微点交流论坛 - 反病毒 - 求助：如何清除Worm.Viking.tl病毒？

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 反病毒 » 求助：如何清除Worm.Viking.tl病毒？

argot
新手上路

积分 24
发帖 24
注册 2007-8-18

#1 求助：如何清除Worm.Viking.tl病毒？

如题，请高手帮忙。
公司的机子，装有瑞星这个垃圾，文件规定不能卸载瑞星，所以。。。

※ ※ ※ 本文纯属【argot】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-2-9 10:19

zqrsc
版主

反病毒区版主

积分 1133
发帖 1118
注册 2005-11-22
来自 .net

#2

病毒名称：Worm.Viking.tl（rising）
病毒大小：95,232 字节
加壳方式：无
MD5：24785A0619735BFB63A5B7FFA27C7821
SHA1：90B3C687D7BBF473620F5889ED2D09AD31751256
病毒类型：感染
感染方式：在正常文件体前方追加病毒体

该病毒为原始病毒样本，它体内还包括一个dll文件，释放后名字为RichDll.dll。
病毒运行后，首先释放自己到系统目录：
%Windir%\uninstall\rundl132.exe(注意字母拼写)
%Windir%\RichDll.dll
修改注册表：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
load = %WINDOWS%\UNINSTALL\RUNDL132.EXE

随后创建感染线程：遍历硬盘文件夹，找到可执行文件进行感染。

工具清除：请用威金病毒专杀（建议）
手动清除：
1在进程列表中终止病毒进程；
2删除文件并清除注册表键值
%Windir%\uninstall\rundl132.exe(注意字母拼写)
%Windir%\RichDll.dll
3用二进制编辑工具打开感染后的文件，（这里以hexshop为例）
i：将光标偏移到16进制17400(此处更新于6月18日，大多少感染后都是此大小)处，按住快捷键Ctrl+Home，点击删除“delete”，保存，ok。
ii：（该方法仅适合对PE格式熟悉的人）搜索ASC码“MZ”，（第一个MZ是病毒主文件，第二次找到的是dll文件）第三个MZ才是原始文件。

--------------------------------------------------------
鉴于楼主的实际情况，可能存在大面积的可执行程序感染，为了修复被感染文件，建议楼主使用一些专杀工具，避免手工修复。同时推荐楼主向贵公司的网管部门提出新安全软件换装测试动议。

[ Last edited by zqrsc on 2009-2-9 at 10:36 ]

※ ※ ※ 本文纯属【zqrsc】个人意见，与【微点交流论坛】立场无关※ ※ ※

偶在~ 偶一直在~ 偶永远都在~偶不可救药的无处不在~

2009-2-9 10:32

wsmurderer
高级用户

积分 676
发帖 668
注册 2008-11-21

#3

文件规定。。。。无语。。。

※ ※ ※ 本文纯属【wsmurderer】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-2-10 19:32

凡间幽灵
银牌会员

积分 1329
发帖 1295
注册 2008-11-27

#4

用专杀吧，比较简单快捷方便有效，如果对自己动手能力有信心，也可手工尝试
唉可悲的文件规定啊

※ ※ ※ 本文纯属【凡间幽灵】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-2-11 11:17

御剑临风
禁止发言

威武大将军

积分 2135
发帖 2192
注册 2008-8-22

#5

4楼说的是实话呵呵

※ ※ ※ 本文纯属【御剑临风】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-2-11 13:34

argot
新手上路

积分 24
发帖 24
注册 2007-8-18

#6

装微点后，病毒显示已经被处理成功，可是重启之后，还是会再次出现，并且连续很多天都是这情况。
请问，如何才能完全清除呢？

注：机子系统为2000服务版，不能随意重启和长时间处于安全模式（别的机子要调用数据）。

※ ※ ※ 本文纯属【argot】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-2-16 12:02

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号