前天不小心点了盗贼区的一个所谓sina发送测试账号的贴子,结果中毒. 当时有问题看到金山毒霸拦截到一个木马,但没在意.
第二天感觉不对 上线看装备被盗.后来发现机器里有不少Logo1_.exe , EXP10RER.com(注意是1 不是L),rundl132.exe(同样是1不是L).以为是一般的木马,不过很奇怪的是金山毒霸查过后根本不报错(我的是正版,而且已经更新到最新).尝试手动删除这些文件,(并且在IE的plugin路径下也找到删除了rundl132.exe,sb.dll文件)在注册表里删除相当键值.根本没有用.重启再次出现.并且我注意到很多可执行文件的图标已经变色,表明这些文件已经被病毒更改过,但奇怪的是金山毒霸在点击这些文件后还是不会报警,于是感觉些木马不简单了.
后在网上查找关于此病毒相关信息.才发现到处都是求解的,但能解决的真的很少.........
下面是这个木马的厉害之处:
这个木马是Viking木马的新变种,基本免疫国内所有杀毒软件还会自动关闭金山,瑞星等杀毒软件的后台查毒功能,一句话,你能用的国产杀毒软件全杀不了它.国产软件在中毒后都被病毒杀死,是病毒杀掉-杀毒软件!!!如金山,瑞星等。那些软件可以认出病毒。但是认出后不久就阵亡了。他会捆绑你机器内几乎所有的exe文件,只要一运行应用程序,在windowns下的logo1.exe图标就会相应变成应用程序图标,并且所有地方再次生成一次木马.病毒感染运行windows操作系统的计算机,并且通过开放的网络资源传播。一旦安装,蠕虫将会感染受感染计算机中的.exe文件,它能绕过所有的还原软件,也就是说网吧这样的地方一旦有一台被感染后果是很可怕的,还原精灵什么的都没用。还有我试了几乎所有国内杀毒软件的viking专杀工具(金山,瑞星,江民...),同样无效.
如果是新做的系统处于中了毒的网络环境内,只要那个机器一上网,3分钟内必定中招。中招后你安装rising skynet symantec mcafee gate rfw.exe ravmon.exe kill nav 等杀毒软件 都无法补救你的系统,病毒文件 logo1_.exe 为主体病毒,他自动生成病毒发作所需要的的 sws32.dll sws.dlll kill.exe 等文件。这些文件一但衍生。他将迅速感染系统内explore 等系统核心进程 及所以.exe
的可执行文件
该病毒对于防范意识较弱,还原软件未能及时装到位的网吧十分致命,其网络传播速度十分快捷有效。旧版的杀毒软件无法检测,新版的无法彻底根杀。一但网吧内某台机器中了此病毒,那么该网吧所有未中毒的机器都处于危险状态。由于病毒发作贮留于内存。且通过explore.exe 进行传播。因此即使是装了还原精灵,还原卡的机器也同样会被感染。你重新启动后系统可以还原。但是你一但开机还是会被感染。病毒发作会生成另外病毒 pwsteal.lemir.gen 和 trojan.psw.lineage 等等。都是些非常厉害的后门程序。和外挂病毒相似,但是其威力是外挂病毒的50倍以上。
这个木马唯一的用途就是盗窃各种游戏的密码发给作者.
目前找到一个比较可行的办法,我正在试验中,但也是损失惨重,机器内的上百个exe文件全都被删了,虽然木马清掉了 ,但几乎和系统重作没什么差别,所有程序都要重新安装一遍
1,按“ctrl+alt+del”键弹出任务管理器,找到logo1_.exe 等进程,结束进程,在安全模式下,手动清除所有注册表有关0Sy.exe,1.com,1Sy.exe,2Sy.exe,3Sy.exe,5Sy.exe,exerouter.exe,EXP10RER.com,finders.com,Logo1_.exe,rundl132.exe,rund1l32.exe,smss.exe,vDll.dll,Shell.sys的键值,然后清掉windows和program files内的这些文件.
2,禁止这些文件的运行,点开始->运行,输入gpedit.msc,用户配置,管理模板,系统,右边找到不要动作指定的 Windows应用程序,点击,显示列表,把这些文件名一个个输进去.这样就可以防止木马文件被执行了.
3,安装卡巴斯基6.0,升级到最新的病毒库,杀毒.目前只有卡巴斯基能找到木马文件,以及所有被感染的exe文件,但处理这些exe文件,只能删除..........!!!
4,结果我有700多个exe文件被删掉,杀毒后的系统。 杀毒后的系统缺少的了很多系统文件。系统处于危险状态。如果你有ghost 备份。这个时候恢复一下。系统可以干净无损。如果没有请运行 sfc 命令检查文件系统。具体操作为 运行-输入cmd 命令进入dos 提示符。-输入sfc /scannow -- 提示放入系统光盘。--放进去吧。然后慢慢等。看看成果。杀毒效果显著。毒杀干净了。但是杀完毒后很多游戏都玩不了了.重装吧
我作了有10年的程序员了,虽然不是专门作系统安全,但计算机知识还有个一知半解,说实话,这么强的木马还真是没见过.免疫掉了国内所有的杀毒软件.像我这样的基本在家上网,window正版所有补丁全有, 有病毒马上就能发现,大部分能手动杀掉的,也因为不及时发现同样被盗.最近正有打算afk,被盗也正好解放了一下,广大魔兽玩家多保重.
我被盗正好是今天更新完上去了一下,晚上杀完毒上去一看装备和钱没了.像我这样的上班族,对这些东西倒也无所谓的态度.不过发个贴子还是要给各位玩家提个醒了.
