endurer 原创
2006-11-02 第1版
昨晚来不及帮那位电脑中了Worm.Viking.dy的网友做详细检查,只算是初遇Worm.Viking.dy,今天中午正式开工。
那位网友电脑上的瑞星杀毒记录显示,今天上午又4次发现c:/winnt/Logo1_.exe感染了Worm.Viking.dy,已清除。
以前的Viking不止有Logo1_.exe,还应该有rundl132.exe(文件名中字母D后面的是英母字母L的小写,32前面的是数字1)。但在网页的电脑中找不到rundl132.exe。估计病毒刚侵入就被瑞星发现并清除了。那源头在哪里呢?
询问网友得知他的电脑是采用局域网共享方式上网的。那么病毒很可能是从局域网中的其它电脑传过来的。
让网友打开局域网中的另一台电脑上,然后QQ远程协助检查。
从 http://endurer.ys168.com 下载 HijackThis扫描 log,果然有收获:
/---------
Logfile of HijackThis v1.99.1
Scan saved at 12:36:52, on 2006-11-2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:/WINDOWS/Logo1_.exe
F3 - REG:win.ini: load=C:/WINDOWS/rundl132.exe
---------/
这台电脑没有安装杀毒软件,但有一键还原。
从 http://endurer.ys168.com 下载 瑞星杀毒助手 Aide4Rav,使用瑞星在线免费扫描,发现一大堆:
/---------
2006-11-2 13:42:34 瑞星杀毒助手
Windows XP Service Pack 2(5.1.2600)
文件名 病毒名
C:/WINDOWS/system32/wincfgs.exe Worm.UsbSpy.a
C:/WINDOWS/system32/wincfgs.exe.vir Worm.UsbSpy.a
C:/WINDOWS/system32/dllms.dll Trojan.PSW.WoWar.qq
C:/WINDOWS/system32/ztdll.dll Trojan.PSW.ZhengTu.sm
C:/WINDOWS/system32/dllwm.dll Trojan.PSW.Agent.ase
C:/WINDOWS/system32/hx2dll.dll Trojan.PSW.HX2Online.a
C:/WINDOWS/MTInstaller.exe Trojan.Small.icd
C:/WINDOWS/rundl132.exe>>uPack0.32 Worm.Viking.dy
C:/WINDOWS/Logo1_.exe>>uPack0.32 Worm.Viking.dy
C:/WINDOWS/SVCHOST.EXE Trojan.PSW.XYOnline.gf
C:/WINDOWS/RUNDLL32.exe Trojan.PSW.HX2Online.a
C:/WINDOWS/Download/svhost32.exe Trojan.PSW.ZhengTu.st
C:/WINDOWS/Dll.dll Worm.Viking.dz
C:/Program Files/Microsoft Office/OFFICE11/WINWORD.EXE>>uPack0.32 Worm.Viking.dy
……(各个盘都有EXE文件中标,略)
---------/
Viking不但感染EXE文件,还下载了一帮盗号木马……
都用瑞星杀毒助手调用右键菜单打包备份了,然后把盗号木马全部删除。
手工检查,在 C:/Program Files 发现一个 svchost32.exe,瑞星居然没报,打包备份后删除。
电脑已经中标了,不如顺便测试一下几个专杀工具的效果。
瑞星的专杀工具昨天测试,没有表现。
再试毒霸出的“维金”病毒专杀软件,更新时间:2006-09-15 文件大小:146 KB。结果发现:0。
再试江民出的威金蠕虫专杀,文件扩展名居然是.scr。扫描,发现并清除……
不好意思,下午上班时间到了……
现在那位网友还没上线,所以查杀效果还不知道。
估计病毒源就是这台没装杀毒软件的电脑,虽然有一键还原,但只是恢复C盘,其他盘中被感染的文件还存在,一运行病毒又会发作,而且还会影响到局域网中的其它电脑。
所以一键还原虽然很好,但杀毒软件还是少不了……