囚中城
版主
微点茶室甜点师
积分 3808
发帖 3688
注册 2006-1-3
来自 拿灵魂换生命的地方
|
#1 穿透冰点等还原以及解决方法
我还没遇到过,所以不知微点对这木马有何动作
木马传播为
“看看啊. 我最近的照片~
才扫描到QQ象册上的 ^_^ !
http://www.(骗子或虚假QQ推广信息地址)search_2.shtml.cgi-client-entry.photo.39pic.com/qq%E5%83%8F%E5%86%8C2/”
此木马可以在局域网中传播,能穿透冰点
还原精灵的等还原软件。自动在QQ上发传播。而且病毒针对全盘,用ghost恢复C盘是没用的。
昨天1天就有上万家网吧被中木马,
大家小心
小心在小心。
PS 现在最大的问题不少网吧从新做母盘刻网吧,但是不到几天又种了.无奈
 图片附件: 图例.gif (2006-6-4 09:39, 19.5 K)
主要症状:
1、占用大量网速,使机器使用变得极慢.
2、会捆绑所有的EXE文件,只要一运用应用程序,在winnt下的logo1.exe图标就会相应变成应用程序图标.
3、有时还会时而不时地弹出一些程序框,有时候应用程序一起动就出错,有时候起动了就被强行退出.
4、网吧中只感梁win2k
pro版,server版及XP系统都不感染.
5、能绕过所有的还原软件.
详细技术信息:
病毒运行后,在%Windir%生成
Logo1_.exe
同时会在windws根目录生成一个名为"virDll.dll"的文件.
%WinDir%virDll.dll
该蠕虫会在系统注册表中生成如下键值:
[HKEY_LOCAL_MACHINESoftwareSoftDownloadWWW]
"auto"
=
"1"
盗取密码
病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码,将游戏密码发送到该木马病毒的植入者手中.
阻止以下杀毒软件的运行
病毒试图终止包含下列进程的运行,这些多为杀毒软件的进程.
包括卡八斯基,金山公司的毒霸.瑞星等.98%的杀毒软件运行.
国产软件在中毒后都被病毒杀死,是病毒杀掉-杀毒软件.如金山,瑞星等.哪些软件可以认出病毒.但是认出后不久就阵亡了.
通过写入文本信息改变"%System%driversetchosts"
文件.这就意味着,当受感染的计算机浏览许多站点时(包括众多反病毒站点),浏览器就会重定向到66.197.186.149.
病毒感染运行windows操作系统的计算机,并且通过开放的网络资源传播.一旦安装,蠕虫将会感染受感染计算机中的.exe文件.
该蠕虫是一个大小为82K的Windows
PE可执行文件.
通过本地网络传播
该蠕虫会将自己复制到下面网络资源:
ADMIN$
IPC$
症状
蠕虫会感染所有.exe的文件.但是,它不会感染路径中包含下列字符串的文件:
Program
Files
Common Files
ComPlus Applications
Documents and
Settings
NetMeeting
Outlook
Express
Recycled
system
System Volume
Information
system32
windows
Windows Media
Player
Windows
NT
WindowsUpdate
winnt
蠕虫会从内存中删除下面列出的进程:
EGHOST.EXE
IPARMOR.EXE
KAVPFW.EXE
KWatchUI.EXE
MAILMON.EXE
Ravmon.exe
ZoneAlarm
消除方法
有关这个病毒的消除方法(我也在别的地方看到的,现在我转载给大家看看)
下面我把此病毒的相关资料以及中了此病毒的解决办法说一下!
Worm.Logo.b病毒
“logo”蠕虫病毒,
该病毒通过IPC共享进行传播,会感染系统中的可执行文件。病毒还会从网上下载木马,从而窃取感染机器上的敏感信息。
一、“logo”(Worm.logo.b)
威胁级别:★★
据金山毒霸反病毒工程师介绍,该病毒通过IPC共享进行传播,会感染系统中的可执行文件。病毒还会从网上下载木马,从而窃取感染机器上的敏感信息。由于该病毒通过IPC$弱密码进行传播,所以建议用户特别是局域网用户在杀毒前,断网并将管理员密码设置较为复杂,以防止杀毒后再次感染。
主要症状:
1、占用大量网速,使机器使用变得极慢。
2、会捆绑所有的EXE文件,只要一运用应用程序,在winnt下的logo1.exe图标就会相应变成应用程序图标。
3、有时还会时而不时地弹出一些程序框,有时候应用程序一起动就出错,有时候起动了就被强行退出。
4、网吧中只感梁win2k pro版,server版及XP系统都不感染。
5、能绕过所有的还原软件。详细技术信息:
病毒运行后,在%Windir%生成 Logo1_.exe 同时会在windws根目录生成一个名为"virDll.dll"的文件。
%WinDir%\virDll.dll该蠕虫会在系统注册表中生成如下键值:[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]"auto" = "1"
盗取密码
病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码,将游戏密码发送到该木马病毒的植入者手中。
阻止以下杀毒软件的运行
病毒试图终止包含下列进程的运行,这些多为杀毒软件的进程。 包括卡八斯基,金山公司的毒霸。瑞星等。98%的杀毒软件运行。国产软件在中毒后都被病毒杀死,是病毒杀掉-杀毒软件。如金山,瑞星等。哪些软件可以认出病毒。但是认出后不久就阵亡了。通过写入文本信息改变"%System%\drivers\etc\hosts" 文件。这就意味着,当受感染的计算机浏览许多站点时(包括众多反病毒站点),浏览器就会重定向到66.197.186.149。
病毒感染运行windows操作系统的计算机,并且通过开放的网络资源传播。一旦安装,蠕虫将会感染受感染计算机中的.exe文件。该蠕虫是一个大小为82K的Windows PE可执行文件。通过本地网络传播该蠕虫会将自己复制到下面网络资源:ADMIN$ IPC$症状蠕虫会感染所有.exe的文件。但是,它不会感染路径中包含下列字符串的文件: \Program Files
Common Files
ComPlus Applications
Documents and Settings
NetMeeting
Outlook Express
Recycled
system
System Volume Information
system32
windows
Windows Media Player
Windows NT
WindowsUpdate
winnt蠕虫会从内存中删除下面列出的进程:
EGHOST.EXE
IPARMOR.EXE
KAVPFW.EXE
KWatchUI.EXE
MAILMON.EXE
Ravmon.exe
ZoneAlarmHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot] winlogo 项把WINLOGO 项 后面的C:\WINNT\SWS32.DLL 干掉(就是删掉的意思^_^)接下来把HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/Run 键中 /RunOnce/RunOnceEx 两个中其中有个是也是C:\WINNT\SWS32.dll 把类似以上的全部删掉 注意不要删除默认的键值(删了的话后果自负)
三 结束进程按
“Ctrl+Alt+Del”键弹出任务管理器,找到SWS32 进程,名字记不大清楚了,反正看到最多的进程就杀杀杀!!!!还有几个很少看到的进程。什么AUS***之类的都干掉他。找到EXPL0RER.EXE进程(注意第5个字母是数字0不是字母O),找到它后选中它并点击“结束进程”以结束掉木马进程。然后迅速做下面一步,只所以要迅速是因为如果动作慢的话,木马可能会自动恢复而再次运行起来,这样就无法删除掉其他木马文件了(如果EXPL0RER.EXE进程再次运行起来需要重做这一步)。PS:做系统的时候把默认共享关闭。关闭IPC$ ADMIN$ 关闭554 关闭ICMP路由。给ADMINISTRATOR 组所有成员设置密码。最好数字加英文
LOGO1_.exe 免疫补丁制作如下:
1 编写批处理文件。开机自动删除logo1_.exe 作用是即使中了该病毒,由于开机后自动删除该病毒。那 么该病毒永远无法发作。批处理文件内容如下:del c:\winnt\logo1_.exe (就这一行。先保存为记事本,然后保存为.bat的批处理文件。
2 设置改批处理开机自动运行。修改注册表 加入以下项Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"auto"="E:\\网络游戏\\auto.bat"
把上端文本保存为 .REG 文件。然后导入注册表。{ E:\\网络游戏\\auto.bat } 该路径为你刚刚编写批处理所在的目录。很重要。
好了到此为止你可以安心睡觉去了。。不用再怕那可恶的LOGO1_.exe 了。。
本人再次强调一点。如果该病毒已经在你电脑里发作了。那么还是不要去救了。。直接重新克盘吧。如果没有发作。那么用上面方法可以救活你的电脑。判断依据是 看看网络游戏图标有没有变色。还有c:\winnt 目录下有没有KILL.exe sws.dll sws32.dll 文件。
判断是否中了这个病毒 最明显的就是 你的EXE文件是否 变色。。。。如果发现好多EXE文件已变色。。。那已代表 你中毒已深。。病毒已经捆绑到EXE文件了。运行变色的EXE,就是运行病毒啦 然后就是看你的进程 logo1_exe,rundl132.exe,12.exe,svchs0t.exe
有了这几个 那您就得注意啦
还有一个与之相关的VDLL.DLL文件。。在C盘根目录底下。。
如果是服务器中毒了 。。直接格式化吧。。别犹豫了。。。
我第一次中标后 大意了下 只是GHOST恢复了下服务器的系统
谁知道 过了2天可又复发了。。。 然后我就忍痛把全盘给格了。。。。然后问题算是解决了。。
另外特别提醒下
这可恶的病毒是会通过网络传播的
而且速度很快 只有你有1台机子中毒 3分钟
他就会开始传播别的机子 中此病毒的哥们
最好仔细检查你的每台 客户机子 因为他可以饶过某些还原卡和还原软件
我中这个病毒的原因 是因为用了 那个CCDISK1.3 破解的 我也忘记是从哪下的了
是安装他那个硬盘序列号修改工具 感染 我也不晓得谁那么阴险 怎么把病毒捆绑到那个软件的 还有我后来发现的
下载的电影里 也有可能会感染那个病毒。。。
建议大家 新下载的东西 首先要杀毒`````
-------------------------------------------------------------------------
中病毒的情况:
1. CPU占有率非常 系统奇慢无比(占有率高的时候反而变低 占有率为零的时候反而100%)
2. 进程里有个叫 logo1_.exe的进程 删了又弹出来(先弹出cmd.exe后弹出logo1_.exe)
3. %windir%下有个叫logo1_.exe的文件 图标会随上面进程被删的次数变化万千 并且删后又回重生。
4. 最显著的特点就是硬盘里的文件图标被改的乱七八糟(不是变大或变小 就是变色或...)
5. 关闭一些杀毒软件的进程
1.绝对不能重启电脑(否则病毒会橄榄更多的文件 想重启也启不了了)
2.留个IE和进程管理器 把explorer,logo1.exe,cmd.exe=进程关掉(对explorer也要关 不然病毒会根据这个进程 每1分种 加载一次)还有按上面的顺序关 关的时候要迅速 如果又出来 再关! 要快
3.下面留个IE在线 杀毒 由于现在只有金山=少数软件可以杀 所以去www.kingsoft.com在线杀毒,记住是杀毒 不是查毒,,由于杀毒要钱(为了电脑 发5元),可以拨168*****申请杀毒号(号码我忘了自己看看),让后用全面杀毒查杀。杀好后图标都会还原。
网上说明:
主要症状:
1、占用大量网速,使机器使用变得极慢。
2、会捆绑所有的EXE文件,只要一运用应用程序,在winnt下的logo1.exe图标就会相应变成应用程序图标。
3、有时还会时而不时地弹出一些程序框,有时候应用程序一起动就出错,有时候起动了就被强行退出。
4、网吧中只感梁win2k pro版,server版及XP系统都不感染。
5、能绕过所有的还原软件。
安全防范:
关闭内网共享SERVER服务,修改QQ-DLL文件,禁止打开网页。最重要的是关闭端口及用HOSTS屏蔽该网址,从路由彻底封杀。据我所知,DF5.70-220-1426以上的版本可以抵住。但如果不保护游戏盘的,装了新版DF也是白搭,因为该病毒是全盘感染,类似Win32变种白蚁的那类。但可怕的是该病毒可以穿偷还原。
| |
※ ※ ※ 本文纯属【囚中城】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
|
