节后 威金/Viking 来拜年
endurer 原创
2007-02-26 第1版
一位同事说他的电脑工作异常,让偶帮忙检查看看。
到 http://endurer.ys168.com 下载了 HijackThis 扫描log,发现可疑项:
/-----
Logfile of HijackThis v1.99.1
Scan saved at 9:04:52, on 2007-2-26
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:/WINDOWS/Logo1_.exe
E:/QQGAME/POCKET~1/PocketRPG.exe
F3 - REG:win.ini: load=C:/WINDOWS/rundl132.exe
-----/
看到 Logo1_.exe 和 rundl132.exe,很容易联想到威金/Viking。
PocketRPG.exe 这个东东用 Google搜索 没有找到相关信息,用搜狗/sogou找到2条,用baidu 也没找到。
到 http://endurer.ys168.com 下载了 瑞星杀毒助手,使用瑞星在线免费查毒扫描C盘,结果如下:
/-----
2007-2-26 9:41:18 瑞星杀毒助手
Windows XP Service Pack 2(5.1.2600)
文件名 病毒名
C:/WINDOWS/system32/drivers/339267.sys RootKit.CnsProt.a
C:/WINDOWS/system32/drivers/119822.sys RootKit.CnsProt.a
C:/WINDOWS/system32/drivers/199617.sys RootKit.CnsProt.a
C:/WINDOWS/system32/dhgart37.dll Trojan.DL.QQHelper.emi
C:/WINDOWS/system32/ntabhor.exe Trojan.PSW.Agent.ihd
C:/WINDOWS/Dll.dll Worm.Viking.dv
-----/
瑞星在线免费查毒虽然没有报 Logo1_.exe 和 rundl132.exe,但 pe_xscan 和 HijackThis 的 log 都没有发现进程 C:/WINDOWS/Logo1_.exe。
回来后用瑞星杀毒软件扫描,两个都报了。看来瑞星在线免费查毒,与瑞星杀毒软件相比,留了一手。
到 http://purpleendurer.ys168.com 下载了 FileInfo 提取文件信息,并用 瑞星杀毒助手 打包备份了。
文件说明符 : c:/windows/Logo1_.exe
属性 : A---
语言 : 中文(中国)
文件版本 : 1.0.0.0
说明 :
版权 :
备注 :
产品版本 : 1.0.0.0
产品名称 :
公司名称 :
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2007-2-17 20:8:53
修改时间 : 2007-2-26 9:0:12
访问时间 : 2007-2-26 0:0:0
大小 : 34212 字节 33.420 KB
MD5 : 97555480d38b2296f2c5aa601401b34c
瑞星报为:Worm.Viking.dv
|
Scanned file: Logo1_.exe - Infected |
Logo1_.exe - infected by Worm.Win32.Viking.bbStatistics:
|
文件说明符 : c:/windows/rundl132.exe
属性 : A---
语言 : 中文(中国)
文件版本 : 1.0.0.0
说明 :
版权 :
备注 :
产品版本 : 1.0.0.0
产品名称 :
公司名称 :
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2007-2-17 20:8:55
修改时间 : 2007-2-26 9:0:14
访问时间 : 2007-2-26 0:0:0
大小 : 34212 字节 33.420 KB
MD5 : 97555480d38b2296f2c5aa601401b34c
瑞星报为:Worm.Viking.dv
|
Scanned file: rundl132.exe - Infected |
rundl132.exe - infected by Worm.Win32.Viking.bbStatistics:
|
文件说明符 : c:/windows/Dll.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-2-17 20:9:0
修改时间 : 2007-2-26 9:0:16
访问时间 : 2007-2-26 0:0:0
大小 : 27648 字节 27.0 KB
MD5 : 2064728420cdde016ee6b85457be28f9
瑞星报为:Worm.Viking.dv
|
Scanned file: Dll.dll - Infected |
Dll.dll - infected by Worm.Win32.Viking.bbStatistics:
|
文件说明符 : C:/WINDOWS/system32/ntabhor.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2006-1-3 21:7:57
修改时间 : 2003-6-10 12:12:48
访问时间 : 2007-2-26 0:0:0
大小 : 53248 字节 52.0 KB
MD5 : 2fc49f9b2d586521af20746a33ee74a5
|
Scanned file: ntabhor.exe - Infected |
ntabhor.exe - infected by Trojan-Spy.Win32.Agent.iwStatistics:
|
文件说明符 : C:/WINDOWS/system32/dhgart37.dll
属性 : A---
语言 : 英语(美国)
文件版本 : 5, 1, 2600, 2180
说明 : Battery Meter Helper DLL
版权 : (C) Microsoft Corporation. All rights reserved.
备注 :
产品版本 : 5, 1, 2600, 2180
产品名称 :
公司名称 : Microsoft Corporation
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2004-8-12 0:0:0
修改时间 : 2004-8-12 0:0:0
访问时间 : 2007-2-26 0:0:0
大小 : 49152 字节 48.0 KB
MD5 : 8306c2271f54cf73b61a5762b5a28ab0
|
Scanned file: dhgart37.dll - Infected |
dhgart37.dll - infected by Trojan-Downloader.Win32.QQHelper.moStatistics:
|
Kaspersky报的病毒名与 节前来烧香的熊猫 相同。看来Kaspersky的病毒特征码提取得不错。
下载江民的威金专杀工具查杀,发现一大堆程序文件被感染:
在此前的测试中曾发现江民的威金专杀工具有漏杀的现象,因为时间的关系,这里不再用其它杀软扫描了。
其它的用瑞星杀毒助手删除了。
用 HijackThis 修复上列可疑项。
关闭所有程序,运行Windows附件中的磁盘清理程序做个扫除。
顺便测试了一下年前写的分析 pe_xscan 的 log 的网页,发现效果还不错。
节后 威金/Viking 来拜年相关推荐
- 威金病毒、维金病毒、Viking、logo1_.exe专杀 vdll.dll、logo1_.exe、rundl132.exe、_desktop.ini、、0Sy.exe、图标变花...
威金病毒.维金病毒.Viking.logo1_.exe专杀 vdll.dll.logo1_.exe.rundl132.exe._desktop.ini..0Sy.exe.图标变花 Windows目录下 ...
- 遭遇Viking/威金新变种、Trojan-PSW.Win32.WOW.do等(一)
endurer 原创 2006-07-20 第1版 昨天(7月19日)晚上十点多,一位朋友说这几天他的电脑瑞星开机自检总发现病毒Trojan.PSW.Agent.adw.Trojan.PSW.Zhen ...
- 彻底查杀维金ViKing病毒
方法: net share admin$ /del net share ipc$ /del net share c$ /del net share d$ /del net share e$ /del ...
- 熊猫烧香.威金.落雪.SXS.ARP.网络执法管.AUTORUN.INF等高危病毒清除
将下面的内容复制到记事本,保存为.reg文件.双击运行,以下操作最好是在安全模式下进行,如果系统无法进入安全模式,请参考本站内,关于如何恢复被病毒破坏的安全模式的文章. *************** ...
- NBA勇士陷入苦境 威金斯不保证这季会归队
北京时间03月12日,勇士今天坐镇主场对抗雄鹿,靠着库里(Stephen Curry)在第四节以及延长赛的表 县,终场以125-116击败雄鹿队,赛后柯尔(Steve Kerr)接受采访的时候表示,威 ...
- 战果--继围剿Worm.Viking.dy、专杀工具的较量
endurer 原创 2006-11-03 第1版 今天中午向那位中了Worm.Viking.dy的网友了解战况. 网友说昨天用江民出的威金蠕虫专杀扫描,发现并修复了一些EXE文件. 今天又用江民出的 ...
- 围剿Viking、专杀工具的较量——继初遇Worm.Viking.dy
endurer 原创 2006-11-02 第1版 昨晚来不及帮那位电脑中了Worm.Viking.dy的网友做详细检查,只算是初遇Worm.Viking.dy,今天中午正式开工. 那位网友电脑上的瑞 ...
- 小心通过QQ尾巴中的网址(Q-Zone qq C0M)传播的Worm Win32 Viking r
endurer 原创 2006-08-01 第1版 一个网友的电脑中了QQ尾巴,打开QQ好友的对话框就会自动发出如下信息: --------------------------------- 麻烦帮我 ...
- 以其人之道还治其人之身-Viking蠕虫病毒的手工歼灭!!!-更新
软件环境: windows xp sp2, 硬件环境:IBM NOTEBOOK R51E 关键字: viking 蠕虫,病毒,免疫,杀除 作者:www.newsoftstudio.com iuprg ...
- 狗年拜年php源码,2018狗年拜年词大全!再也不担心拜年没祝词啦~祝您新年快乐!...
原标题:2018狗年拜年词大全!再也不担心拜年没祝词啦~祝您新年快乐! 2018 狗 年 大 吉 HAPPY NEW YEAR 为了您在春节期间能够在第一时间 为您的亲朋好友送上祝福~ 小编已经贴心的 ...
最新文章
- vsnprintf的作用和使用
- amd一点也不yes_A粉的狂欢,AMD显卡也翻身了,3A平台不再是笑话了,AMD YES!
- java使用三种循环打印99表_编程题:利用for循环打印 9*9 表
- ios退款 怎么定位到是哪个用户_哪个浏览器兼容性最好用?看看用户都是怎么评价的吧...
- springboot+dubbo+nacos开发实战
- NHibernate Antlr.Runtime.NoViableAltException报错
- WPS中word转pdf文件时给pdf文件增加目录
- C语言---学生奖学金评定系统设计
- 许可协议html,许可协议
- 微软时间服务器同步错误,Windows Server 设置时间同步出错问题
- HTTP常见状态码 200 301 302 404 500
- AirTest 基本使用及框架浅剖析——五分钟上手制作游戏辅助
- 如何言语上更好的激励别人?
- Vue.js从0开始到实战开发1:通过简单案例从0开始了解Vue
- The error may exist in com/kuang/dao/UserMapper.xml
- hbase之布隆过滤器
- Android懒人库
- java绘制均线图_利用JFreeChart绘制股票K线图完整解决方案
- applet访问打印机安全警告的解决方法
- 考研英语作文—遣词造句