瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 一个困扰我多日的病毒
xiao_mai - 2009-12-21 17:30:00

附件: chis_zh.rar (2009-12-22 16:23:53, 120.37 K)
该附件被下载次数 476

中毒后情况:d盘和e盘中的exe文件变花,不能使用;
开始用瑞星杀毒,中毒的exe文件恢复过来了,但过一段时间把我的exe文件给破坏掉;
C:\windows\system32\目录下会产生一个名叫"bqtfnzi.ua"的文件,D盘目录下会出现bakcoolpasc.exe文件,不过一出来就被360杀毒干掉(我电脑上装了瑞星和360两个杀毒软件);
在C:\windows\tasks目录下会产生At1.job,At2.job,At3.job等At+数字.job的文件,被360报出有问题,但不能访问;
有一个EpstsSrv.exe进程产生;
开始怀疑是威金病毒变种,用瑞星/金山/江民的威金专杀杀过,用大蜘蛛杀过,每次都是把破坏掉的exe文件恢复后,还是不能把病毒清除;

由于那些有问题的文件现在都被我删掉,不能上传,有谁知道怎样把病毒完全清除,不再破坏我的exe文件.我不想重装系统.


补充:
由于昨晚病毒又爆发,这次我把名叫“EPSON ESC/POS Status Service”给禁用,也把正在执行的一个名叫“EpStsSrv.exe”的进程删了。病毒把我整个盘的exe文件都破坏了,特征和网上说的威金病毒一样,C盘部分文件夹里的exe文件没事,(上几次都只是感染D盘和E盘的,连F盘的都不感染,不知这个怎么大爆发了)。然后在安全模式下用瑞星杀毒,把破坏掉的exe文件还原过来了,然而今天太平了一个早上,下午又感染了...

附件上传已经打包感染了病毒的exe文件,有关logo1_.exe,rundl132.exe,kill.exe,vdll.dll等相关的文件除了昨晚大爆发的时候出现过,现在一个都找不到!

问题再补充:
在C:\windows\tasks目录下又发现了一个At1.job,今天把它压缩了上传上来,怎样才能让电脑不再产生这个文件?

有个问题在这强调一下:病毒发作的时候用专杀把病毒杀了,感染的文件恢复正常,就是说杀毒软件就只能在病毒每次爆发的时候把扩散的病毒清除掉,但不能阻止病毒下一次扩散。

今天终于找到时间在安全模式用SREng扫描了电脑,现在传上日志文件,麻烦各位大侠帮忙看看。
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQDownload 590; InfoPath.1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)

附件: At1.rar

附件: SREngLOG.log
德拉克拉·零 - 2009-12-21 17:53:00
用SREng上报日志,顶置帖子有下载。
剑心独客 - 2009-12-21 19:07:00
上报吧。。。同时建议一台机器不要装两个以上的杀软
初殇 - 2009-12-21 19:11:00
把样本打包发上来瞧瞧,呵呵,这么有意思的病毒
★蓝色尘埃★ - 2009-12-22 21:28:00
你装两个杀软件,不慢吗?不冲突吗?那种感觉比中毒还难受。
ADL - 2009-12-22 21:38:00
反病毒引擎版本最后更新扫描结果
a-squared4.5.0.432009.12.22-
AhnLab-V35.0.0.22009.12.22Win32/Viking.Gen
AntiVir7.9.1.1222009.12.22TR/Crypt.NSPM.Gen
Antiy-AVL2.0.3.72009.12.22-
Authentium5.2.0.52009.12.22W32/Viking.AX
Avast4.8.1351.02009.12.22Win32:OnLineGames-BCZ
AVG8.5.0.4272009.12.22Generic2.MHH
BitDefender7.22009.12.22Win32.Worm.Viking.CA
CAT-QuickHeal10.002009.12.22Worm.Viking.cv
ClamAV0.94.12009.12.22Trojan.Packed-51
Comodo33312009.12.22Win32.Viking.CH~clean
DrWeb5.0.1.121812009.12.22Win32.HLLW.Gavir.54
eSafe7.0.17.02009.12.21-
eTrust-Vet35.1.71912009.12.22-
F-Prot4.5.1.852009.12.21W32/Viking.AX
F-Secure9.0.15370.02009.12.22Win32.Worm.Viking.CA
Fortinet4.0.14.02009.12.22W32/HLLP_Philis.CV!worm
GData192009.12.22Win32.Worm.Viking.CA
IkarusT3.1.1.79.02009.12.22Trojan-GameThief.Win32.Nilage
Jiangmin13.0.9002009.12.22Worm/Viking.mn
K7AntiVirus7.10.9252009.12.21Worm.Win32.Viking
Kaspersky7.0.0.1252009.12.22Worm.Win32.Viking.cv
McAfee58392009.12.21W32/HLLP.Philis.cx
McAfee+Artemis58392009.12.21W32/HLLP.Philis.cx
McAfee-GW-Edition6.8.52009.12.22Trojan.Crypt.NSPM.Gen
Microsoft1.53022009.12.22Virus:Win32/Viking.CV
NOD3247082009.12.22Win32/Viking.CH
Norman6.04.032009.12.22NSAnti.TZK
nProtect2009.1.8.02009.12.22-
Panda10.0.2.22009.12.15W32/Viking.DT
PCTools7.0.3.52009.12.22Trojan.Onlinegames.Gen!Pac.30
Prevx3.02009.12.22-
Rising22.27.01.042009.12.22Packer.Win32.Mian007.a
Sophos4.49.02009.12.22Mal/EncPk-F
Sunbelt3.2.1858.22009.12.22BehavesLike.Win32.Malware (v)
Symantec1.4.4.122009.12.22W32.Looked.P
TheHacker6.5.0.3.1032009.12.22W32/Viking.cv
TrendMicro9.120.0.10042009.12.22PE_LOOKED.OC
VBA323.12.12.02009.12.22MalwareScope.Worm.Viking.2
ViRobot2009.12.22.21022009.12.22-
VirusBuster5.0.21.02009.12.21Trojan.Lineage.Gen!Pac.3
xiao_mai - 2009-12-23 8:58:00
怎么我用SRENG智能扫描,扫了一个晚上还没扫完的,服务、驱动程序、正在运行的进程和windows安全更新检查这几项一直在扫描中......
xiao_mai - 2009-12-23 9:02:00
感谢啊,这个病毒杀毒软件都可以查到,但是杀不干净,过一段时间又爆发,烦恼啊~~~
天月来了 - 2009-12-23 9:28:00
去安全模式下扫描SRENG日志
networkedition - 2009-12-23 10:28:00
是局域网环境么,如果是局域网,请将所有计算机的默认共享关闭,计算机设置开机密码(健壮),使用杀毒软件或威金专杀工具进行全盘杀毒,局域网所有电脑都要进行查杀。打全操作系统的补丁等,此病毒会攻击445、139等端口。
xiao_mai - 2009-12-23 11:28:00
哪个威金专杀工具比较好,我的操作系统是正版的,补丁应该都打全,安全模式里用瑞星杀过,不过密码不是很健壮,就我一台电脑有问题,局域网里其他的电脑都没问题~~~!
aaccbbdd - 2009-12-23 12:36:00
瑞星的专杀工具就可以啊

安装个防火墙吧。。。
networkedition - 2009-12-23 13:17:00
瑞星的威金专杀工具:http://download.rising.com.cn/zsgj/Vikingkiller.scr
ps:建议安装个人防火墙。
xiao_mai - 2009-12-24 18:30:00
以上的方法我都尝试了,D盘和E盘中的exe文件还是定时受感染,有没有高手能给个好点的建议
天月来了 - 2009-12-24 18:52:00
用瑞星杀毒软件监控一下,看到底什么时候什么程序要去感染修改其他盘的那些.exe文件

没好办法了

是在局域网内么??
xiao_mai - 2009-12-26 1:10:00
瑞星也监控不了,exe文件全部感染了瑞星也没一点提示。是有连局域网的,25号这天瑞星还不感染的exe文件都隔离了(之前是清楚病毒,还原exe文件的)。方法慢慢找,等到有为止~~~
天月来了 - 2009-12-26 8:02:00
让你的电脑长期绝不连入局域网,再观察怎样

如果不连入局域网,还是其他盘被感染,就是你其他盘的什么病毒程序又被运行了。

如果不连入局域网就没有感染情况发生,就是网内其他电脑影响你。

那就不是光折腾你的电脑能解决的了。
xiao_mai - 2010-1-5 18:08:00
的确是局域网的问题,前段时间把局域网断掉,一直都没出现中毒状况,现在连上了又遭受攻击,不过现在好多了,exe文件都没被感染,就是在C:\windows:\tasks创建At1.job文件(这个就是我上传上来的At1.rar文件)。感谢各位的帮忙
baohe - 2010-1-5 18:11:00
WIN7

没有数字签名

就是提权运行

它也没戏:kaka12:









天月来了 - 2010-1-5 18:26:00
计划任务只要出现那个,基本上局域网内肯定有电脑中此毒了

http://bbs.ikaka.com/showtopic-8612678.aspx
byxxdrls - 2010-1-5 19:11:00
这毒不是CONFICKER,是威金。不知是利用什么漏洞来传播的,可以搜索一下的。
建议还是要打全补丁,关闭不必要的共享
duo9843 - 2011-5-1 19:49:00
就是那个!!!2011/5/1 19:46:58    已感染    病毒 Worm.Win32.Viking.cv    http://bbs.ikaka.com/attachment.aspx?attachmentid=584193//chis_zh.exe    高
1
查看完整版本: 一个困扰我多日的病毒