒绝访问)时应该是内存驻留型的。于是冷启动再用windowsPE启动盘启动光盘里的PE操作系统,我想,PE内核都不一样,我看你还咱办。于是在PE里边删除病毒文件,果然这次启动进程恢复正常了。恢复完注册表。我就打开讯雷看一下我下载的工具软件,结果,又中标了。。。我开始总结:应该是把EXE文件感染了。不然怎么会无端多出些病毒进程出来。于是仔细看目录,发现被感染的exe文件下有exe.exe扩展名的文件,比如是acdsee.exe就会有acdsee.exe.exe并且文件图标丢失(不是网上说的那种在同目录下生成_desktop.ini文件,那是老版维金。我这个也有_desktop.ini,不过在c:下,而且在D盘还会生成autorun.inf 及iexplorer.pif文件) 于是删除所有*.exe.exe文件,再次光盘启动删毒。这下进程虽然又恢复正常了。但是桌面上大多数的图标变成白的了。。心想这下完了,病毒感染了大多数exe文件。很多年没有遇到这样了。我又不敢启动这些程序,一启动包又中标,于是我安卡巴。安了6。0307,升级最新,安全模式下扫,正常模式下扫。。扫不出一点东西。又安6。04XX 还安5XXbeta最新的了,中英文都安过了,,扫不出。。。。。。。。。怒火!!!!(网上明明说卡巴扫得到的,我想都是针对旧版维金吧)于是再来卖咖啡(mcafee),在线升级mcafee,扫描。。。结果卖咖啡也卖不脱。。。暴怒!!!!再于是找到金山、瑞星的专杀工具来,也是一个扫不到。。。狂怒!!!!。。我看了一下win98sesetup.exe的文件大小,和源光盘里的文件比较足足多了近60K。而且每个受感染的文件都同样多了近60K ,证明感染的是都是vking!!。。。江民的专杀工具能杀,不过还好我点停止点得快。。。因为我看了一下,它的所谓杀大多数都是删除!!!删除了我好几个exe文件呢。就算保留,保留下来的也是不能运行的僵尸文件。什么exe修复机根本不顶用。一边凉快!!



这下完了。绝望。这么多exe文件,打死我也不愿意格盘删除。



在网上看了一下维金的免疫方法。突然想起什么。。经过自己内心激烈的思想斗争于是作出了以下决定:



我做了个试验,先将C盘做了个ghost,然后双击一个感染文件,系统进程出现viking,然后被双击这个exe文件图标,大小恢复正常.进程里首先出来三个文件。ghost恢复恢复。。这下有点眉目了

就是在病毒原有目录下建一些0字节txt文件,改成病毒进程名,如:logon_1.exe 伪装一下,把它们改成只读,然后一个一个的点exe文件,让EXE文件中的异常代码释放入内存,再结束相应进程

说干就干。仿照先前三个文件在c:windows建立 logon_1.exe richdll.dll (有些维金版本不是这个dll名字,变种有不同。路径也不同。但原理相同)再在C:windowsunistall下建立 RUNDL132.exe ,设只读

找出所有exe文件,网上说过只感染27Kb到10mb的exe文件,可我的10多20mb的文件也中标了,再次证明不是网上说的那种viking。。。开始 一 一双击释放。。。。。就这样。。。就这样。。它们快乐地流浪,就这样。它们为爱歌唱。。。狼爱上。。。。啪!!完了跑题挨臭鸡蛋了。

*.*

不是。。我只是形容一下上千个文件一 一打开的漫长。。过了几个小时后。终于完成。。舒展下酸痛的腰。。重建图标缓存。。。。冷启动。。。

。。。。。。。。大功告成。。。至此。全部viking一个不留





已经很久没有这样fighting过了

经过了这么长时间的周旋。已经对这个变种病毒的原理有初步了解。以下列出本人总结出的该病毒特征及清除方案:

viking"维金"病毒 变种

应该算一个木马。互联网高度发展的产物

首先在被种植机器的系统盘下windows目录下生成logon_1.exe RUNDL132.exe 还有一个dll文件,我的是richdll.dll,还有网上说的dll.dll vtd.dll什么五花八门的,反正就是dll文件,并加载入系统进程。删除不掉.

这些文件相互关联,结束进程并删除后马上又会出现。

自动禁用杀毒防火墙,并且感染防火墙文件

然后调用net share 命令打开$ipc命名管道共享。以传播到局域网上其它机器上.

释放出诸如rundll32.com services.exe finder.com iexplore.pif regedit.com dxdiag.com

msconfig.com mhs.exe等文件,并修改注册表exe文件,网站链接,scr文件,未知(打开方式)文件,等常用文件的关联为iexplore.pif或以上的其它某个病毒程序.将exe文件改为自创的winfile文件类型,从而让每个exe文件运行时同时调用病毒,这招太狠了;更改文件查找检索方式关联为finder.com ;把原本用rundll32.exe文件调用的程序,如网上邻居属性,通过注册表改为带有rundll32.com的命令行。在 Hkey_local_machine或hkey_current_usersoftwaremicrosoftwindowscurrentversion
un键值下添加名为load等字样的木马加载项。在currentversionlogon下也有。。。另外还改了些其它键值,这些只是较明显的。

检测可用驱动器。在其中生成_desktop.ini 或autorun.inf iexplore.pif 让双击操作变为“自动播放病毒”所以只能右击打开了。。。

最最可恨的就是感染所有驱动器上大于大约27KB的exe文件。加上约60KB的数据,文件图标丢失,目的在于被清除病毒后通过exe文件复活,当调用该句柄时自我释放为logon_1.exe rundl132.exe

并且恢复exe文件以便让它正常运行。。。

同时会自动从网上下载多达几十种其它类型的病毒,QQ盗号木马,热门网络游戏木马。至此,taskmgr任务管理器一团糟。。

因为木马众多会影响清除效率及难度,内存占用超大,危险系数也大。这点不得不佩服。。



如果你的系统有以上状况,那么请follow they step:

首先你断开internet网,删除杀毒软件。因为它已被病毒感染,它在内存里只是添麻烦而已



重新安装杀毒软件,比较可以的有卡巴斯基、mcafee、江民,推荐用卡巴,安完马上重启。不要停留不然新的杀软会又中标的。安全模式下因为不能启用msiexec所以很多软件安不了

冷启动或关机,拨电源也可,待光电鼠标灯不亮了再开机(呵呵太夸张了)

进入带网络连接的安全模式,(如果不能上网就还是进正常模式),用文件夹选项里面打开显示所有文件;取消隐藏系统文件复选框,选中显示已知文件扩展名;下载viking专杀工具,这里推荐江民的。下载"瑞星卡卡助手"用于以后修复注册表,如果为exe文件最好改下后缀名。以后运行时再改回来。升级杀毒软件为最新版。升了马上重启进入纯安全模式,只运行系统盘扫描。扫到的病毒名及路径用笔记下来。

冷启动。。光盘或U盘启动dos,查找刚才记下来那些文件,有就删。我用的是windowsPE启动盘启动。所以免去了dos命令带来的麻烦,最主要要找到并删除上文说到的那些文件,这里很关键,一定要仔细找。

进入安全模式,运行regedit.exe (记住一定要输入.exe,因为如果没删干净,exe文件会被再度被作为winfile文件类型中的病毒命令行打开。)

按ctrl+f查找以上述文件的文件名的键值删除。

进入正常模式,这时可能因为杀毒引起不能上网了,用刚才下载的“瑞星卡卡助手”修复IE和注册表吧。顺便也扫一下刚才可能viking下载有的其它木马及残留(切记不要启动宽带拨号程序,因为Enternet500这类拨号程序己被感染,如果是xp下的默认拨号,也最好不要去动)

接下来进程应该干净了,就要处理被感染的exe文件了,如果你不想要这些文件可以选择直接用专查工具把它们杀烂,或查找直接删除,还省了下边的步骤。因为以下步骤最安全但容易累死人

仿制logon_1.exe rundl132.exe richdll.dll

新建文本文档.txt,建三个,分别改为以上三个文件名。并且设为只读。放在平时它们感染的目录下。目录位置上文己提及。目的用于免疫,防止染毒exe文件释放出同名病毒文件。

也可使用gpedit.msc,组策略中用户配置管理模板系统不要运行windows程序中,启用并添加logon_1.exe

rundl132.exe

也可使用mcafee杀毒软件中的文件规则,禁止在硬盘中新建*.exe *.com 文件

后两种限制方法我没试过,但理论上说是成立的

接下来按顺序分别查找每个盘上的exe文件。按大小排列结果,降序排列。旁边打开个任务管理器窗口,记下任务条目及数量。如进程数:22

双击空白图标exe文件,注意任务管理器变化。例:如果双击game.exe则, 已染毒现象:任务管理器会多出一个进程叫game.exe 这时你再双击。或反复再双击。会看到又会多出game.exe,如果是基于16位兼容模式的程序,会出现一个ntvdm的进程,不影响,可结束。稍后你可能会发现net 和 net1 进程一闪而过,持续不到1秒,而后出现一个或多个cmd进程。这时请结束所有game.exe,cmd进程也会结束。病毒从内存中得到释放。可以再次双击如果不再产生cmd进程或能恢复正常图标,或能正常运行,证明该文件不再带毒。第二种情况:game.exe一会自动消失

或每双击一次多出一个game.exe而没其它进程。说明此文件未被感染

一个一个分区,一个一个文件的测试。修复。当然,你要是烦了,可以将不重要的文件放一边。专心找自己心爱的exe文件。反正剩下的不重要的exe文件就留给江民专杀来杀烂得了。。无所谓

辛苦工作完成后,也不必要重启,打开江民专杀来清理漏网之鱼吧。

查毒软推荐使用Mcafee(卖咖啡),查毒功能较强,且最强最具特色最实用之处在于他可以像设置IP安全策略那样设置禁止任何类型文件的建立,写入,修改,甚至读取!!,这在我们访问不可信站点或发现有木马苗头的时候大有帮助。即使查不出来我也不准你建文件改文件!强吧??

缺点就是占用内存资源太高,优化版的我都发现有七个进程。。晕。。。鱼和熊掌不可兼得啊。。

写了这么多,我尽量想到的都想到了。我曾如此辛苦,故不希望大家都绕弯路。但愿对大家有所帮助。

最后发表我的一点看法,杀毒软件只是一个辅助工具。每个厂商的杀软都有优点有缺点。很多人就是把杀软看成无敌的了。认为中了毒,清一色杀毒扫描的做法。其实,很多时候甚至是心理安慰,障眼法。。我是从dos时代一路走来的,中过多种病毒。看到老师们用pctools及debug手动杀过不少毒,总结出:手动才是王道!!手动万岁。。

在E时代,我们要发扬取长补短的做法,把杀软的效率化,全面化,结合人工的仔细,灵活。这样才能尽心尽力像对待生活那样对待电脑

  
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|小黑屋|维修人员 ( 鲁ICP备17033090号 )

GMT+8, 2024-12-5 10:24 , Processed in 0.223365 second(s), 17 queries .

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表