微点交流论坛

标题: 求助：如何清除Worm.Viking.tl病毒？ [打印本页]

作者: argot 时间: 2009-2-9 10:19 标题: 求助：如何清除Worm.Viking.tl病毒？

如题，请高手帮忙。
公司的机子，装有瑞星这个垃圾，文件规定不能卸载瑞星，所以。。。

作者: zqrsc 时间: 2009-2-9 10:32
病毒名称：Worm.Viking.tl（rising）
病毒大小：95,232 字节
加壳方式：无
MD5：24785A0619735BFB63A5B7FFA27C7821
SHA1：90B3C687D7BBF473620F5889ED2D09AD31751256
病毒类型：感染
感染方式：在正常文件体前方追加病毒体

该病毒为原始病毒样本，它体内还包括一个dll文件，释放后名字为RichDll.dll。
病毒运行后，首先释放自己到系统目录：
%Windir%\uninstall\rundl132.exe(注意字母拼写)
%Windir%\RichDll.dll
修改注册表：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
load = %WINDOWS%\UNINSTALL\RUNDL132.EXE

随后创建感染线程：遍历硬盘文件夹，找到可执行文件进行感染。

工具清除：请用威金病毒专杀（建议）
手动清除：
1在进程列表中终止病毒进程；
2删除文件并清除注册表键值
%Windir%\uninstall\rundl132.exe(注意字母拼写)
%Windir%\RichDll.dll
3用二进制编辑工具打开感染后的文件，（这里以hexshop为例）
i：将光标偏移到16进制17400(此处更新于6月18日，大多少感染后都是此大小)处，按住快捷键Ctrl+Home，点击删除“delete”，保存，ok。
ii：（该方法仅适合对PE格式熟悉的人）搜索ASC码“MZ”，（第一个MZ是病毒主文件，第二次找到的是dll文件）第三个MZ才是原始文件。

--------------------------------------------------------
鉴于楼主的实际情况，可能存在大面积的可执行程序感染，为了修复被感染文件，建议楼主使用一些专杀工具，避免手工修复。同时推荐楼主向贵公司的网管部门提出新安全软件换装测试动议。
:P

[ Last edited by zqrsc on 2009-2-9 at 10:36 ]

作者: wsmurderer 时间: 2009-2-10 19:32
文件规定。。。。无语。。。

作者: 凡间幽灵 时间: 2009-2-11 11:17
用专杀吧，比较简单快捷方便有效，如果对自己动手能力有信心，也可手工尝试
唉可悲的文件规定啊

作者: 御剑临风 时间: 2009-2-11 13:34
4楼说的是实话呵呵

作者: argot 时间: 2009-2-16 12:02
装微点后，病毒显示已经被处理成功，可是重启之后，还是会再次出现，并且连续很多天都是这情况。
请问，如何才能完全清除呢？

注：机子系统为2000服务版，不能随意重启和长时间处于安全模式（别的机子要调用数据）。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn