关于rundl132.exe vidll.dll LOGO1.exe 的清除方法_病毒查杀

最近有朋友问我关于这几个病毒的清理方法.口头上说的不是很详细,现在贴一个详细的分析和对策吧.
1、打开系统的“显示隐藏文件”并下载相应的杀毒软件和 维金EXE修复工具 (重要)
2、查看你的系统进程 结束可疑的病毒木马程序(用户名为你的当前用户) 如:rundl132.exe svchost32.exe logo1_.exe 可能还有SERVICES.EXE SMSS.EXE 等伪装的系统木马。可以用tskill 来结束这些进程。
3、找到木马所在的路径并删除,然后新建一个同名文件,并设置为只读 属性 (这点非常重要),(一般在C:\windows , C:\Program Files \ 你可以搜索来找到木马所在的路径。
4、修改注册表。 在注册表里启动项目的所有木马启动项目, 在注册表全面搜索 Rundl132.exe和Logo1_.exe 并删除.
5、用维金修复工具修复所有感染的exe文件。(可以到安全模式进行)

以下是这个病毒的原理(网上收集的)

进程文件: rundl132 或 rundl132.exe 
进程位置: windir 
程序名称: Troj_AutoCrat.b.enc或Worm.Viking.cp威金 
程序用途: 后门木马病毒以窃取信息为主。或最新的病毒名称:Worm.Viking.cp 中 文 名:“威金”蠕虫变种CP 
程序作者: 
系统进程: 否 
后台程序: 是 
使用网络: 是 
硬件相关: 否 
安全等级: 低 
进程分析: 该病毒修改win.ini文件实现自启动,使用与rundll32.exe相似的rundl132.exe文件名。病毒运行后打开后门端口,允许恶意攻击者控制计算机。
病毒名称:Worm.Viking.cp
中 文 名:“威金”蠕虫变种CP 
释放vidll.dll到任何可执行文件目录下。
该病毒修改注册表创建Run/Timer项实现自启动,病毒文件包括:0Sy.exe 1Sy.exe 2Sy.exe 3Sy.exe 4Sy.exe 5Sy.exe 6Sy.exe 7Sy.exe 8Sy.exe 9Sy.exe以及 0~9.exe等等 。

档案编号:CISRT2006004 
病毒名称:Worm.Win32.Viking.i(AVP) 
病毒别名:Worm.Viking.bp(瑞星) 
病毒大小:27,194 字节 
加壳方式:UPack 
样本MD5:fe498f7687658c33547d72151111b93f 
发现时间:2006.5.30 
更新时间:2006.6.1 
关联病毒: 
传播方式:通过QQ尾巴、恶意网站传播 
技术分析: 
1、运行后创建文件:
%Windows%\rundl132.exe 
\vDll.dll(当前目录) 
2、建立自启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] 
"load"="%Windows%\rundl132.exe" 
3、vDll.dll将插入Explorer.exe或iexplore.exe进程。 
4、病毒会使用net命令停止毒霸服务:
net stop "Kingsoft AntiVirus Service" 
5、尝试访问共享网络ipc$和admin$,发送ICMP用“Hello,World”探测。 
6、生成的一些记录文件:
C:\gamevir.txt 
C:\1.txt 
C:\log.txt 
7、变种Logo1_.exe会感染(捆绑).exe文件,在这个rundl132.exe的测试中没有发现感染(捆绑).exe文件的情况。 
感染(捆绑).exe文件,但不感染(捆绑)以下目录中的.exe:
system 
system32 
windows 
Documents and Settings 
System Volume Information 
Recycled 
winnt 
Program Files 
Windows NT 
WindowsUpdate 
Windows Media Player 
Outlook Express 
Internet Explorer 
ComPlus Applications 
NetMeeting 
Common Files 
Messenger 
Microsoft Office 
InstallShield Installation Information 
MSN 
Microsoft Frontpage 
Movie Maker 
MSN Gaming Zone 
8、尝试修改HOSTS文件:
%System32%\drivers\etc\hosts 
9、添加注册表信息:
[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW] 
"auto"="1" 
10、尝试访问网络下载其它木马病毒,有WOW、征途、QQ尾巴等木马。 

1.在系统目录下生成一些病毒文件,有0sy.exe,到9sy.exe,还有图标为QQ的,图为为迅雷的,为real播放器的,反正是很容易骗过你的图标,名称一律为rundl132.exe (32之前是个1不是l,rundll32.exe是系统文件,是不是很会骗人?)

2.把迅雷和winrar的程序文件替换掉使你无法运行这两个程序,其他的程序有没有被换掉我不知道,反正我看到了这两个软件是这样.

3.打开进程管理器可以看到有rundl1.exe cmd.exe winxxx.exe xxx为数字且为随机的且在C:\Documents and Settings\你的用户名\Local Settings\temp 下

时间: 2024-09-21 01:49:42

关于rundl132.exe vidll.dll LOGO1.exe 的清除方法_病毒查杀的相关文章

fjOs0r.dll、OnlO0r.dll 木马群的清除方法_病毒查杀

应该是有专门的生成器,遇到很多起了 不写分析了.. 解决方法: 1.下载sreng2.zip和IceSword120_cn.zip(以下简称冰刃) 下载后直接放桌面. 2.断开网络,关闭不需要的连接. 3.打开冰刃,设置-禁止线程创建,确定. 4.删除以下文件(如提示不存在文件不存在跳过即可): Code:  C:\Program Files\Common Files\fjOs0r.dll   31791 字节  C:\Program Files\Internet Explorer\OnlO0r

开机CPU就是100%cmd.exe病毒进程清除方法_病毒查杀

发布时间:2007-02-09  中毒症状:      开机CPU就是100%,查进程,原来是cmd.exe 占用了绝大部分的CPU.关闭cmd.exe后,CPU实用率恢复正常.但是再次开机的时候,CPU又是100%,cmd.exe 依然占用了绝大部分的CPU. 1.装了ewido 查杀木马,查出了几个感染目标,已删除.但是今 天早上开机,CPU又是100%,cmd.exe 依然占用了绝大部分的CPU. 2.再装"木马清除专家2006",查杀,结果没有发现木马. 3.查system 3

各分区根目录释放shell.exe,autorun.inf 的病毒清除方法_病毒查杀

病毒名:Trojan-psw.Win32.Magania.os 卡巴 Worm.Win32.Delf.ysa 瑞星  文件变化:  释放文件 C:\WINDOWS\system32\Shell.exe C:\WINDOWS\system32\Shell.pci C:\pass.dic 各分区根目录释放 shell.exe autorun.inf autorun.inf内容 [Autorun] OPEN=Shell.exe shellexecute=Shell.exe shell\Auto\com

autorun.inf和sbl.exe之U盘病毒的清除方法_病毒查杀

病毒生成如下文件: Code: C:\WINDOWS\system32\1.inf C:\WINDOWS\system32\chostbl.exe C:\WINDOWS\system32\lovesbl.dll 在每个分区下面创建autorun.inf和sbl.exe,并不断检测chostbl.exe的属性是否为隐藏 注册服务AnHao_VIP_CAHW 指向C:\WINDOWS\system32\chostbl.exe,达到开机启动的目的. 启动类型:自动 显示名称:A GooD DownLo

cdsdf.exe,kl.exe,explorcr.exe等病毒清除方法_病毒查杀

一:问题和症状: 中病毒,其它的病毒文件都好杀.就C:\WINDOWS\system32\cdsdf.exe杀毒软件杀不掉.用PowerRmv杀灭后抑制再生成也没有用.请帮忙解决 二:分析解决: 1. 杀毒前关闭系统还原(Win2000系统可以忽略): 右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可.  清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点"删除文件"按钮 ,将 删除所有脱机内容 打勾,点确定删除

SysLoad3.exe木马病毒的分析及清除方法_病毒查杀

使用前,请先断网,删除系统目录下的SysLoad3.exe以及1.exe,2.exe,...,7.exe,用IceSword删除临时目录下的那几个动态库.当任务管理器里没有iexplore.exe和notepad.exe的进程时,就可以运行这个恢复程序了.        特别注意:运行过程中,不要去运行其他程序,有可能你运行的那个程序就是带毒的!!  [b]二:以下是分析和手动清除方法:      昨天下午加班回来,发现本本的行为相当诡异.看了看任务管理器,有几个Ie的进程和几个Notepad的

webpageparser.dll丢失问题的解决方法_病毒查杀

一.问题的提出 1.案例一:来自网络求助 昨天中了个deskipn.all桌面媒体,今天折腾了一天,试了N种方法,单独用杀毒软件根本弄不了,安全模式下禁止进程启动,删除注册表都没用,在网上查,原来这东西是正常安装的,所以杀毒软件都直接查不了,还会修改,最后按别人说的方法把毒是杀了,可遗留下这个问题,每次开机后会弹出"没有找到webpageparser.dll(MS是桌面媒体的一部分源文件),因此这个应用程序未能启动.重新安装应用程序可能会修复此问题"的窗口.而且每启动一个程序都会弹出响

winfoams.dll,auto.exe,450381EC.EXE病毒的手动清除方法_病毒查杀

解决参考: 进行如下操作前,请不要进行任何双击打开磁盘的操作.所有下载的工具都直接放桌面上. 思路 1.安全模式下操作 强制删除文件 可借助xdelbox, powerRMV等. 复制代码 代码如下: C:\Autorun.inf  C:\auto.exe  d:\Autorun.inf  d:\auto.exe  e:\Autorun.inf  e:\auto.exe  f:\Autorun.inf  f:\auto.exe  g:\Autorun.inf  g:\auto.exe  C:\W

winsys16_070307.dll,WindowsUpdate.exe的清除方法_病毒查杀

一.提问: IE有被劫持,Userinit.exe被改了(日志略) 二.分析 1. 杀毒前关闭系统还原(Win2000系统可以忽略):右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可.   清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点"删除文件"按钮 ,将 删除所有脱机内容 打勾,点确定删除. 关闭QQ等应用程序.进行如下操作前,请不要进行任何双击打开磁盘的操作.所有下载的工具都直接放桌面上. 2.用强制删