[讨论] Viking变种清除史上最完美攻略

经过了两天的日夜奋战，今天凌晨时终于把viking变种完全搞定。在之前在这里我也曾发过贴求助，但没有正确答案。所以在这里我把总结出的经验分享一下。! E9 b8 O. n* R" @. F' {( c
以下是我前两天的遭遇：
一次上网过后发现了一些可疑的进程。使用ecq-ps进程王来查看它们的路径，有些是病毒文件。有些则是通过正常系统进程如“svchost.exe csrss.exe“等作为勾子运行的dll和sys文件，我心里又想，这些小毛毒又来了，（我的系统装于04年，一直使用至今，中过无数次病毒，都被我统统搞定了，心想这次又来一个杀一个，来两个杀一双吧）。我用的双系统，重启进win98的dos手动删除以上路径的文件，再进winxp，删除以上文件相关的注册表键值。再进服务里边检查一下发现病毒残留的服务项目，还伪装得很好的。描述还和正常服务一个模样，什么管理系统应用程序的128位密钥传输的许可证服务。看了我都想笑。不过再看看源路径(文件名忘了)和依存关系，就露陷了。心想麻外行还可以。。二话不说machine\system\currentcontrol\sevices\下揪出来删！
重启，观察进程。一切恢复正常。喝口水。看会网络电视休息了。。可是就在这时真正的死神出现了。系统进程里突然暴出NN多病毒进程。瑞星也被关闭了，有些是刚才的有些不是。我慌了。先删除染毒的瑞星。(是昨天才升级的最新版啊）急忙用刚才的方法反复查杀多次，但每次启动后不久又会出现。。。且在98的纯dos下删除病毒文件时提示access denied（拒绝访问）时应该是内存驻留型的。于是冷启动再用windowsPE启动盘启动光盘里的PE操作系统，我想，PE内核都不一样，我看你还咱办。于是在PE里边删除病毒文件，果然这次启动进程恢复正常了。恢复完注册表。我就打开讯雷看一下我下载的工具软件，结果，又中标了。。。我开始总结：应该是把EXE文件感染了。不然怎么会无端多出些病毒进程出来。于是仔细看目录，发现被感染的exe文件下有exe.exe扩展名的文件，比如是acdsee.exe就会有acdsee.exe.exe并且文件图标丢失（不是网上说的那种在同目录下生成_desktop.ini文件，那是老版维金。我这个也有_desktop.ini，不过在c:\下，而且在D盘还会生成autorun.inf 及iexplorer.pif文件) 于是删除所有*.exe.exe文件，再次光盘启动删毒。这下进程虽然又恢复正常了。但是桌面上大多数的图标变成白的了。。心想这下完了，病毒感染了大多数exe文件。很多年没有遇到这样了。我又不敢启动这些程序，一启动包又中标，于是我安卡巴。安了6。0307，升级最新，安全模式下扫，正常模式下扫。。扫不出一点东西。又安6。04XX 还安5XXbeta最新的了，中英文都安过了，，扫不出。。。。。。。。。怒火！！！！（网上明明说卡巴扫得到的，我想都是针对旧版维金吧）于是再来卖咖啡(mcafee)，在线升级mcafee,扫描。。。结果卖咖啡也卖不脱。。。暴怒！！！！再于是找到金山、瑞星的专杀工具来，也是一个扫不到。。。狂怒！！！！。。我看了一下win98se\setup.exe的文件大小，和源光盘里的文件比较足足多了近60K。而且每个受感染的文件都同样多了近60K ，证明感染的是都是vking！！。。。江民的专杀工具能杀，不过还好我点停止点得快。。。因为我看了一下，它的所谓杀大多数都是删除！！！删除了我好几个exe文件呢。就算保留，保留下来的也是不能运行的僵尸文件。什么exe修复机根本不顶用。一边凉快！！* ^% D2 s" b; f5 ?" j
3 Q5 J7 b% |7 l, _
这下完了。绝望。这么多exe文件，打死我也不愿意格盘删'除。& u: \3 t# N. K7 w# j. b  a! S
1 e. g# o$ C- t0 F9 a
在网上看了一下维金的免疫方法。突然想起什么。。经过自己内心激烈的思想斗争于是作出了以下决定：
& u, c/ F6 |8 T0 y- O
我做了个试验,先将C盘做了个ghost,然后双击一个感染文件,系统进程出现viking,然后被双击这个exe文件图标,大小恢复正常.进程里首先出来三个文件。ghost恢复恢复。。这下有点眉目了+ m" E- S! |; w4 D8 K
就是在病毒原有目录下建一些0字节txt文件,改成病毒进程名,如:logon_1.exe 伪装一下,把它们改成只读,然后一个一个的点exe文件,让EXE文件中的异常代码释放入内存，再结束相应进程
说干就干。仿照先前三个文件在c:\windows\建立 logon_1.exe richdll.dll （有些维金版本不是这个dll名字，变种有不同。路径也不同。但原理相同）再在C:\windows\unistall下建立 RUNDL132.exe ，设只读
找出所有exe文件，网上说过只感染27Kb到10mb的exe文件，可我的10多20mb的文件也中标了，再次证明不是网上说的那种viking。。。开始一一双击释放。。。。。就这样。。。就这样。。它们快乐地流浪，就这样。它们为爱歌唱。。。狼爱上。。。。啪！！完了跑题挨臭鸡蛋了。8 p) F1 ]0 l# b: J8 D
*.* 2 ]2 |0 l$ }1 n- L
不是。。我只是形容一下上千个文件一一打开的漫长。。过了几个小时后。终于完成。。舒展下酸痛的腰。。重建图标缓存。。。。冷启动。。。0 ?. i9 G9 N9 p' p3 a0 L( c* Z
。。。。。。。。大功告成。。。至此。全部viking一个不留
  X# p4 P1 q  g
6 N/ B- g, k# J5 O: c
已经很久没有这样fighting过了# k0 g8 O( G2 V8 @+ }* ~
经过了这么长时间的周旋。已经对这个变种病毒的原理有初步了解。以下列出本人总结出的该病毒特征及清除方案：
viking"维金"病毒变种
应该算一个木马。互联网高度发展的产物
首先在被种植机器的系统盘下\windows目录下生成logon_1.exe RUNDL132.exe 还有一个dll文件，我的是richdll.dll，还有网上说的dll.dll vtd.dll什么五花八门的，反正就是dll文件,并加载入系统进程。删除不掉.4 K  z4 q: C; r9 Y! b* g
这些文件相互关联，结束进程并删除后马上又会出现。6 W6 b: W& M) z& J
自动禁用杀毒防火墙，并且感染防火墙文件
然后调用net share 命令打开$ipc命名管道共享。以传播到局域网上其它机器上.
释放出诸如rundll32.com services.exe finder.com iexplore.pif regedit.com dxdiag.com 1 G( x; H7 p7 F* }  Q, `$ m# ?
msconfig.com mhs.exe等文件,并修改注册表exe文件，网站链接，scr文件，未知（打开方式）文件，等常用文件的关联为iexplore.pif或以上的其它某个病毒程序.将exe文件改为自创的winfile文件类型，从而让每个exe文件运行时同时调用病毒，这招太狠了；更改文件查找检索方式关联为finder.com ；把原本用rundll32.exe文件调用的程序，如网上邻居属性，通过注册表改为带有rundll32.com的命令行。在 Hkey_local_machine或hkey_current_user\software\microsoft\windows\currentversion\run键值下添加名为load等字样的木马加载项。在currentversion\logon下也有。。。另外还改了些其它键值，这些只是较明显的。
检测可用驱动器。在其中生成_desktop.ini 或autorun.inf iexplore.pif 让双击操作变为“自动播放病毒”所以只能右击打开了。。。
最最可恨的就是感染所有驱动器上大于大约27KB的exe文件。加上约60KB的数据，文件图标丢失，目的在于被清除病毒后通过exe文件复活，当调用该句柄时自我释放为logon_1.exe rundl132.exe
并且恢复exe文件以便让它正常运行。。。
同时会自动从网上下载多达几十种其它类型的病毒，QQ盗号木马，热门网络游戏木马。至此，taskmgr任务管理器一团糟。。7 @% _. j2 d. Z
因为木马众多会影响清除效率及难度，内存占用超大，危险系数也大。这点不得不佩服。。

如果你的系统有以上状况，那么请follow they step:
首先你断开internet网,删除杀毒软件。因为它已被病毒感染，它在内存里只是添麻烦而已

重新安装杀毒软件，比较可以的有卡巴斯基、mcafee、江民，推荐用卡巴，安完马上重启。不要停留不然新的杀软会又中标的。安全模式下因为不能启用msiexec所以很多软件安不了% V4 J7 E1 o  N5 ~
冷启动或关机，拨电源也可，待光电鼠标灯不亮了再开机（呵呵太夸张了)
进入带网络连接的安全模式，（如果不能上网就还是进正常模式），用文件夹选项里面打开显示所有文件；取消隐藏系统文件复选框，选中显示已知文件扩展名；下载viking专杀工具，这里推荐江民的。下载"瑞星卡卡助手"用于以后修复注册表，如果为exe文件最好改下后缀名。以后运行时再改回来。升级杀毒软件为最新版。升了马上重启进入纯安全模式，只运行系统盘扫描。扫到的病毒名及路径用笔记下来。* @1 _2 V" M3 a; _$ _* ?
冷启动。。光盘或U盘启动dos，查找刚才记下来那些文件，有就删。我用的是windowsPE启动盘启动。所以免去了dos命令带来的麻烦，最主要要找到并删除上文说到的那些文件，这里很关键，一定要仔细找。
进入安全模式，运行regedit.exe （记住一定要输入.exe，因为如果没删干净，exe文件会被再度被作为winfile文件类型中的病毒命令行打开。）0 z" u) H3 O5 o) |; A4 k% }
按ctrl+f查找以上述文件的文件名的键值删除。
进入正常模式，这时可能因为杀毒引起不能上网了，用刚才下载的“瑞星卡卡助手”修复IE和注册表吧。顺便也扫一下刚才可能viking下载有的其它木马及残留（切记不要启动宽带拨号程序，因为Enternet500这类拨号程序己被感染，如果是xp下的默认拨号，也最好不要去动）
接下来进程应该干净了，就要处理被感染的exe文件了，如果你不想要这些文件可以选择直接用专查工具把它们杀烂，或查找直接删除，还省了下边的步骤。因为以下步骤最安全但容易累死人
仿制logon_1.exe rundl132.exe richdll.dll7 O" [) N$ L* D# y* l7 l! Q) ~" u
新建文本文档.txt，建三个，分别改为以上三个文件名。并且设为只读。放在平时它们感染的目录下。目录位置上文己提及。目的用于免疫，防止染毒exe文件释放出同名病毒文件。$ K$ Y$ L# |' G" N
也可使用gpedit.msc，组策略中用户配置\管理模板\系统\不要运行windows程序中，启用并添加logon_1.exe
rundl132.exe) S1 R  ^+ c, z" b& u7 ^8 j
也可使用mcafee杀毒软件中的文件规则，禁止在硬盘中新建*.exe *.com  文件  Z1 e' j6 j6 V
后两种限制方法我没试过，但理论上说是成立的+ i, V4 p, Z0 [; O( [( p% Z6 `  E
接下来按顺序分别查找每个盘上的exe文件。按大小排列结果，降序排列。旁边打开个任务管理器窗口，记下任务条目及数量。如进程数：22
双击空白图标exe文件，注意任务管理器变化。例：如果双击game.exe则，已染毒现象：任务管理器会多出一个进程叫game.exe 这时你再双击。或反复再双击。会看到又会多出game.exe，如果是基于16位兼容模式的程序，会出现一个ntvdm的进程，不影响，可结束。稍后你可能会发现net 和 net1 进程一闪而过，持续不到1秒，而后出现一个或多个cmd进程。这时请结束所有game.exe,cmd进程也会结束。病毒从内存中得到释放。可以再次双击如果不再产生cmd进程或能恢复正常图标，或能正常运行，证明该文件不再带毒。第二种情况：game.exe一会自动消失; U7 v7 O7 A! Y  N# n( D/ \
或每双击一次多出一个game.exe而没其它进程。说明此文件未被感染
一个一个分区，一个一个文件的测试。修复。当然，你要是烦了，可以将不重要的文件放一边。专心找自己心爱的exe文件。反正剩下的不重要的exe文件就留给江民专杀来杀烂得了。。无所谓# T/ X  t2 S8 K$ P3 y
辛苦工作完成后，也不必要重启，打开江民专杀来清理漏网之鱼吧。7 ~- I+ ?  ?$ [2 v: \8 n6 K/ O: f( H7 {9 P! y
查毒软推荐使用Mcafee（卖咖啡），查毒功能较强，且最强最具特色最实用之处在于他可以像设置IP安全策略那样设置禁止任何类型文件的建立，写入，修改，甚至读取！！，这在我们访问不可信站点或发现有木马苗头的时候大有帮助。即使查不出来我也不准你建文件改文件！强吧？？7 ?3 Q- d" O1 Z+ |
缺点就是占用内存资源太高，优化版的我都发现有七个进程。。晕。。。鱼和熊掌不可兼得啊。。" q$ N5 N1 @7 {9 ~
写了这么多，我尽量想到的都想到了。我曾如此辛苦，故不希望大家都绕弯路。但愿对大家有所帮助。2 a: ^1 ]+ Z/ @
最后发表我的一点看法，杀毒软件只是一个辅助工具。每个厂商的杀软都有优点有缺点。很多人就是把杀软看成无敌的了。认为中了毒，清一色杀毒扫描的做法。其实，很多时候甚至是心理安慰，障眼法。。我是从dos时代一路走来的，中过多种病毒。看到老师们用pctools及debug手动杀过不少毒，总结出：手动才是王道！！手动万岁。。
在E时代，我们要发扬取长补短的做法，把杀软的效率化，全面化，结合人工的仔细，灵活。这样才能尽心尽力像对待生活那样对待电脑

收藏分享评分

【QQ空间】【精彩内容请点这里】网管QQ群：【32012483】【46332965】【46332838】

回复引用

订阅 TOP

小GO