查杀威金(维金)

[不指定 2006/10/11 18:39 | by ipaddr ]

今天到公司,屁股还没坐稳,就收到监控系统发来的通知,某台服务器中毒了,远程登录,使用ProceXP看了一下,发现是小病毒,直接Kill,再删除就OK了.

本以为很简单的解决,但发现病毒会一直出现,看来问题不是那么简单,通过ProceXP发现C:\wincodws\Logo1_.exe,Dll.dll,rundl132.exe(注意了,第一个是字母l,第二个是数字1)有问题,而且一直删除不成功.

其它病毒都由几个文件下载,看来这是病毒的主体的,每次删除,清掉注册表相关项,重启或重新Login后,病毒又回来了,实在没办法,

更要命的是,由于服务器共用一个DomainUser登录,该User都是其它服务器的Administrators,所以,几乎所有内部服务器都中毒,看来情况很严峻.

在网上找了金山的专杀工具,什么也没查到,而且,这病毒会干扰一些程序的执行,也会把其它杀毒软件关掉,看来是厉害角色.把服务器网关换了,不能上网,病毒还是会出来,真是奇怪了.

经过一上午的处理,终于找到办法对付,这病毒不能直接删除,方法如下:
首先,把所有能手工杀的病毒都杀掉,一般有Windows下面的0Sy.exe之类的,还有windows/command program files/microsoft/等等,这些可以直接杀.
a.首先查看Explorer.exe有没有调用C:\windows\Dll.dll,这个可以用ProceXP查看,如果有调用Dll.dll的话,使用ProceXP Kill Explorer.exe,再Kill rundl132.exe,kill Logo1_.exe,
b.使用Cygwin运行
cd c:
cd windows
rm -f rundl132.exe
touch rundl132.exe
chmod 000 rundl132.exe

rm -f Dll.dll
touch Dll.dll
chmod 000 Dll.dll

rm -f Logo1_.exe
touch Logo1_.exe
chmod 000 Logo1_.exe

c.删除注册表中所有包含rundl132.exe的项(注意不是两个l)

d.删除系统中所有_desktop.ini

e.重启,再使用杀毒软件杀一次毒.

上面的命令都是基于Cygwin,后来在网上发现有别人写的Dos命令,加强了一下:

[code]

@echo off

if exist %windir%\rundl132.exe echo Found Virus!

pause

taskkill /f /im rundl132.exe
taskkill /f /im logo_1.exe
taskkill /f /im explorer.exe
taskkill /f /im logo1_.exe
taskkill /f /im Ravmon.exe
taskkill /f /im Eghost.exe
taskkill /f /im Mailmon.exe  
taskkill /f /im KAVPFW.EXE
taskkill /f /im IPARMOR.EXE
taskkill /f /im Ravmond.exe
taskkill /f /im 0sy.exe
taskkill /f /im 1sy.exe
taskkill /f /im 2sy.exe
taskkill /f /im 3sy.exe
taskkill /f /im 4sy.exe
taskkill /f /im 5sy.exe
taskkill /f /im 6sy.exe
taskkill /f /im 7sy.exe
taskkill /f /im 8sy.exe
taskkill /f /im 9sy.exe
taskkill /f /im 10sy.exe
taskkill /f /im 11sy.exe
taskkill /f /im 12sy.exe
taskkill /f /im 13sy.exe
taskkill /f /im 15sy.exe
taskkill /f /im 25sy.exe


del /f /s /q /a s h %systemdrive%\rundl132.exe
del /f /s /q /a s h %systemdrive%\Dll.dll
del /f /s /q /a s h %systemdrive%\vdll.dll
del /f /s /q /a s h %systemdrive%\logo_1.exe
del /f /s /q /a s h %systemdrive%\Logo1_.exe
del /f /s /q /a s h %systemdrive%\Logo1.exe
del /f /s /q /a s h %systemdrive%\?sy.exe

del /f /s /q /a s h c:\_desktop.ini> cleanvirus.log
del /f /s /q /a s h d:\_desktop.ini>>cleanvirus.log
del /f /s /q /a s h e:\_desktop.ini>>cleanvirus.log
del /f /s /q /a s h f:\_desktop.ini>>cleanvirus.log



IF EXIST %WINDIR%\logo1_.exe attrib %WINDIR%\logo1_.exe -r -h
IF EXIST %WINDIR%\logo1_.exe del %WINDIR%\logo1_.exe
IF EXIST %WINDIR%\logo_1.exe attrib %WINDIR%\logo_1.exe -r -h
IF EXIST %WINDIR%\logo_1.exe del %WINDIR%\logo_1.exe
IF EXIST %WINDIR%\logo1.exe attrib %WINDIR%\logo1.exe -r -h
IF EXIST %WINDIR%\logo1.exe del %WINDIR%\logo1.exe

echo > %WINDIR%\Logo1_.exe
echo > %WINDIR%\logo_1.exe
echo > %WINDIR%\logo1.exe
echo > %WINDIR%\rundl132.exe
echo > %WINDIR%\0Sy.exe
echo > %WINDIR%\vDll.dll
echo > %WINDIR%\1.com
echo > %WINDIR%\exerouter.exe
echo > %WINDIR%\EXP10RER.com
echo > %WINDIR%\finders.com
echo > %WINDIR%\Shell.sys
echo > %WINDIR%\smss.exe
echo > %WINDIR%\kill.exe
echo > %WINDIR%\sws.dll
echo > %WINDIR%\sws32.dll
attrib %WINDIR%\Logo1_.exe +s +r +h
attrib %WINDIR%\Logo_1.exe +s +r +h
attrib %WINDIR%\Logo1.exe +s +r +h
attrib %WINDIR%\rundl132.exe +s +r +h
attrib %WINDIR%\0Sy.exe +s +r +h
attrib %WINDIR%\vDll.dll +s +r +h
attrib %WINDIR%\1.com +s +r +h
attrib %WINDIR%\exerouter.exe +s +r +h
attrib %WINDIR%\EXP10RER.com +s +r +h
attrib %WINDIR%\finders.com +s +r +h
attrib %WINDIR%\Shell.sys +s +r +h
attrib %WINDIR%\smss.exe +s +r +h
attrib %WINDIR%\kill.exe +s +r +h
attrib %WINDIR%\sws.dll +s +r +h
attrib %WINDIR%\sws32.dll +s +r +h

net share c$ /del
net share d$ /del
net share e$ /del
net share f$ /del
net share admin$ /del
net share ipc$ /del  

taskkill /f /im cmd.exe
shutdown -r
[/code]
分页: 1/1 第一页 1 最后页 [ 显示模式: 摘要 | 列表 ]