Board logo

标题: Virus.Win32.Alman.a病毒是什么病毒? [打印本页]
作者: sxq2128     时间: 2007-4-21 22:05    标题: Virus.Win32.Alman.a病毒是什么病毒?

我单位的一台微机卡巴发现Virus.Win32.Alman.a病毒,无法清除,只能删除感染的文件。因为该病毒感染.exe程序执行文件,所以好多.exe程序执行文件被删除,但系统中的病毒依旧存在,也无法保护文件避免感染。

希望微点能杀掉它,可刚安装后就被感染病毒,重启后不能启用杀毒软件。
网上一搜,有人说法吓人:因为该病毒感染.exe程序执行文件,而且到目前为止,还没有发现哪个杀毒软件能够修复被virut感染的EXE,只能选择隔离或删除。这样一来,中此病毒的系统,将会很惨,可能不得不备份文档后重装系统。

不知这是个什么病毒,怎么这么牛?这个作者又是个挨千刀的!
:mad:
作者: 曙光     时间: 2007-4-21 22:22
谢谢楼主对微点的支持,请你的微点安装包是什么版本的?是什么操作系统?微点在重起后,提示什么?你机器上卡巴是什么版本的?是否还有安装其他的监控软件?另外请楼主将你的联系方式已短消息的形式告诉我,谢谢!
作者: sxq2128     时间: 2007-4-21 22:55
最新版的4月16日的微点安装包,今天下午安装后还升级了程序和病毒库。
操作系统是XP,卡巴是KIS6.0 307版;安装后不久,卡巴即提示感染了病毒,但我没有清理和删除,选择了跳过;微点重启时不断有提示,好像是几个.exe文件错误
没有安装其他监控软件,象AVG Anti-Spyware7.5.0.50、360安全卫士、SpybotSD等软件的执行文件也感染病毒,被我删除了,发现就算把所有的.exe文件通通删除,也不能清除系统中的病毒,卡巴对.exe文件无法保护其不受感染。
作者: 曙光     时间: 2007-4-21 22:58
谢谢楼主,请你将你的联系方式,以短消息的形式发给我一下好吗,这样方便我和你联系!
作者: sxq2128     时间: 2007-4-21 23:42
参考http://bbs.360safe.com/viewthread.php?tid=159848
http://www.f-secure.co.jp/v-descs/v-descs3/Alan.A-jp.htm
http://www.symantec.com/security ... 4330-99&tabid=1

摘录:
有问题的文件包括
1  windows目录下的linkinfo.dll(33792 字节),正常的linkinfo.dll(19968 字节)在windows\system32目录下,该文件是病毒的感染与传播部分,一旦该文件启动之后,就会从网上下载apphelps.dll(有正常的apphelp.dl文件l,但不在该目录下) 到WINDOWS\AppPatch目录,并注入Explorer.exe,以及多种常见的网游客启端,并利用自带字典猜解局域网内所有机器的共享密码(SB,估计是从熊猫那学来的,基本上不会成功),若成功则将病毒文件复制过去,并启动守感染程序(ins.exe,只从代码中看出,不过我没有发现这个程序)和守护服务Riodrvs.sys(TMD,驱动),那像还会注入一些程序,没仔细看.

2 WINDOWS\system32\drivers下的Riodrvs.sys,正常的是riodrv.sys,这个程序估计是感染部分exe文件(我的一些exe文件坏了,有些没坏,看不出规律),阻止反编译软件,令IceSword,SMS之类强力工具不能启动用的,真是强,不过还没有分析这个文件.

还有没有不正常的文件还有待进一步分析.

初步的解决方案:
下载xdelbox最新版,先删除HKLM\System\CurrentControlSet\Services\Riodrv项,运行xdelbox后,选中"抑制再生"与"驱动安全删除"选项,删除以上提到的三文件,重启删除即可,部分被破坏的程序好像不能用了,但至少大多数还好,等等吧,等这个病毒流行之后,下个专杀工具再来处理.
作者: sxq2128     时间: 2007-4-22 21:59
该机器是单位业务的主要机子,使用的人员较杂,既上网、插U盘又负责局域网共享打印,平时无法作安全控制,只能依赖杀毒软件的防御,究竟如何感染的病毒,也已无法确认。因为发现病毒已侵害了部分系统执行文件,为不影响工作、浪费维护时间和避免感染局域网其他机器,经过一上午重要文档的逐一筛选、杀毒、刻录后,已于今天下午4点格式硬盘、重装系统,卡巴斯基没有再发现病毒。
在格盘之前,保留了360安全卫士作的诊断报告。
重装系统后重装了卡巴斯基、微点和AVG Anti-Spyware,希望微点的主动防御能保护系统、软件文件不受病毒感染侵害。
经历这次系统危机,真是令人对病毒更加痛恨和小心。
需要提醒的是如果感染的机子处于局域网,应停止这台机子的一切文件共享和局域网打印共享,以避免局域网病毒泛滥。
作者: kisssun     时间: 2007-4-23 01:08
谢谢分享!



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn