小弟昨天在 www.gamebase.com.tw 的廣告中發現新的P2P系統

fxxp://www.pigo.cn/ (警告, 目前除了 Norton 之外. 其他的軟體抓不到, 而且病毒只開啟網頁就可能中獎, 想試驗者請自行換成 http)

於是順手去抓來試試看.
好死不死. 安裝時小弟正在解壓縮 AVI 檔案 ( 這個就不要問是哪個 AVI 啦 :D ) 順手把 Norton 關掉.

想不到接下來 gamebase 就上不去了. 通通連到 fxxp://66.197.186.149 上去 (TW_AVGirls 這也是有毒的. 請小心)

(迷之聲: 這不就是你需要的嗎 ?)


接下來, 小弟的機器就每隔幾分鐘, 做一次 "硬碟大翻滾".....

偏偏已經中毒的 Norton 一點都茫然無所覺......

小弟只好把網路分享打開, 請其他機器來掃描, 果然有病毒. Norton 認為是 Win32.Looked.B

解說在這邊:
http://securityresponse.symantec.com/avcenter/venc/data/w32.looked.b.html

另外. 小弟試驗過.
KAV, F-Secure, NOD, RAV 這幾套. 通通裝死找不到, 更不用說修復了


雖然 Norton 可以防禦. 但是被咬的檔案無法修復.
所以這邊問問看有沒有大大知道如何解毒的 ?

贊助商連結

Net-Worm.Win32.Zorin.a
Aliases
Net-Worm.Win32.Zorin.a (Kaspersky Lab) is also known as: Worm.Win32.Zorin.a (Kaspersky Lab), W32.Looked.B (Symantec), Win32.HLLW.Looked (Doctor Web), W32/LegMir-X (Sophos), PE_LEOX.A (Trend Micro), W32/Zorin.A (FRISK), Worm/Zorin.A (Grisoft), NewHeur_PE (Eset) Detection added Jan 09 2005
Description added Jan 17 2005
Behavior Net-Worm
Technical Details


This worm infects computers running Windows, and spreads via open network resources. Once installed, the worm infects .exe files on the victim computer.

The worm itself is a Windows PE EXE file, and is approximately 82KB in size.

Installation
Once launched, the worm copies itself to the Windows root directory as "Logo1_.exe":

%WinDir%\Logo1_.exe
It also creates a file named "virDll.dll" in the Windows root directory:

%WinDir%\virDll.dll
The worm creates the following key in the system registry:

[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]
"auto" = "1"
Propagation via local networks
The worm copies itself to the following network resources:

ADMIN$
IPC$
Payload
The worm searches all accessible disks for *.exe files to infect. However, it does not infect files where the path to the file contains one of the following strings:

\Program Files
Common Files
ComPlus Applications
Documents and Settings
InstallShield Installation Information
Internet Explorer
Messenger
Microsoft Frontpage
Microsoft Office
Movie Maker
MSN
MSN Gaming Zone
NetMeeting
Outlook Express
Recycled
system
System Volume Information
system32
windows
Windows Media Player
Windows NT
WindowsUpdate
winnt
The worm deletes the processes listed below from memory:

EGHOST.EXE
IPARMOR.EXE
KAVPFW.EXE
KWatchUI.EXE
MAILMON.EXE
Ravmon.exe
ZoneAlarm
Zorin.a changes the "%System%\drivers\etc\hosts" file by writing the text listed below to the file. This means that when the browser of an infected machine is used to view the sites listed below, the browser will be redirected to 66.197.186.149

66.197.186.149 bbs.vips.com.tw
66.197.186.149 bubble.com.tw
66.197.186.149 cgi.tw.ebay.com
66.197.186.149 dir.pchome.com.tw
66.197.186.149 gnn.gamer.com.tw
66.197.186.149 groups.msn.com
66.197.186.149 hdvd.com.tw
66.197.186.149 liveupdate.symantecliveupdate.com
66.197.186.149 movie.kingnet.com.tw
66.197.186.149 pc.gamebase.com.tw
66.197.186.149 service.gamania.com
66.197.186.149 tw.ebay.com
66.197.186.149 tw.games.yahoo.com
66.197.186.149 twbbs.net.tw
66.197.186.149 www.104.com.tw
66.197.186.149 www.atmovies.com.tw
66.197.186.149 www.books.com.tw
66.197.186.149 www.cartoonnetwork.com.tw
66.197.186.149 www.e-box.net.tw
66.197.186.149 www.funtown.com.tw
66.197.186.149 www.gamania.com
66.197.186.149 www.gamebase.com.tw
66.197.186.149 www.gamemaster.com
66.197.186.149 www.gamer.com.tw
66.197.186.149 www.gamestation.com.tw
66.197.186.149 www.gamezone.idv.tw
66.197.186.149 www.ggame.com.tw
66.197.186.149 www.girl-tw.com
66.197.186.149 www.google.com.tw
66.197.186.149 www.hello.com.tw
66.197.186.149 www.hinet.net
66.197.186.149 www.igame.com.tw
66.197.186.149 www.iogc.com.tw
66.197.186.149 www.ithome.com.tw
66.197.186.149 www.kokoro.com.tw
66.197.186.149 www.lineage2.com.tw
66.197.186.149 www.microsoft.com
66.197.186.149 www.mofa.com.tw
66.197.186.149 www.movie.com.tw
66.197.186.149 www.msn.com.tw
66.197.186.149 www.newspace.com.tw
66.197.186.149 www.oc-gamer.com
66.197.186.149 www.pchome.com.tw
66.197.186.149 www.sa.game.tw
66.197.186.149 www.seed.net.tw
66.197.186.149 www.sina.com.tw
66.197.186.149 www.softking.com.tw
66.197.186.149 www.softstar.com.tw
66.197.186.149 www.sogi.com.tw
66.197.186.149 www.so-net.net.tw
66.197.186.149 www.symantec.com
66.197.186.149 www.symantec.com.tw
66.197.186.149 www.t2t.com.tw
66.197.186.149 www.taiwandns.com
66.197.186.149 www.taiwankiss.com
66.197.186.149 www.tp.edu.tw
66.197.186.149 www.transakt.com.tw
66.197.186.149 www.tw18.com
66.197.186.149 www.twgirls.net
66.197.186.149 www.twindex.com.tw
66.197.186.149 www.uhome.net
66.197.186.149 www.yam.com

咦. 有 KAV 的人在這邊喔 ^^;
期待你們能夠趕快推出解毒程式. 不然小弟這邊 上千個執行檔通通要丟垃圾筒了 ^^

咦. 有 KAV 的人在這邊喔 ^^;
期待你們能夠趕快推出解毒程式. 不然小弟這邊 上千個執行檔通通要丟垃圾筒了 ^^

先進安全模式掃毒試試看吧

咦 ? 是這樣嗎 ? 我來進入安全模式試試看.

不敢用瀏覽器連，我用續傳軟體下載一個一個連找到了這個可能有問題的檔案：
bbs003302.css，還沒下載完ＮＯＤ３２立刻跳出警告，真驚人 :eek:

不過把這個檔案交給 Kaspersky 線上掃瞄卻是沒結果，還沒把病毒碼掛上嗎？
Scanned file: bbs003302.css
bbs003302.css - OK

但是ＮＯＤ３２這樣只靠智能偵測一定有天會被戳破的 :mad:
最近試了好多防毒軟體我都不滿意 :( 。

先進安全模式掃毒試試看吧

這位同學...

不要這樣隨便說說啦. 我剛剛花了好多功夫把 Norton 移除. 然後重灌 KAV

還特地進入安全模式掃毒. 花了我三個小時.

結果還是連一隻貓都沒掃到.

嗚....
現在又要把 KAV 移除. 重回 Norton 的懷抱了.

這位同學...

不要這樣隨便說說啦. 我剛剛花了好多功夫把 Norton 移除. 然後重灌 KAV

還特地進入安全模式掃毒. 花了我三個小時.

結果還是連一隻貓都沒掃到.

嗚....
現在又要把 KAV 移除. 重回 Norton 的懷抱了.
你不是找到賽門鐵克的網頁了嗎？網頁上面的解決方案無效嗎 :confused:
而且你不是試過KAV掃不到嗎....怎麼裝了KAV來掃呢？
有點疑惑

http://securityresponse.symantec.com/avcenter/venc/data/w32.looked.b.html

你不是找到賽門鐵克的網頁了嗎？網頁上面的解決方案無效嗎 :confused:
而且你不是試過KAV掃不到嗎....怎麼裝了KAV來掃呢？
有點疑惑


當然是因為他的一句話 "到安全模式下試試看"

小弟以為到了安全模式. KAV 就會更加準確的判斷出病毒呀 :(



賽門鐵克的網頁是說 "這樣就可以解毒了".
1. 把 XP 的回復關掉.
2. 更新到最新版的 病毒定義檔
3. 使用 Norton 把所有受感染的 EXE 檔案刪除. :eek:
4. 改掉一個 Registry

請注意. 小弟的目標是 "把 EXE 檔案救回來" 而不是刪除.
所以才會花這麼多時間在試驗各家的掃毒軟體呀.