我中左Win32/Viking.N virus牙,,點解救牙!

Question

我中左Win32/Viking.N virus...佢擴散得超快牙,,,我用nod32掃佢,,佢就del我window內部d野牙,,令我部機開唔到,,不繼係到重開..跟住我要用window復收,,雖然收復左少少但係個收復主控台話我以經唔見左d file...點算牙,,係唔係要重裝window牙,,仲有個Win32/Viking.N virus病毒仲係我部機到,,,我只係隔離左佢,,唔識del左佢牙,,求求大家救下我牙,,thx..十萬分感謝,,!!

Answer 1

病毒名称：Virus.Win32.Dzan.a（Kaspersky）
　　　　　 清除Virus.Win32.Dzan.a后：Trojan.Win32.VB.atg（Kaspersky）
病毒别名：Worm.Suser.a（瑞星）
病毒大小：110,592 字节
　　　　　 清除Virus.Win32.Dzan.a后：45,056 字节
加壳方式：N/A
样本MD5：3dc040cb3a352a8577f4 4a1ff8ef8ca8
样本SHA1：acf12d3a843126cc98ef d9f8e77c1cf14b027a70
发现时间：2006.11
更新时间：2006.11
关联病毒：
传播方式：通过恶意网页传播，其它木马下载，可移动存储设备（如U盘、MP3、移动硬盘）


技术分析
==========

这个tel.xls.exe是CISRT2006083http://w ww.cisrt.org/bbs/vie wthread.php?tid=464的变种，行为较之更为恶劣，我们发现这个样本会感染其它exe文件，但是，经过分析发现此文件是被另外一个感染型病毒所感染，本身并不具备感染文件的行为。

tel.xls.exe原始文件大小为45056字节（Trojan.Win32.VB.atg），和CISRT2006083http://w ww.cisrt.org/bbs/vie wthread.php?tid=464的一样，运行后复制自身到系统目录：
%Windows%\session.exe
%Windows%\svchost.exe
%System%\SocksA.exe
%System%\FileKan.exe

创建启动项：

[Copy to cl ipboard]CODE:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ASocksrv" ="SocksA.exe&qu ot;
在每个驱动器根目录复制副本：
X:\tel.xls.exe
X:\autorun.inf
在系统目录创建autorun.inf的副本：
%Windows%\BACKINF.TAB
autorun.inf内容：

[Copy to cl ipboard]CODE:[AutoRun]
open=tel.xls.exe
shellexecute=tel.xls .exe
shell\Auto\command=tel.xls.exe
shell=Auto
tel.xls.exe每10秒从%Windows%\session.exe重写X:\tel.xls.exe，从%Windows%\BACKINF.TAB重写X:\autorun.inf。

修改注册表破坏“显示所有文件和文件夹”设置：

[Copy to cl ipboard]
CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue&q uot;="0"
由于被病毒（Virus.Win32.Dzan.a）感染，导致它和之前变种CISRT2006083http://w ww.cisrt.org/bbs/vie wthread.php?tid=464有较大的差别。
被感染的tel.xls.exe运行后释放%System%\mmc.exe，覆盖系统“管理控制台”程序，这意味着系统的管理控制台无法打开，比如“计算机管理”、“服务”等。

创建服务：

QUOTE:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mmc]
显示名：Smart Card ;Supervisor
可执行文件的路径：%System%\mmc.exe
mmc.exe就是感染型文件的原程序，它常驻内存遍历目录感染exe文件，也包括系统文件，当系统文件被感染时系统会弹出“Windows文件保护”的对话框（如图）：


圖片參考：http://www.45it.com/Article/UploadFiles/200612/20061201114006886.gif



mmc.exe大小61440字节，被感染exe文件增加大小61952字节，是mmc.exe自身大小再加512字节，被感染exe文件运行后会释放mmc.exe运行。

病毒文件如图：


圖片參考：http://www.45it.com/Article/UploadFiles/200612/20061201114025292.gif




清除步骤
==========

1. 结束病毒进程：
%System%\mmc.exe
X:\tel.xls.exe
%Windows%\svchost.exe
%System%\SocksA.exe

2. 删除病毒文件：
%Windows%\BACKINF.TAB
%Windows%\session.exe
%Windows%\svchost.exe
%System%\SocksA.exe
%System%\FileKan.exe
%System%\mmc.exe

3. 通过磁盘驱动器右键菜单进入根目录：右键点击驱动器盘符，点击菜单中的“打开”进入驱动器根目录，删除根目录下的文件：
X:\autorun.inf
X:\tel.xls.exe

4. 删除病毒启动项和服务：

[Copy to cl ipboard]
CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ASocksrv" ="SocksA.exe&qu ot;

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mmc]
5. 修改“显示所有文件和文件夹”设置，到注册表以下位置：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
删除右边病毒创建的字符串值："CheckedValue&q uot;="0"
新建DWORD值，名称：CheckedValue，数据：1

6. 使用反病毒软件进行全盘扫描，清除被感染的exe文件
注：今天上午测试，Kaspersky（卡巴斯基）和瑞星（Rising）可以基本清除被感染exe文件

7. 从正常的相同的操作系统里复制%System%\mmc.exe，用以恢复系统“管理控制台”功能

Answer 2

http://www.avast.com/eng/download-avast-home.html#DownloadAvastHomeEdition
Download the Avast! antivirus software, install and allow it to scan your computer after reboot, let it reboot your computer,
once your computer is rebooted, it will override windows and do a scan for you,
it will take about 5-20 minutes to scan your disks, and it will clean everything it can find.
Hope all helps