昨天瀏覽國內的pda網站時中了招。AVG狂說我中了PSW.Lengendmir.LM這毒,源頭來自C:目錄下的arcldrer.exe,我怎樣刪它也刪不去,轉個頭又走回出來。如是者不斷刪除、刪除、隔離、刪除、隔離......重覆十多廿次AVG才能把它隔離好。聽聞這東西是變種,會盜傳奇網絡遊戲的帳號,不過暫時並無確實資料。如果是的話反而好,對我沒關係。
相關資料及解毒方法:
它會在系統中產生底下幾個檔案
C:\Windows\inertinfo.exe
C:\Windows\d1lhost.exe →第一個1是數字~第二是小寫的L
C:\Windows\kerne132.dll →這個1是123的1~不是小寫英文的L
C:\Windows\use32.dll
還有一個會在C:\底下產生的檔案~目前不知是那一個程式所產生
但很肯定的是~它是在執行了gamaxx.hxx後所產生的
C:\arcldrer.exe
另外~在登錄檔裡
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
在以上二個地方新增d1lhost.exe機碼(第一個1是數字的1,第二個是小寫的L)
並會試著去中止底下的程序
IPARMOR.EXE
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
RavMon.exe
RavMonClass
天網防火牆個人版
Tapplication
天網防火牆企業版
ZoneAlarm
ZAFrameWnd
TfLockDownMain
解法:
1.開啟工作管理員,中止d1lhost.exe
若有TSCHelp.exe的話,也一併中止
2.刪除C:\底下的arcldrer.exe(有的話)
以及C:\Windows底下的inertinfo.exe、d1lhost.exe、kerne132.dll、use32.dll
3.將IE的暫存檔清空
開啟IE/工具/網際網路選項/一般/刪除檔案
4.開啟登錄編輯程式(開始/執行,輸入regedit.exe)
搜尋d1lhost.exe並刪除(沒意外的話,會有二處符合)
5.重新開機
資料來源:
1. 九藏貓窩
2. 私服聯盟
2006-07-09
下載並釋放多個木馬程序,包括xiaran.dat、rundl132.exe、vDll.dll、svchqs.exe
5月30日,老驢給我出個難題,見面第一句話「我的機子中標了,好像只針對.exe文件或uninstall,卡巴查出是Worm.Win32.Viking.i」,通過google給他找到了病毒的介紹和解決辦法,最後索性讓他把病毒文件發過來,在vm下自己分析了一下。本來想著是個別問題,結果發現這兩天網絡關於該病毒的消息越來越多,那就把我看到的一些東西跟大家分享一下吧。
一、病毒消息:
威金蠕蟲肆虐互聯網 九千用戶十餘企業遭攻擊[圖]
惡性病毒現身:穿透還原卡 殺死殺毒軟件
二、病毒症狀:
看了一些關於此病毒的症狀,不完全統計如下:
1、佔用大量網速,使機器使用變得極慢。
2、會捆綁所有的EXE文件,只要一運用應用程序,在winnt下的logo1.exe圖標就會相應變成應用程序圖標。
3、有時還會時而不時地彈出一些程序框,有時候應用程序一起動就出錯,有時候起動了就被強行退出。
4、網吧中只感梁win2k pro版,server版及XP系統都不感染。(嚴重表示懷疑!)
5、能繞過所有的還原軟件。
6、下載並釋放多個木馬程序,包括xiaran.dat、rundl132.exe、vDll.dll、svchqs.exe、svhost32.exe、rundll32.exe、dllz.dll、svchs0t.exe、C:\gamevir.txt、C:\1.txt 、C:\log.txt等等。
三、病毒分析:
根據病毒釋放出來的文件,感覺它應該是W32.Looked病毒的某個變種,在symantec的官方站點檢索一下,發現該病毒從2004年12月17日被發現,到最新變種被發現2006年5月29日,總計有7個變種,介紹如下:
http://securityresponse.symantec.com/avcenter/venc/data/w32.looked.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.looked.b.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.looked.c.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.looked.e.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.looked.f.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.looked.h.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.looked.i.html
通過對這幾個病毒介紹的分析,我們發現該病毒除在個別版本中有所變動外,基本特徵大體沒有太多變化,而病毒作者必然是國人沒錯。
接著來分析一下Symantec定義的各變種病毒爆發後的操作:
病毒簡介:該病毒是一個會從遠端服務器下載文件並感染.exe文件的蠕蟲病毒,它會降低安全防護的效能並通過網絡共享傳播自己。
感染系統:Windows 2000、Windows 95、Windows 98、Windows Me、Windows NT、Windows Server 2003、Windows XP
病毒行為(有些行為可能只在某個變種體現):
1、(部分變種)創建文件%Windir%\rundl132.exe (A copy of W32.Looked.I),注意這裡的文件名是rundl132.exe,不是rundll32.exe,%Windir%默認為C:\Windows或者C:\Winnt;
2、創建木馬程序%CurrentFolder%\vDll.dll (A copy of Download.Trojan),%CurrentFolder%表示病毒被初次執行時的目錄,我見到的基本都在%Windir%下;
3、(部分變種)從遠端服務器下載病毒程序到%Windir%\1.exe,並執行,有些變種下載的是zt.txt、zt.exe 、wow.txt 、wow.txt、mx.txt、mx.exe系列文件;
4、拷貝自身為%Windir%\Logo1_.exe;
5、在註冊表HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW下創建鍵值"auto" = "1";
6、(部分變種)在註冊表HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\WIndows創建鍵值"load" = "%Windir%\rundl132.exe";
7、(部分變種)停止服務Kingsoft AntiVirus Service;
8、插入vDll.dll到IEXPLORE.EXE或EXPLORER.EXE
9、從磁盤C到Y檢索.exe文件並感染找到的文件,不會感染下列目錄中的.exe文件:
·system
·system32
·windows
·Documents and Settings
·System Volume Information
·Recycled
·winnt
·Program Files
·Windows NT
·WindowsUpdate
·Windows Media Player
·Outlook Express
·Internet Explorer
·ComPlus Applications
·NetMeeting
·Common Files
·Messenger
·Microsoft Office
·InstallShield Installation Information
·MSN
·Microsoft Frontpage
·Movie Maker
·MSN Gamin Zone
10、發送包含「Hello,World」字符串的ICMP包到192.168.0.30、192.168.8.1;
11、使用administrator和空口令嘗試打開任何對ICMP包響應的計算機的\\ipc$和\\admin$目錄;
12、拷貝自身到成功打開的共享目錄;
13、檢索成功打開的共享目錄,尋找並感染.exe文件;
14、(部分變種)嘗試結束下列進程:
·EGHOST.EXE
·IPARMOR.EXE
·KAVPFW.EXE
·KWatchUI.EXE
·MAILMON.EXE
·Ravmon.exe
·ZoneAlarm
15、(部分變種)在hosts文件(默認位置:%system%\drivers\etc,%system%默認為C:\WINDOWS\system32\或C:\Winnt\system32)中添加內容,內容主要是將防病毒網站指向到本級或指定IP。
AcOol PS:
我分析的「Worm.Win32.Viking.i」病毒只包含了以上的7、8個步驟。
四、病毒查殺:
1、專殺工具:
「威金(Worm.Viking)」病毒專殺工具1.0
「維金」病毒專殺工具v2006.6.8.13
2、手動查殺:
首先建議下在IceSword1.8,在IceSword中進行操作。
(1)在進程中找到並結束Logo1_.exe、rundl132.exe進程,未找到則直接跳過;
(2)找到並刪除%Windir%下的Logo1_.exe、rundl132.exe、vDll.dll文件,其中vDll.dll可能在其他目錄中,%Windir%默認為C:\Windows或者C:\Winnt。
(3)打開註冊表,索引到HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW,刪除auto鍵值;
(4)打開註冊表,索引到HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\WIndows,刪除load鍵值;
(5)打開%system%\drivers\etc下hosts文件,刪除「127.0.0.1 localhost」一行後所有內容;
(6)升級病毒定義庫,在安全模式下對全盤進行掃瞄。
五、補充說明:
根據這兩天看到的消息,該病毒可能出現了新的變種,捆綁了QQ尾巴病毒,因為從老驢那裡拿到的病毒體沒有這個內容,限於個人水平也無法徹底分析明白,轉述了「C.I.S.R.T 論壇」對各新變種的分析及解決辦法,匯總為「ViKing病毒專題」,大家可以根據自己的情況採取相應的查殺方式。
ViKing病毒專題:
http://coolersky.com/articles/index.asp?classid=412
六、參考:
·http://soft.yesky.com/security/42/2431542.shtml
·http://forum.ikaka.com/topic.asp?board=28&artid=8037807
·http://safebbs.it168.com/redirect.php?tid=8032&goto=lastpost
·http://www.simkz.com/cisrt/forumdisplay.php?fid=12
·http://coolersky.com/articles/virus/analyze/2006/0608/264.html
http://coolersky.com/articles/virus/prevention/2006/0606/254.html
一、病毒消息:
威金蠕蟲肆虐互聯網 九千用戶十餘企業遭攻擊[圖]
惡性病毒現身:穿透還原卡 殺死殺毒軟件
二、病毒症狀:
看了一些關於此病毒的症狀,不完全統計如下:
1、佔用大量網速,使機器使用變得極慢。
2、會捆綁所有的EXE文件,只要一運用應用程序,在winnt下的logo1.exe圖標就會相應變成應用程序圖標。
3、有時還會時而不時地彈出一些程序框,有時候應用程序一起動就出錯,有時候起動了就被強行退出。
4、網吧中只感梁win2k pro版,server版及XP系統都不感染。(嚴重表示懷疑!)
5、能繞過所有的還原軟件。
6、下載並釋放多個木馬程序,包括xiaran.dat、rundl132.exe、vDll.dll、svchqs.exe、svhost32.exe、rundll32.exe、dllz.dll、svchs0t.exe、C:\gamevir.txt、C:\1.txt 、C:\log.txt等等。
三、病毒分析:
根據病毒釋放出來的文件,感覺它應該是W32.Looked病毒的某個變種,在symantec的官方站點檢索一下,發現該病毒從2004年12月17日被發現,到最新變種被發現2006年5月29日,總計有7個變種,介紹如下:
http://securityresponse.symantec.com/avcenter/venc/data/w32.looked.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.looked.b.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.looked.c.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.looked.e.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.looked.f.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.looked.h.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.looked.i.html
通過對這幾個病毒介紹的分析,我們發現該病毒除在個別版本中有所變動外,基本特徵大體沒有太多變化,而病毒作者必然是國人沒錯。
接著來分析一下Symantec定義的各變種病毒爆發後的操作:
病毒簡介:該病毒是一個會從遠端服務器下載文件並感染.exe文件的蠕蟲病毒,它會降低安全防護的效能並通過網絡共享傳播自己。
感染系統:Windows 2000、Windows 95、Windows 98、Windows Me、Windows NT、Windows Server 2003、Windows XP
病毒行為(有些行為可能只在某個變種體現):
1、(部分變種)創建文件%Windir%\rundl132.exe (A copy of W32.Looked.I),注意這裡的文件名是rundl132.exe,不是rundll32.exe,%Windir%默認為C:\Windows或者C:\Winnt;
2、創建木馬程序%CurrentFolder%\vDll.dll (A copy of Download.Trojan),%CurrentFolder%表示病毒被初次執行時的目錄,我見到的基本都在%Windir%下;
3、(部分變種)從遠端服務器下載病毒程序到%Windir%\1.exe,並執行,有些變種下載的是zt.txt、zt.exe 、wow.txt 、wow.txt、mx.txt、mx.exe系列文件;
4、拷貝自身為%Windir%\Logo1_.exe;
5、在註冊表HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW下創建鍵值"auto" = "1";
6、(部分變種)在註冊表HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\WIndows創建鍵值"load" = "%Windir%\rundl132.exe";
7、(部分變種)停止服務Kingsoft AntiVirus Service;
8、插入vDll.dll到IEXPLORE.EXE或EXPLORER.EXE
9、從磁盤C到Y檢索.exe文件並感染找到的文件,不會感染下列目錄中的.exe文件:
·system
·system32
·windows
·Documents and Settings
·System Volume Information
·Recycled
·winnt
·Program Files
·Windows NT
·WindowsUpdate
·Windows Media Player
·Outlook Express
·Internet Explorer
·ComPlus Applications
·NetMeeting
·Common Files
·Messenger
·Microsoft Office
·InstallShield Installation Information
·MSN
·Microsoft Frontpage
·Movie Maker
·MSN Gamin Zone
10、發送包含「Hello,World」字符串的ICMP包到192.168.0.30、192.168.8.1;
11、使用administrator和空口令嘗試打開任何對ICMP包響應的計算機的\\ipc$和\\admin$目錄;
12、拷貝自身到成功打開的共享目錄;
13、檢索成功打開的共享目錄,尋找並感染.exe文件;
14、(部分變種)嘗試結束下列進程:
·EGHOST.EXE
·IPARMOR.EXE
·KAVPFW.EXE
·KWatchUI.EXE
·MAILMON.EXE
·Ravmon.exe
·ZoneAlarm
15、(部分變種)在hosts文件(默認位置:%system%\drivers\etc,%system%默認為C:\WINDOWS\system32\或C:\Winnt\system32)中添加內容,內容主要是將防病毒網站指向到本級或指定IP。
AcOol PS:
我分析的「Worm.Win32.Viking.i」病毒只包含了以上的7、8個步驟。
四、病毒查殺:
1、專殺工具:
「威金(Worm.Viking)」病毒專殺工具1.0
「維金」病毒專殺工具v2006.6.8.13
2、手動查殺:
首先建議下在IceSword1.8,在IceSword中進行操作。
(1)在進程中找到並結束Logo1_.exe、rundl132.exe進程,未找到則直接跳過;
(2)找到並刪除%Windir%下的Logo1_.exe、rundl132.exe、vDll.dll文件,其中vDll.dll可能在其他目錄中,%Windir%默認為C:\Windows或者C:\Winnt。
(3)打開註冊表,索引到HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW,刪除auto鍵值;
(4)打開註冊表,索引到HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\WIndows,刪除load鍵值;
(5)打開%system%\drivers\etc下hosts文件,刪除「127.0.0.1 localhost」一行後所有內容;
(6)升級病毒定義庫,在安全模式下對全盤進行掃瞄。
五、補充說明:
根據這兩天看到的消息,該病毒可能出現了新的變種,捆綁了QQ尾巴病毒,因為從老驢那裡拿到的病毒體沒有這個內容,限於個人水平也無法徹底分析明白,轉述了「C.I.S.R.T 論壇」對各新變種的分析及解決辦法,匯總為「ViKing病毒專題」,大家可以根據自己的情況採取相應的查殺方式。
ViKing病毒專題:
http://coolersky.com/articles/index.asp?classid=412
六、參考:
·http://soft.yesky.com/security/42/2431542.shtml
·http://forum.ikaka.com/topic.asp?board=28&artid=8037807
·http://safebbs.it168.com/redirect.php?tid=8032&goto=lastpost
·http://www.simkz.com/cisrt/forumdisplay.php?fid=12
·http://coolersky.com/articles/virus/analyze/2006/0608/264.html
http://coolersky.com/articles/virus/prevention/2006/0606/254.html
阻止病毒Logo_1.exe局域網傳播
現在看到中Logo_1.exe的人越來越多,也不忍心看了。
給大家簡單介紹下它傳播方法:
發出命令:Hello!World!判斷網絡通斷,然後就開始打開其他人的電腦的共享文件夾,修改這個共享文件夾中所有exe文件,如果那個電腦主人一運行~~~後果很嚴重。
[color=Blue]所以最近建議大家不要開共享,即使要開,這樣設置下:[/color]
[color=Red]Windows 2000這樣設置:[/color]
[img]http://mayafei.mm9mm.com/file/15548.jpg[/img]
[color=Red]Windows XP這樣設置:[/color]
[img]http://mayafei.mm9mm.com/file/15549.jpg[/img]
http://www.54master.com/bbs/archiver/tid-64837.html
給大家簡單介紹下它傳播方法:
發出命令:Hello!World!判斷網絡通斷,然後就開始打開其他人的電腦的共享文件夾,修改這個共享文件夾中所有exe文件,如果那個電腦主人一運行~~~後果很嚴重。
[color=Blue]所以最近建議大家不要開共享,即使要開,這樣設置下:[/color]
[color=Red]Windows 2000這樣設置:[/color]
[img]http://mayafei.mm9mm.com/file/15548.jpg[/img]
[color=Red]Windows XP這樣設置:[/color]
[img]http://mayafei.mm9mm.com/file/15549.jpg[/img]
http://www.54master.com/bbs/archiver/tid-64837.html
vDll.dll
Logo_1.exe & vDll.dll木馬全解決方案(包括被感染了木馬的應用程序)上周我中了這個木馬,簡直嚇死我了!看了☆網星☆的文章後,我簡直嚇得毛骨悚然,後來覺得沒必要格盤,因為Nothing is impossible!我研究了很久,終於發現了木馬及其病毒的特徵.木馬是什麼特徵☆網星☆的文章裡有,我沒必要重複了,這是殺毒方法:首先按照☆網星☆的方法,把windows文件夾中的rundl132.exe及vDll.dll(這個請在Dos裡面清除)清除掉,然後打開註冊表(開始 > 運行 > regedit),搜索rundl132.exe,刪除所有鍵值。但這並未意味著結束,因為如果他發作了,還有很漫長的殺毒之路!開始 > 搜索 > 文件名:_desktop.ini如果你電腦(每個盤)裡沒存在這個文件就結束了,如果存在就按以下方法清除被感染了木馬的應用程序中的木馬:兩種識別含有木馬的應用程序及文件夾的方法:1.先下載McAfee,把系統掃瞄一遍,然後記錄下這些被感染了New Win32的應用程序.2.在整個硬盤搜索_desktop.ini,然後記錄下這些文件夾.再下載UE(UltraEdit-32),依次打開打開這些文件(文件夾中文件),然後有三種辦法清除:[UE可以一次性打開多個文件]如果第一種找不到,就用第二種,第二種找不到,就用第三種..第一種(適合沒變種的):(菜單欄) > 搜索 > 查找裡面輸入:C3 00 B0 41 00 08 B0 41 00 8C B0 40 00 10 C0 41 00 00 00 00 00 00 00 00 00 0E 00 00 00 1E 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 02 00 00 00 B9 C7 02 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00然後把這個字段以上的文件全部清除(包括這段).第二種(適合變種的):(菜單欄) > 搜索 > 查找裡面輸入:4D 5A 90 00 03 00 00 00 04 00 00 00 FF FF 00 00 B8然後把這個字段以上的文件全部清除(不包括這段).第三種(適合變種不是很厲害的):(菜單欄) > 搜索 > 前往行號/頁輸入:0x69e0h然後把4D 5A以上的所有的東西全部清除.(不包括4D 5A)所有的文件都這樣處理下,再搜索整個電腦中的*.exe.bak,把這些文件全部刪除,以免以後引起殺毒軟件誤報.然後就大功告成了。最後說下,如果你電腦裡面被感染的文件很多,建議格盤!(什麼文件也不能留!)這種方法只適合於被木馬感染了較少的文件的朋友,如果較多,你願意也可以。PS:如果誰能看了我的麻煩方法後能寫個程序清除就好了.........(I hope!):P解決方法視頻下載:[url]http://mayafei.mm9mm.com/TrojanDelete.rar[/url](剛剛錄的)
http://www.google.com.tw/search?hl=zh-TW&q=vDll.dll&btnG=Google+%E6%90%9C%E5%B0%8B&meta=
http://www.54master.com/bbs/archiver/tid-64837.html
http://coolersky.com/articles/virus/prevention/2006/0606/254.html
http://www.google.com.tw/search?hl=zh-TW&q=vDll.dll&btnG=Google+%E6%90%9C%E5%B0%8B&meta=
http://www.54master.com/bbs/archiver/tid-64837.html
http://coolersky.com/articles/virus/prevention/2006/0606/254.html
explore.exe和explorew.exe
C:\Program Files\下多了explore.exe和explorew.exe两个文件!打开IE就自动关闭!是中毒了?该怎么解决,谢谢!
http://zhidao.baidu.com/question/9238813.html
http://zhidao.baidu.com/question/9238813.html
0Sy.exe
瑞星出品的專殺工具
點擊下載此文件
另外,最新版的瑞星也可以查殺了。
6月2日木馬警告trojan.wow.az危險等級最高!!!
通過蠕蟲病毒worm.viking.a傳播
現在新的是worm.viking.j,瑞星,毒霸都查不到
電腦上網就會中到!
中了該病毒後感染系統裡所有exe文件
然後自動從網絡上下載木馬trojan.wow.az
病毒會先下載一個程序:Downloader.Delf.ady,這個程序的進程名字0Sy.exe或1Sy.exe~4Sy.exe
通過這個程序再下載wow偷號馬trojan.wow.az
馬放在winnt\system32\ShellExt,名字是svchs0t.exe (windows2000為例)
中了該病毒後可能會出現以下異常進程:
Logo1_.exe
rundl1(數字1迷惑人的)32.exe
svchs0(數字0)t.exe
cmd.exe
等等
該木馬進入系統後自動關閉wow,你會發現wow突然就跳了,當你再次進遊戲輸入帳號密碼的時候
他就記錄帳號密碼並發送郵寄出去!
特徵:1.感染病毒,自動關閉瑞星等殺毒軟件、天網等防火牆 worm.viking.j不關閉他們但這些軟件對
這病毒都不起啥作用
2.自動結束wow遊戲
3.系統速度越來越慢
有以上症狀的速查系統
殺毒軟件:ewido www.skycn.com(天空軟件)可以找到
殺後所有exe文件都完了,ewido不修復被感染文件,就是直接幹掉,從裝吧:(
再次提醒:大多數殺毒軟件暫時無法查殺,worm.viking.a worm.viking.f等已經能查殺!
想必大家能明白為什麼查來查去沒毒但帳號還是被偷了吧!
ewido是非常著名的殺馬軟件 http://www.ewido.net/en/
最新消息,現在更新的毒霸6.2日病毒庫似乎可以查殺了,我正在殺,上午更新到6.1日的病毒庫還查不到!
毒霸殺到的病毒名字是worm.viking.m(ewido查出是worm.viking.j)
win32.Troj.PSW.Zh (ewido查出是trojan.wow.az)
Logo1_.exe毒霸查出是worm.beann
這會安心了,國內殺毒軟件更新還是比較快的,但和ewido比起來差太多了,ewido昨天傍晚就能查到了,毒霸今天上午都無法查到。
病毒別名: 處理時間:2006-06-01 威脅級別:★★
中文名稱: 病毒類型:蠕蟲 影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為:
該病毒為Windows平台下集成可執行文件感染、網絡感染、下載網絡木馬或其它病毒的複合型病毒,病毒運行後將自身偽裝成系統正常文件,以迷惑用戶,通過修改註冊表項使病毒開機時可以自動運行,同時病毒通過線程注入技術繞過防火牆的監視,連接到病毒作者指定的網站下載特定的木馬或其它病毒,同時病毒運行後枚舉內網的所有可用共享,並嘗試通過弱口令方式連接感染目標計算機。
運行過程過感染用戶機器上的可執行文件,造成用戶機器運行速度變慢,破壞用戶機器的可執行文件,給用戶安全性構成危害。
病毒主要通過共享目錄、文件捆綁、運行被感染病毒的程序、可帶病毒的郵件附件等方式進行傳播。
1、病毒運行後將自身複製到Windows文件夾下,文件名為:
%SystemRoot%\rundl132.exe
2、運行被感染的文件後,病毒將病毒體複製到為以下文件:
%SystemRoot%\logo_1.exe
3、同時病毒會在病毒文件夾下生成:
病毒目錄\vdll.dll
4、病毒從Z盤開始向前搜索所有可用分區中的exe文件,然後感染所有大小27kb-10mb的可執行文件,感染完畢在被感染的文件夾中生成:
_desktop.ini (文件屬性:系統、隱藏。)
5、病毒會嘗試修改%SysRoot%\system32\drivers\etc\hosts文件。
6、病毒通過添加如下註冊表項實現病毒開機自動運行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\rundl132.exe"
7、病毒運行時嘗試查找窗體名為:"RavMonClass"的程序,查找到窗體後發送消息關閉該程序。
8、枚舉以下殺毒軟件進程名,查找到後終止其進程:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe
9、同時病毒嘗試利用以下命令終止相關殺病毒軟件:
net stop "Kingsoft AntiVirus Service"
10、發送ICMP探測數據"Hello,World",判斷網絡狀態,網絡可用時,
枚舉內網所有共享主機,並嘗試用弱口令連接\\IPC$、\admin$等共享目錄,連接成功後進行網絡感染。
11、感染用戶機器上的exe文件,但不感染以下文件夾中的文件:
system
system32
windows
Documents and settings
system Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone
12、枚舉系統進程,嘗試將病毒dll(vdll.dll)選擇性注入以下進程名對應的進程:
Explorer
Iexplore
找到符合條件的進程後隨機注入以上兩個進程中的其中一個。
13、當外網可用時,被注入的dll文件嘗試連接以下網站下載並運行相關程序:
http://www.17**.com/gua/zt.txt 保存為:c:\1.txt
http://www.17**.com/gua/wow.txt 保存為:c:\1.txt
http://www.17**.com/gua/mx.txt 保存為:c:\1.txt
http://www.17**.com/gua/zt.exe 保存為:%SystemRoot%\0Sy.exe
http://www.17**.com/gua/wow.exe 保存為:%SystemRoot%\1Sy.exe
http://www.17**.com/gua/mx.exe 保存為:%SystemRoot%\2Sy.exe
註:三個程序都為木馬程序
14、病毒會將下載後的"1.txt"的內容添加到以下相關註冊表項:
[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]
"ver_down0"="[boot loader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++"
"ver_down1"="[boot loader]
timeout=30
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" ////"
"ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" /////"
光這蠕蟲似乎還不可怕,現在問題是蠕蟲和偷wow帳號的木馬結合著,而且是後期自動下載木馬,問題大了!
http://www.shangpan.com/article.asp?id=438
點擊下載此文件
另外,最新版的瑞星也可以查殺了。
6月2日木馬警告trojan.wow.az危險等級最高!!!
通過蠕蟲病毒worm.viking.a傳播
現在新的是worm.viking.j,瑞星,毒霸都查不到
電腦上網就會中到!
中了該病毒後感染系統裡所有exe文件
然後自動從網絡上下載木馬trojan.wow.az
病毒會先下載一個程序:Downloader.Delf.ady,這個程序的進程名字0Sy.exe或1Sy.exe~4Sy.exe
通過這個程序再下載wow偷號馬trojan.wow.az
馬放在winnt\system32\ShellExt,名字是svchs0t.exe (windows2000為例)
中了該病毒後可能會出現以下異常進程:
Logo1_.exe
rundl1(數字1迷惑人的)32.exe
svchs0(數字0)t.exe
cmd.exe
等等
該木馬進入系統後自動關閉wow,你會發現wow突然就跳了,當你再次進遊戲輸入帳號密碼的時候
他就記錄帳號密碼並發送郵寄出去!
特徵:1.感染病毒,自動關閉瑞星等殺毒軟件、天網等防火牆 worm.viking.j不關閉他們但這些軟件對
這病毒都不起啥作用
2.自動結束wow遊戲
3.系統速度越來越慢
有以上症狀的速查系統
殺毒軟件:ewido www.skycn.com(天空軟件)可以找到
殺後所有exe文件都完了,ewido不修復被感染文件,就是直接幹掉,從裝吧:(
再次提醒:大多數殺毒軟件暫時無法查殺,worm.viking.a worm.viking.f等已經能查殺!
想必大家能明白為什麼查來查去沒毒但帳號還是被偷了吧!
ewido是非常著名的殺馬軟件 http://www.ewido.net/en/
最新消息,現在更新的毒霸6.2日病毒庫似乎可以查殺了,我正在殺,上午更新到6.1日的病毒庫還查不到!
毒霸殺到的病毒名字是worm.viking.m(ewido查出是worm.viking.j)
win32.Troj.PSW.Zh (ewido查出是trojan.wow.az)
Logo1_.exe毒霸查出是worm.beann
這會安心了,國內殺毒軟件更新還是比較快的,但和ewido比起來差太多了,ewido昨天傍晚就能查到了,毒霸今天上午都無法查到。
病毒別名: 處理時間:2006-06-01 威脅級別:★★
中文名稱: 病毒類型:蠕蟲 影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為:
該病毒為Windows平台下集成可執行文件感染、網絡感染、下載網絡木馬或其它病毒的複合型病毒,病毒運行後將自身偽裝成系統正常文件,以迷惑用戶,通過修改註冊表項使病毒開機時可以自動運行,同時病毒通過線程注入技術繞過防火牆的監視,連接到病毒作者指定的網站下載特定的木馬或其它病毒,同時病毒運行後枚舉內網的所有可用共享,並嘗試通過弱口令方式連接感染目標計算機。
運行過程過感染用戶機器上的可執行文件,造成用戶機器運行速度變慢,破壞用戶機器的可執行文件,給用戶安全性構成危害。
病毒主要通過共享目錄、文件捆綁、運行被感染病毒的程序、可帶病毒的郵件附件等方式進行傳播。
1、病毒運行後將自身複製到Windows文件夾下,文件名為:
%SystemRoot%\rundl132.exe
2、運行被感染的文件後,病毒將病毒體複製到為以下文件:
%SystemRoot%\logo_1.exe
3、同時病毒會在病毒文件夾下生成:
病毒目錄\vdll.dll
4、病毒從Z盤開始向前搜索所有可用分區中的exe文件,然後感染所有大小27kb-10mb的可執行文件,感染完畢在被感染的文件夾中生成:
_desktop.ini (文件屬性:系統、隱藏。)
5、病毒會嘗試修改%SysRoot%\system32\drivers\etc\hosts文件。
6、病毒通過添加如下註冊表項實現病毒開機自動運行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\rundl132.exe"
7、病毒運行時嘗試查找窗體名為:"RavMonClass"的程序,查找到窗體後發送消息關閉該程序。
8、枚舉以下殺毒軟件進程名,查找到後終止其進程:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe
9、同時病毒嘗試利用以下命令終止相關殺病毒軟件:
net stop "Kingsoft AntiVirus Service"
10、發送ICMP探測數據"Hello,World",判斷網絡狀態,網絡可用時,
枚舉內網所有共享主機,並嘗試用弱口令連接\\IPC$、\admin$等共享目錄,連接成功後進行網絡感染。
11、感染用戶機器上的exe文件,但不感染以下文件夾中的文件:
system
system32
windows
Documents and settings
system Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone
12、枚舉系統進程,嘗試將病毒dll(vdll.dll)選擇性注入以下進程名對應的進程:
Explorer
Iexplore
找到符合條件的進程後隨機注入以上兩個進程中的其中一個。
13、當外網可用時,被注入的dll文件嘗試連接以下網站下載並運行相關程序:
http://www.17**.com/gua/zt.txt 保存為:c:\1.txt
http://www.17**.com/gua/wow.txt 保存為:c:\1.txt
http://www.17**.com/gua/mx.txt 保存為:c:\1.txt
http://www.17**.com/gua/zt.exe 保存為:%SystemRoot%\0Sy.exe
http://www.17**.com/gua/wow.exe 保存為:%SystemRoot%\1Sy.exe
http://www.17**.com/gua/mx.exe 保存為:%SystemRoot%\2Sy.exe
註:三個程序都為木馬程序
14、病毒會將下載後的"1.txt"的內容添加到以下相關註冊表項:
[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]
"ver_down0"="[boot loader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++"
"ver_down1"="[boot loader]
timeout=30
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" ////"
"ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" /////"
光這蠕蟲似乎還不可怕,現在問題是蠕蟲和偷wow帳號的木馬結合著,而且是後期自動下載木馬,問題大了!
http://www.shangpan.com/article.asp?id=438
2006-06-29
W32.Bagle.AT@mm
別名
WORM_BAGLE.AT, Bagle.AT, I-Worm.Bagle.at, W32.Bagle.AT@mm, w32/bagle.bb@mm
內容
W32.Bagle.AT@mm 是一種大量傳送電子郵件和利用點對點方式傳播的蠕蟲。傳播 W32.Bagle.AT@mm 蠕蟲的電郵會利用不同的主旨、內文和附件。附件檔案是下列其中一個可執行的延伸檔案類型: .EXE .SCR .COM .CPL。詳細電郵特徵,請參考 附錄。
當蠕蟲檔案被執行,它會複制自己到視窗的系統資料夾並命名為 wingo.exe ,同時為這個檔案建立一個登錄索引值:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]"wingo" = "%SystemDir%\wingo.exe"
若蠕蟲是利用 Windows Control Panel Applet (CPL) 檔案進行感染,它會預先藏下一個細小的二位元檔在自己的執行檔內。當 CPL 檔案被啟動時,它會複制自己到視窗的系統資料夾並命名為 cjector.exe 檔案,然後遺下蠕蟲檔案到視窗的系統資料夾。
蠕蟲會開啟了一個後門,監聽連接埠 81。這個後門的程式碼是利用密碼加密,知道密碼的蠕蟲作者可以連接到這部電腦和執行任意的程式。受感染的電腦會連接到預先設定的數個網址向作者報告。
破壞力
1. W32.Bagle.AT@mm 掃瞄硬碟來收集電郵地址向其他受害者進行傳播。以下的延伸檔案類型會被檢查:
.wab
.txt
.msg
.htm
.shtm
.stm
.xml
.dbx
.mbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.pl
.wsh
.adb
.tbb
.sht
.xls
.oft
.uin
.cgi
.mht
.dhtm
.jsp
2. 它會略過含有下列字串的電郵地址:
@hotmail@msn
@microsoft
rating@
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
kasp
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
sopho
@foo
@iana
free-av
@messagelab
winzip
google
winrar
samples
abuse
panda
cafee
spam
pgp
@avp.
noreply
local
root@
postmaster@
3. 它可以透過點對點客戶端的共享資料夾進行傳播。它掃瞄所有可用的磁碟機,若找到資料夾名稱包含了 'shar' 字串,蠕蟲會複制自己到那個資料夾並以下列名稱命名:
Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe
4. 它會終止保安、防毒軟件和某些程式的程序。以下程序的程式會被終止:
mcagent.exe
mcvsshld.exe
mcshield.exe
mcvsescn.exe
mcvsrte.exe
DefWatch.exe
Rtvscan.exe
ccEvtMgr.exe
NISUM.EXE
ccPxySvc.exe
navapsvc.exe
NPROTECT.EXE
nopdb.exe
ccApp.exe
Avsynmgr.exe
VsStat.exe
Vshwin32.exe
alogserv.exe
RuLaunch.exe
Avconsol.exe
PavFires.exe
FIREWALL.EXE
ATUPDATER.EXE
LUALL.EXE
DRWEBUPW.EXE
AUTODOWN.EXE
NUPGRADE.EXE
OUTPOST.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ESCANH95.EXE
AVXQUAR.EXE
ESCANHNT.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
AVWUPD32.EXE
AVPUPD.EXE
CFIAUDIT.EXE
UPDATE.EXE
NUPGRADE.EXE
MCUPDATE.EXE
pavsrv50.exe
AVENGINE.EXE
APVXDWIN.EXE
pavProxy.exe
navapw32.exe
navapsvc.exe
ccProxy.exe
navapsvc.exe
NPROTECT.EXE
SAVScan.exe
SNDSrvc.exe
symlcsvc.exe
LUCOMS~1.EXE
blackd.exe
bawindo.exe
FrameworkService.exe
VsTskMgr.exe
SHSTAT.EXE
UpdaterUI.exe
5. 它會刪除與 W32.Netsky 變種蠕蟲相關的數個登錄索引值。
解決方案
1. 偵測及清除蠕蟲
電腦病毒防護軟件供應商已提供了新病毒清單去偵察及清除此病毒。
如果你沒有安裝任何電腦病毒防護軟件,你可以下載以下清除病毒的工具程式進行清除。
Symantechttp://securityresponse.symantec.com/avcenter/FxBeagle.exe
注意:請根據防毒軟件公司的指引來清除病毒和修復系統。
2. 防止防毒閘門產生大量的通告電郵
要防止防毒閘門產生大量的址通告電郵信息,你可以考慮暫時停止發出通告信息給寄件者。這個設定可以在病毒散播的高峰期過後恢復執行。詳情請參閱 <<因蠕蟲引致電郵汛濫的處理方法>>。
相關連結
詳情請參考以下連結:
Computer Associates 提供的資料
F-Secure 提供的資料 McAfee 提供的資料 -->Norman 提供的資料 Sophos 提供的資料 Symantec 提供的資料 Trend Micro 提供的資料
附錄
傳播 W32.Bagle.AT@mm 蠕蟲的電郵會具備以下特徵:
寄件者
偽冒的電郵地址
主旨
隨機抽選 (可能是以下的其中一個主旨):
Re:Re: HelloRe: Thank you!Re: Thanks :)Re: Hi
內文
隨機抽選 (可能是以下的其中一個):
:):))
附件
附件名稱可能是以下的其中一個附有 EXE, SCR, COM和CPL 延伸類型檔案:
PricepriceJoke
http://www.hkcert.org/valert/chi_vinfo/w32.bagle.at@mm.html
WORM_BAGLE.AT, Bagle.AT, I-Worm.Bagle.at, W32.Bagle.AT@mm, w32/bagle.bb@mm
內容
W32.Bagle.AT@mm 是一種大量傳送電子郵件和利用點對點方式傳播的蠕蟲。傳播 W32.Bagle.AT@mm 蠕蟲的電郵會利用不同的主旨、內文和附件。附件檔案是下列其中一個可執行的延伸檔案類型: .EXE .SCR .COM .CPL。詳細電郵特徵,請參考 附錄。
當蠕蟲檔案被執行,它會複制自己到視窗的系統資料夾並命名為 wingo.exe ,同時為這個檔案建立一個登錄索引值:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]"wingo" = "%SystemDir%\wingo.exe"
若蠕蟲是利用 Windows Control Panel Applet (CPL) 檔案進行感染,它會預先藏下一個細小的二位元檔在自己的執行檔內。當 CPL 檔案被啟動時,它會複制自己到視窗的系統資料夾並命名為 cjector.exe 檔案,然後遺下蠕蟲檔案到視窗的系統資料夾。
蠕蟲會開啟了一個後門,監聽連接埠 81。這個後門的程式碼是利用密碼加密,知道密碼的蠕蟲作者可以連接到這部電腦和執行任意的程式。受感染的電腦會連接到預先設定的數個網址向作者報告。
破壞力
1. W32.Bagle.AT@mm 掃瞄硬碟來收集電郵地址向其他受害者進行傳播。以下的延伸檔案類型會被檢查:
.wab
.txt
.msg
.htm
.shtm
.stm
.xml
.dbx
.mbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.pl
.wsh
.adb
.tbb
.sht
.xls
.oft
.uin
.cgi
.mht
.dhtm
.jsp
2. 它會略過含有下列字串的電郵地址:
@hotmail@msn
@microsoft
rating@
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
kasp
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
sopho
@foo
@iana
free-av
@messagelab
winzip
winrar
samples
abuse
panda
cafee
spam
pgp
@avp.
noreply
local
root@
postmaster@
3. 它可以透過點對點客戶端的共享資料夾進行傳播。它掃瞄所有可用的磁碟機,若找到資料夾名稱包含了 'shar' 字串,蠕蟲會複制自己到那個資料夾並以下列名稱命名:
Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe
4. 它會終止保安、防毒軟件和某些程式的程序。以下程序的程式會被終止:
mcagent.exe
mcvsshld.exe
mcshield.exe
mcvsescn.exe
mcvsrte.exe
DefWatch.exe
Rtvscan.exe
ccEvtMgr.exe
NISUM.EXE
ccPxySvc.exe
navapsvc.exe
NPROTECT.EXE
nopdb.exe
ccApp.exe
Avsynmgr.exe
VsStat.exe
Vshwin32.exe
alogserv.exe
RuLaunch.exe
Avconsol.exe
PavFires.exe
FIREWALL.EXE
ATUPDATER.EXE
LUALL.EXE
DRWEBUPW.EXE
AUTODOWN.EXE
NUPGRADE.EXE
OUTPOST.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ESCANH95.EXE
AVXQUAR.EXE
ESCANHNT.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
AVWUPD32.EXE
AVPUPD.EXE
CFIAUDIT.EXE
UPDATE.EXE
NUPGRADE.EXE
MCUPDATE.EXE
pavsrv50.exe
AVENGINE.EXE
APVXDWIN.EXE
pavProxy.exe
navapw32.exe
navapsvc.exe
ccProxy.exe
navapsvc.exe
NPROTECT.EXE
SAVScan.exe
SNDSrvc.exe
symlcsvc.exe
LUCOMS~1.EXE
blackd.exe
bawindo.exe
FrameworkService.exe
VsTskMgr.exe
SHSTAT.EXE
UpdaterUI.exe
5. 它會刪除與 W32.Netsky 變種蠕蟲相關的數個登錄索引值。
解決方案
1. 偵測及清除蠕蟲
電腦病毒防護軟件供應商已提供了新病毒清單去偵察及清除此病毒。
如果你沒有安裝任何電腦病毒防護軟件,你可以下載以下清除病毒的工具程式進行清除。
Symantechttp://securityresponse.symantec.com/avcenter/FxBeagle.exe
注意:請根據防毒軟件公司的指引來清除病毒和修復系統。
2. 防止防毒閘門產生大量的通告電郵
要防止防毒閘門產生大量的址通告電郵信息,你可以考慮暫時停止發出通告信息給寄件者。這個設定可以在病毒散播的高峰期過後恢復執行。詳情請參閱 <<因蠕蟲引致電郵汛濫的處理方法>>。
相關連結
詳情請參考以下連結:
Computer Associates 提供的資料
F-Secure 提供的資料 McAfee 提供的資料 -->Norman 提供的資料 Sophos 提供的資料 Symantec 提供的資料 Trend Micro 提供的資料
附錄
傳播 W32.Bagle.AT@mm 蠕蟲的電郵會具備以下特徵:
寄件者
偽冒的電郵地址
主旨
隨機抽選 (可能是以下的其中一個主旨):
Re:Re: HelloRe: Thank you!Re: Thanks :)Re: Hi
內文
隨機抽選 (可能是以下的其中一個):
:):))
附件
附件名稱可能是以下的其中一個附有 EXE, SCR, COM和CPL 延伸類型檔案:
PricepriceJoke
http://www.hkcert.org/valert/chi_vinfo/w32.bagle.at@mm.html
Worm@W32.Beagle.35
Worm@W32.Beagle.35 駭蟲會終止其他病毒或防毒軟體,也會防止寄送含有某些字串的email addresses
Beagle.35 會開啟後門 TCP port 81 並透過自己的SMTP大量發送病毒信件,此隻駭蟲也會刪除登錄檔中,包含某些字串的值,使其無法常駐,如 Antivirus、service、ICQ Net 等。 基本介紹
病毒名稱
Worm@W32.Beagle.35
病毒別名
Win32.Bagle.AR [Computer Associates], W32/Bagle.bd@MM [McAfee]
病毒型態
Worm , E-Mail
病毒發現日期
2004/11/01
影響平台
Windows 95/98/ME , Windows NT/2000/XP/2003
風險評估
散播程度:中
破壞程度:低
Worm@W32.Beagle.35信件格式:
發信者:
主旨: < 下列任一個 > Re: Re: Hello Re: Hi Re: Thank you! Re: Thanks :)
內文: :))
附加檔案: < 下列任一個 > Price price Joke副檔名可能是.com,.cpl,.exe,or .scr。
Worm@W32.Beagle.35 行為描述:
註:在Win95/98/me %System% 預設值為 C:\windows\System
在WinNT/2000/XP/2003 %System% 系統預設值為 C:\WinNT\System32
駭蟲通常會終止下列的程序,通常和其他病毒或防毒軟體有關:
mcagent.exe
mcvsshld.exe
mcshield.exe
mcvsescn.exe
mcvsrte.exe
DefWatch.exe
Rtvscan.exe
ccEvtMgr.exe
NISUM.EXE
ccPxySvc.exe
navapsvc.exe
NPROTECT.EXE
nopdb.exe
ccApp.exe
Avsynmgr.exe
VsStat.exe
Vshwin32.exe
alogserv.exe
RuLaunch.exe
Avconsol.exe
PavFires.exe
FIREWALL.EXE
ATUPDATER.EXE
LUALL.EXE
DRWEBUPW.EXE
AUTODOWN.EXE
NUPGRADE.EXE
OUTPOST.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ESCANH95.EXE
AVXQUAR.EXE
ESCANHNT.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
AVWUPD32.EXE
AVPUPD.EXE
CFIAUDIT.EXE
UPDATE.EXE
NUPGRADE.EXE
MCUPDATE.EXE
pavsrv50.exe
AVENGINE.EXE
APVXDWIN.EXE
pavProxy.exe
navapw32.exe
navapsvc.exe
ccProxy.exe
navapsvc.exe
NPROTECT.EXE
SAVScan.exe
SNDSrvc.exe
symlcsvc.exe
LUCOMS~1.EXE
blackd.exe
bawindo.exe
FrameworkService.exe
VsTskMgr.exe
SHSTAT.EXE
UpdaterUI.exe
駭蟲會從下列其中一個下載檔案,儲存在%System%\re_file.exe,並且執行它:
www.bottombouncer.com
www.anthonyflanagan.com
www.bradster.com
www.traverse.com
www.ims-i.com
www.realgps.com
www.aviation-center.de
www.gci-bln.de
www.pankration.com
www.jansenboiler.com
www.corpsite.com
www.everett.wednet.edu
www.onepositiveplace.org
www.raecoinc.com
www.wwwebad.com
www.corpsite.com
www.wwwebmaster.com
www.dragcar.com
www.oohlala-kirkland.com
www.calderwoodinn.com
www.buddyboymusic.com
www.smacgreetings.com
www.tkd2xcell.com
www.curtmarsh.com
www.dontbeaweekendparent.com
www.soloconsulting.com
www.lasermach.com
www.generationnow.net
www.flashcorp.com
www.kencorbett.com
www.FritoPie.NET
www.leonhendrix.com
www.transportation.gov.bh
www.jhaforpresident.7p.com
www.DarrkSydebaby.com
www.cntv.info
www.sugardas.lt
www.adhdtests.com
www.argontech.net
www.customloyal.com
www.ohiolimo.com
www.topko.sk
www.alupass.lu
www.sigi.lu
www.redlightpictures.com
www.irinaswelt.de
www.bueroservice-it.de
www.kranenberg.de
www.the-fabulous-lions.de
www.mongolische-renner.de
www.capri-frames.de
www.aimcenter.net
www.boneheadmusic.com
www.fludir.is
www.sljinc.com
www.tivogoddess.com
www.fcpages.com
www.andara.com
www.freeservers.com
www.programmierung2000.de
www.asianfestival.nl
www.aviation-center.de
www.gci-bln.de
www.mass-i.kiev.ua
www.jasnet.pl
www.atlantisteste.hpg.com.br
www.fludir.is
www.rieraquadros.com.br
www.metal.pl
www.handsforhealth.com
www.angelartsanctuary.com
www.firstnightoceancounty.org
www.chinasenfa.com
www.ulpiano.org
www.gamp.pl
www.vikingpc.pl
www.woundedshepherds.com
www.cpc.adv.br
www.velocityprint.com
www.esperanzaparalafamilia.com
www.celula.com.mx
www.mexis.com
www.wecompete.com
www.vbw.info
www.gfn.org
www.aegee.org
www.deadrobot.com
www.cscliberec.cz
www.ecofotos.com.br
www.amanit.ru
www.bga-gsm.ru
www.innnewport.com
www.knicks.nl
www.srg-neuburg.de
www.mepmh.de
www.mepbisu.de
www.kradtraining.de
www.polizeimotorrad.de
www.sea.bz.it
www.uslungiarue.it
www.gcnet.ru
www.aimcenter.net
www.vandermost.de
www.szantomierz.art.pl
www.immonaut.sk
www.eurostavba.sk
www.spadochron.pl
www.pyrlandia-boogie.pl
www.kps4parents.com
www.pipni.cz
www.selu.edu
www.travelchronic.de
www.fleigutaetscher.ch
www.irakli.org
www.oboe-online.com
www.pe-sh.com
www.idb-group.net
www.ceskyhosting.cz
www.hartacorporation.com
www.glass.la
www.24-7-transportation.com
www.fepese.ufsc.br
www.ellarouge.com.au
www.bbsh.org
www.boneheadmusic.com
www.sljinc.com
www.tivogoddess.com
www.fcpages.com
www.szantomierz.art.pl
www.elenalazar.com
www.ssmifc.ca
www.reliance-yachts.com
www.worest.com.ar
www.kps4parents.com
www.coolfreepages.com
www.scanex-medical.fi
www.jimvann.com
www.orari.net
www.himpsi.org
www.mtfdesign.com
www.jldr.ca
www.relocationflorida.com
www.rentalstation.com
www.approved1stmortgage.com
www.velezcourtesymanagement.com
www.sunassetholdings.com
www.compsolutionstore.com
www.uhcc.com
www.justrepublicans.com
www.pfadfinder-leobersdorf.com
www.featech.com
www.vinirforge.com
www.magicbottle.com.tw
www.giantrevenue.com
www.couponcapital.net
www.crystalrose.ca
駭蟲會用下列名稱,複製自己到包含有"shar"字串的資料夾裡:
Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe
駭蟲會停止和使下列services失效:
"SharedAccess" - Internet Connection Sharing
"wscsvc" - MS security center
駭蟲會開啟後門 TCP port 81。
駭蟲會搜尋下列副檔名裡的email addresses:
.wab
.txt
.msg
.htm
.shtm
.stm
.xml
.dbx
.mbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.pl
.wsh
.adb
.tbb
.sht
.xls
.oft
.uin
.cgi
.mht
.dhtm
.jsp
駭蟲會防止寄送,包含下列字串的email addresses:
@hotmail
@msn
@microsoft
rating@
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
kasp
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
sopho
@foo
@iana
free-av
@messagelab
winzip
google
winrar
samples
abuse
panda
cafee
spam
pgp
@avp.
noreply
local
root@
postmaster@
透過自己的SMTP大量發送病毒信件。
透過病毒執行後,將駭蟲本身複製到%System%
wingo.exewingo.exeopen wingo.exeopenopen wingo.exeopenopenopen wingo.exeopenopenopenopen
修改登錄檔,如此開機即會啟動駭蟲。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
名稱=wingo 值=%System%\wingo.exe
刪除下列登錄檔中的值,使其無法常駐。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
My AV Zone Labs Client Ex 9XHtProtect Antivirus Special Firewall Service service Tiny AV ICQNet HtProtect NetDy Jammer2nd FirewallSvr MsInfo SysMonXP EasyAV PandaAVEngine Norton Antivirus AV KasperskyAVEng SkynetsRevenge ICQ Net
駭蟲會刪除登錄檔中,包含下列字串的值,使其無法常駐。
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
My AV
Zone Labs Client Ex
9XHtProtect
Antivirus
Special Firewall Service
service
Tiny AV
ICQNet
HtProtect
NetDy
Jammer2nd
FirewallSvr
MsInfo
SysMonXP
EasyAV
PandaAVEngine
Norton Antivirus AV
KasperskyAVEng
SkynetsRevenge
ICQ Net
http://web.nutn.edu.tw/608/virus/virus-128.htm
Beagle.35 會開啟後門 TCP port 81 並透過自己的SMTP大量發送病毒信件,此隻駭蟲也會刪除登錄檔中,包含某些字串的值,使其無法常駐,如 Antivirus、service、ICQ Net 等。 基本介紹
病毒名稱
Worm@W32.Beagle.35
病毒別名
Win32.Bagle.AR [Computer Associates], W32/Bagle.bd@MM [McAfee]
病毒型態
Worm , E-Mail
病毒發現日期
2004/11/01
影響平台
Windows 95/98/ME , Windows NT/2000/XP/2003
風險評估
散播程度:中
破壞程度:低
Worm@W32.Beagle.35信件格式:
發信者:
主旨: < 下列任一個 > Re: Re: Hello Re: Hi Re: Thank you! Re: Thanks :)
內文: :))
附加檔案: < 下列任一個 > Price price Joke副檔名可能是.com,.cpl,.exe,or .scr。
Worm@W32.Beagle.35 行為描述:
註:在Win95/98/me %System% 預設值為 C:\windows\System
在WinNT/2000/XP/2003 %System% 系統預設值為 C:\WinNT\System32
駭蟲通常會終止下列的程序,通常和其他病毒或防毒軟體有關:
mcagent.exe
mcvsshld.exe
mcshield.exe
mcvsescn.exe
mcvsrte.exe
DefWatch.exe
Rtvscan.exe
ccEvtMgr.exe
NISUM.EXE
ccPxySvc.exe
navapsvc.exe
NPROTECT.EXE
nopdb.exe
ccApp.exe
Avsynmgr.exe
VsStat.exe
Vshwin32.exe
alogserv.exe
RuLaunch.exe
Avconsol.exe
PavFires.exe
FIREWALL.EXE
ATUPDATER.EXE
LUALL.EXE
DRWEBUPW.EXE
AUTODOWN.EXE
NUPGRADE.EXE
OUTPOST.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ESCANH95.EXE
AVXQUAR.EXE
ESCANHNT.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
AVWUPD32.EXE
AVPUPD.EXE
CFIAUDIT.EXE
UPDATE.EXE
NUPGRADE.EXE
MCUPDATE.EXE
pavsrv50.exe
AVENGINE.EXE
APVXDWIN.EXE
pavProxy.exe
navapw32.exe
navapsvc.exe
ccProxy.exe
navapsvc.exe
NPROTECT.EXE
SAVScan.exe
SNDSrvc.exe
symlcsvc.exe
LUCOMS~1.EXE
blackd.exe
bawindo.exe
FrameworkService.exe
VsTskMgr.exe
SHSTAT.EXE
UpdaterUI.exe
駭蟲會從下列其中一個下載檔案,儲存在%System%\re_file.exe,並且執行它:
www.bottombouncer.com
www.anthonyflanagan.com
www.bradster.com
www.traverse.com
www.ims-i.com
www.realgps.com
www.aviation-center.de
www.gci-bln.de
www.pankration.com
www.jansenboiler.com
www.corpsite.com
www.everett.wednet.edu
www.onepositiveplace.org
www.raecoinc.com
www.wwwebad.com
www.corpsite.com
www.wwwebmaster.com
www.dragcar.com
www.oohlala-kirkland.com
www.calderwoodinn.com
www.buddyboymusic.com
www.smacgreetings.com
www.tkd2xcell.com
www.curtmarsh.com
www.dontbeaweekendparent.com
www.soloconsulting.com
www.lasermach.com
www.generationnow.net
www.flashcorp.com
www.kencorbett.com
www.FritoPie.NET
www.leonhendrix.com
www.transportation.gov.bh
www.jhaforpresident.7p.com
www.DarrkSydebaby.com
www.cntv.info
www.sugardas.lt
www.adhdtests.com
www.argontech.net
www.customloyal.com
www.ohiolimo.com
www.topko.sk
www.alupass.lu
www.sigi.lu
www.redlightpictures.com
www.irinaswelt.de
www.bueroservice-it.de
www.kranenberg.de
www.the-fabulous-lions.de
www.mongolische-renner.de
www.capri-frames.de
www.aimcenter.net
www.boneheadmusic.com
www.fludir.is
www.sljinc.com
www.tivogoddess.com
www.fcpages.com
www.andara.com
www.freeservers.com
www.programmierung2000.de
www.asianfestival.nl
www.aviation-center.de
www.gci-bln.de
www.mass-i.kiev.ua
www.jasnet.pl
www.atlantisteste.hpg.com.br
www.fludir.is
www.rieraquadros.com.br
www.metal.pl
www.handsforhealth.com
www.angelartsanctuary.com
www.firstnightoceancounty.org
www.chinasenfa.com
www.ulpiano.org
www.gamp.pl
www.vikingpc.pl
www.woundedshepherds.com
www.cpc.adv.br
www.velocityprint.com
www.esperanzaparalafamilia.com
www.celula.com.mx
www.mexis.com
www.wecompete.com
www.vbw.info
www.gfn.org
www.aegee.org
www.deadrobot.com
www.cscliberec.cz
www.ecofotos.com.br
www.amanit.ru
www.bga-gsm.ru
www.innnewport.com
www.knicks.nl
www.srg-neuburg.de
www.mepmh.de
www.mepbisu.de
www.kradtraining.de
www.polizeimotorrad.de
www.sea.bz.it
www.uslungiarue.it
www.gcnet.ru
www.aimcenter.net
www.vandermost.de
www.szantomierz.art.pl
www.immonaut.sk
www.eurostavba.sk
www.spadochron.pl
www.pyrlandia-boogie.pl
www.kps4parents.com
www.pipni.cz
www.selu.edu
www.travelchronic.de
www.fleigutaetscher.ch
www.irakli.org
www.oboe-online.com
www.pe-sh.com
www.idb-group.net
www.ceskyhosting.cz
www.hartacorporation.com
www.glass.la
www.24-7-transportation.com
www.fepese.ufsc.br
www.ellarouge.com.au
www.bbsh.org
www.boneheadmusic.com
www.sljinc.com
www.tivogoddess.com
www.fcpages.com
www.szantomierz.art.pl
www.elenalazar.com
www.ssmifc.ca
www.reliance-yachts.com
www.worest.com.ar
www.kps4parents.com
www.coolfreepages.com
www.scanex-medical.fi
www.jimvann.com
www.orari.net
www.himpsi.org
www.mtfdesign.com
www.jldr.ca
www.relocationflorida.com
www.rentalstation.com
www.approved1stmortgage.com
www.velezcourtesymanagement.com
www.sunassetholdings.com
www.compsolutionstore.com
www.uhcc.com
www.justrepublicans.com
www.pfadfinder-leobersdorf.com
www.featech.com
www.vinirforge.com
www.magicbottle.com.tw
www.giantrevenue.com
www.couponcapital.net
www.crystalrose.ca
駭蟲會用下列名稱,複製自己到包含有"shar"字串的資料夾裡:
Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe
駭蟲會停止和使下列services失效:
"SharedAccess" - Internet Connection Sharing
"wscsvc" - MS security center
駭蟲會開啟後門 TCP port 81。
駭蟲會搜尋下列副檔名裡的email addresses:
.wab
.txt
.msg
.htm
.shtm
.stm
.xml
.dbx
.mbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.pl
.wsh
.adb
.tbb
.sht
.xls
.oft
.uin
.cgi
.mht
.dhtm
.jsp
駭蟲會防止寄送,包含下列字串的email addresses:
@hotmail
@msn
@microsoft
rating@
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
kasp
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
sopho
@foo
@iana
free-av
@messagelab
winzip
winrar
samples
abuse
panda
cafee
spam
pgp
@avp.
noreply
local
root@
postmaster@
透過自己的SMTP大量發送病毒信件。
透過病毒執行後,將駭蟲本身複製到%System%
wingo.exewingo.exeopen wingo.exeopenopen wingo.exeopenopenopen wingo.exeopenopenopenopen
修改登錄檔,如此開機即會啟動駭蟲。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
名稱=wingo 值=%System%\wingo.exe
刪除下列登錄檔中的值,使其無法常駐。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
My AV Zone Labs Client Ex 9XHtProtect Antivirus Special Firewall Service service Tiny AV ICQNet HtProtect NetDy Jammer2nd FirewallSvr MsInfo SysMonXP EasyAV PandaAVEngine Norton Antivirus AV KasperskyAVEng SkynetsRevenge ICQ Net
駭蟲會刪除登錄檔中,包含下列字串的值,使其無法常駐。
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
My AV
Zone Labs Client Ex
9XHtProtect
Antivirus
Special Firewall Service
service
Tiny AV
ICQNet
HtProtect
NetDy
Jammer2nd
FirewallSvr
MsInfo
SysMonXP
EasyAV
PandaAVEngine
Norton Antivirus AV
KasperskyAVEng
SkynetsRevenge
ICQ Net
http://web.nutn.edu.tw/608/virus/virus-128.htm
2006-06-05
Panda ActiveScan
http://www.pandasoftware.com.tw/freescan/activescan.htm
現在,使用線上掃毒服務─Panda ActiveScan,讓清除您電腦中病毒的工作更容易了:
因為您不需要安裝任何程式,只需在您想掃瞄您電腦的時候,連結到網際網路並簡單的敲擊滑鼠即可。
因為您可以掃瞄、解毒、清除您整個電腦系統內的病毒,包含硬碟、壓縮檔、以及您所有的電子郵件。
因為它內建了性能強大的啟發式系統以偵測新的或未知病毒。
因為它每天至少更新一次病毒碼定義檔,所以每次的掃瞄都能偵測出最新出現的病毒與其他惡意程式。
請記住:Panda ActiveScan只能讓您手動執行掃瞄與解毒。Panda Software提供您完整的解決方案,而能根據您自己的需求提供理想的永久防護。想進一步瞭解Panda Software的病毒防護解決方案,請敲擊這裡
免費線上掃毒服務注意事項
第一、Panda Software所提供的線上病毒掃描服務是完全免費且每日更新,請放心使用。第二、第一次使用Panda ActiveScan時,會先下載大約3.2MB的執行元件,以後使用時便不再需要下載這些元件。第三、如果您是使用56K數據機撥接上網,您可以在選擇掃描項目並開始掃描後切斷與網際網路的連線。而只要在掃描結束並想察看掃描報告時,才需再與網際網路連線。如此,將可省下您可觀的網路連線費用。第四、如果您不想訂閱Panda Software的電子報,請在第三個步驟中不要勾選「Subscribe to Oxygen3」選項。第五、在選擇掃描項目時,如果需要一併掃描未知病毒,請在第六個步驟時勾選「Detect unknown viruses (heuristic)」選項。第六、如果在掃描時您不想自動解毒(發現病毒時),請在第六個步驟時不要勾選「Disinfect automatically」選項。
免費線上掃毒服務執行程序
第一步點選上方「Online Virus Check」連結圖示。第二步在服務簡介網頁上點選「Next」按鍵。第三步在開啟的網頁上輸入您的電子郵件信箱並按下「Send」按鍵。第四步在開啟的網頁上選擇您的所在區域並按下「Start」按鍵。第五步按下「Start」按鍵後會開始下載掃描元件,並詢問您是否接受Panda Software的數位簽章認證,請點選「Yes」。第六步元件下載完畢後,會開啟掃描項目網頁,請點選您想掃描的項目即可。
http://www.pandasoftware.com.tw/freescan/activescan.htm
現在,使用線上掃毒服務─Panda ActiveScan,讓清除您電腦中病毒的工作更容易了:
因為您不需要安裝任何程式,只需在您想掃瞄您電腦的時候,連結到網際網路並簡單的敲擊滑鼠即可。
因為您可以掃瞄、解毒、清除您整個電腦系統內的病毒,包含硬碟、壓縮檔、以及您所有的電子郵件。
因為它內建了性能強大的啟發式系統以偵測新的或未知病毒。
因為它每天至少更新一次病毒碼定義檔,所以每次的掃瞄都能偵測出最新出現的病毒與其他惡意程式。
請記住:Panda ActiveScan只能讓您手動執行掃瞄與解毒。Panda Software提供您完整的解決方案,而能根據您自己的需求提供理想的永久防護。想進一步瞭解Panda Software的病毒防護解決方案,請敲擊這裡
免費線上掃毒服務注意事項
第一、Panda Software所提供的線上病毒掃描服務是完全免費且每日更新,請放心使用。第二、第一次使用Panda ActiveScan時,會先下載大約3.2MB的執行元件,以後使用時便不再需要下載這些元件。第三、如果您是使用56K數據機撥接上網,您可以在選擇掃描項目並開始掃描後切斷與網際網路的連線。而只要在掃描結束並想察看掃描報告時,才需再與網際網路連線。如此,將可省下您可觀的網路連線費用。第四、如果您不想訂閱Panda Software的電子報,請在第三個步驟中不要勾選「Subscribe to Oxygen3」選項。第五、在選擇掃描項目時,如果需要一併掃描未知病毒,請在第六個步驟時勾選「Detect unknown viruses (heuristic)」選項。第六、如果在掃描時您不想自動解毒(發現病毒時),請在第六個步驟時不要勾選「Disinfect automatically」選項。
免費線上掃毒服務執行程序
第一步點選上方「Online Virus Check」連結圖示。第二步在服務簡介網頁上點選「Next」按鍵。第三步在開啟的網頁上輸入您的電子郵件信箱並按下「Send」按鍵。第四步在開啟的網頁上選擇您的所在區域並按下「Start」按鍵。第五步按下「Start」按鍵後會開始下載掃描元件,並詢問您是否接受Panda Software的數位簽章認證,請點選「Yes」。第六步元件下載完畢後,會開啟掃描項目網頁,請點選您想掃描的項目即可。
Logfile of HijackThis v1.99.1
Scan saved at PM 05:02:31, on 2006/5/25
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAM FILES\MSN APPS\UPDATER\01.03.0000.1005\ZH-TW\MSNAPPAU.EXE
C:\PROGRAM FILES\SWT2000\HCM.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAM FILES\SPYWARE DOCTOR\SWDOCTOR.EXE
C:\WINDOWS\SYSTEM\KERNE0223.EXE
C:\PROGRAM FILES\ACARD\ONNOW.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\HIJACKTHIS\HIJACKTHIS.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.5000.1021\ZH-TW\MSNTB.DLL
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\PROGRAM FILES\MSN APPS\ST\01.03.0000.1005\EN-XU\STMAIN.DLL
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\TOOLS\IESDSG.DLL
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\TOOLS\IESDPB.DLL
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.5000.1021\ZH-TW\MSNTB.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1028,收音機[&R] - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.03.0000.1005\zh-tw\msnappau.exe"
O4 - HKLM\..\Run: [SDM4500P] C:\Program Files\SWT2000\HCM.exe
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Spyware Doctor] "C:\PROGRAM FILES\SPYWARE DOCTOR\SWDOCTOR.EXE" /Q
O4 - HKCU\..\Run: [Kerne0223] C:\WINDOWS\SYSTEM\Kerne0223.exe
O4 - HKCU\..\RunServices: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunServices: [Spyware Doctor] "C:\PROGRAM FILES\SPYWARE DOCTOR\SWDOCTOR.EXE" /Q
O4 - HKCU\..\RunServices: [Kerne0223] C:\WINDOWS\SYSTEM\Kerne0223.exe
O4 - Startup: OnNow.lnk = C:\Program Files\ACARD\OnNow.EXE
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\TOOLS\IESDPB.DLL
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: Yahoo! Reversi - http://download.games.yahoo.com/games/clients/y/rt0_x.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_ansi.cab
移除 kerne0223.dll
重新啓動電腦. 之後用 HijackThis、Panda ActiveScan 掃描電腦,然後貼上 HijackThis、Panda ActiveScan 掃描記錄.
Scan saved at PM 05:02:31, on 2006/5/25
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAM FILES\MSN APPS\UPDATER\01.03.0000.1005\ZH-TW\MSNAPPAU.EXE
C:\PROGRAM FILES\SWT2000\HCM.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAM FILES\SPYWARE DOCTOR\SWDOCTOR.EXE
C:\WINDOWS\SYSTEM\KERNE0223.EXE
C:\PROGRAM FILES\ACARD\ONNOW.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\HIJACKTHIS\HIJACKTHIS.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.5000.1021\ZH-TW\MSNTB.DLL
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\PROGRAM FILES\MSN APPS\ST\01.03.0000.1005\EN-XU\STMAIN.DLL
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\TOOLS\IESDSG.DLL
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\TOOLS\IESDPB.DLL
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.5000.1021\ZH-TW\MSNTB.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1028,收音機[&R] - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.03.0000.1005\zh-tw\msnappau.exe"
O4 - HKLM\..\Run: [SDM4500P] C:\Program Files\SWT2000\HCM.exe
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Spyware Doctor] "C:\PROGRAM FILES\SPYWARE DOCTOR\SWDOCTOR.EXE" /Q
O4 - HKCU\..\Run: [Kerne0223] C:\WINDOWS\SYSTEM\Kerne0223.exe
O4 - HKCU\..\RunServices: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunServices: [Spyware Doctor] "C:\PROGRAM FILES\SPYWARE DOCTOR\SWDOCTOR.EXE" /Q
O4 - HKCU\..\RunServices: [Kerne0223] C:\WINDOWS\SYSTEM\Kerne0223.exe
O4 - Startup: OnNow.lnk = C:\Program Files\ACARD\OnNow.EXE
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\TOOLS\IESDPB.DLL
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: Yahoo! Reversi - http://download.games.yahoo.com/games/clients/y/rt0_x.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_ansi.cab
移除 kerne0223.dll
重新啓動電腦. 之後用 HijackThis、Panda ActiveScan 掃描電腦,然後貼上 HijackThis、Panda ActiveScan 掃描記錄.