【求助】新變種的病毒. W32.Looked.B 如何解 ?

第 1 頁,共 3 頁 1 2 3 末頁末頁
顯示結果從第 1 筆 到 10 筆,共計 30 筆
  1. #1
    會員
    註冊日期
    2001-08-31
    討論區文章
    47

    【求助】新變種的病毒. W32.Looked.B 如何解 ? KAV 也掃不到

    小弟昨天在 www.gamebase.com.tw 的廣告中發現新的P2P系統

    fxxp://www.pigo.cn/ (警告, 目前除了 Norton 之外. 其他的軟體抓不到, 而且病毒只開啟網頁就可能中獎, 想試驗者請自行換成 http)

    於是順手去抓來試試看.
    好死不死. 安裝時小弟正在解壓縮 AVI 檔案 ( 這個就不要問是哪個 AVI 啦 ) 順手把 Norton 關掉.

    想不到接下來 gamebase 就上不去了. 通通連到 fxxp://66.197.186.149 上去 (TW_AVGirls 這也是有毒的. 請小心)

    (迷之聲: 這不就是你需要的嗎 ?)


    接下來, 小弟的機器就每隔幾分鐘, 做一次 "硬碟大翻滾".....

    偏偏已經中毒的 Norton 一點都茫然無所覺......

    小弟只好把網路分享打開, 請其他機器來掃描, 果然有病毒. Norton 認為是 Win32.Looked.B

    解說在這邊:
    http://securityresponse.symantec.com....looked.b.html

    另外. 小弟試驗過.
    KAV, F-Secure, NOD, RAV 這幾套. 通通裝死找不到, 更不用說修復了


    雖然 Norton 可以防禦. 但是被咬的檔案無法修復.
    所以這邊問問看有沒有大大知道如何解毒的 ?



  2. #2
    會員 kaspersky 的大頭照
    註冊日期
    2004-08-09
    討論區文章
    1,296
    Net-Worm.Win32.Zorin.a
    Aliases
    Net-Worm.Win32.Zorin.a (Kaspersky Lab) is also known as: Worm.Win32.Zorin.a (Kaspersky Lab), W32.Looked.B (Symantec), Win32.HLLW.Looked (Doctor Web), W32/LegMir-X (Sophos), PE_LEOX.A (Trend Micro), W32/Zorin.A (FRISK), Worm/Zorin.A (Grisoft), NewHeur_PE (Eset) Detection added Jan 09 2005
    Description added Jan 17 2005
    Behavior Net-Worm
    Technical Details


    This worm infects computers running Windows, and spreads via open network resources. Once installed, the worm infects .exe files on the victim computer.

    The worm itself is a Windows PE EXE file, and is approximately 82KB in size.

    Installation
    Once launched, the worm copies itself to the Windows root directory as "Logo1_.exe":

    %WinDir%\Logo1_.exe
    It also creates a file named "virDll.dll" in the Windows root directory:

    %WinDir%\virDll.dll
    The worm creates the following key in the system registry:

    [HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]
    "auto" = "1"
    Propagation via local networks
    The worm copies itself to the following network resources:

    ADMIN$
    IPC$
    Payload
    The worm searches all accessible disks for *.exe files to infect. However, it does not infect files where the path to the file contains one of the following strings:

    \Program Files
    Common Files
    ComPlus Applications
    Documents and Settings
    InstallShield Installation Information
    Internet Explorer
    Messenger
    Microsoft Frontpage
    Microsoft Office
    Movie Maker
    MSN
    MSN Gaming Zone
    NetMeeting
    Outlook Express
    Recycled
    system
    System Volume Information
    system32
    windows
    Windows Media Player
    Windows NT
    WindowsUpdate
    winnt
    The worm deletes the processes listed below from memory:

    EGHOST.EXE
    IPARMOR.EXE
    KAVPFW.EXE
    KWatchUI.EXE
    MAILMON.EXE
    Ravmon.exe
    ZoneAlarm
    Zorin.a changes the "%System%\drivers\etc\hosts" file by writing the text listed below to the file. This means that when the browser of an infected machine is used to view the sites listed below, the browser will be redirected to 66.197.186.149

    66.197.186.149 bbs.vips.com.tw
    66.197.186.149 bubble.com.tw
    66.197.186.149 cgi.tw.ebay.com
    66.197.186.149 dir.pchome.com.tw
    66.197.186.149 gnn.gamer.com.tw
    66.197.186.149 groups.msn.com
    66.197.186.149 hdvd.com.tw
    66.197.186.149 liveupdate.symantecliveupdate.com
    66.197.186.149 movie.kingnet.com.tw
    66.197.186.149 pc.gamebase.com.tw
    66.197.186.149 service.gamania.com
    66.197.186.149 tw.ebay.com
    66.197.186.149 tw.games.yahoo.com
    66.197.186.149 twbbs.net.tw
    66.197.186.149 www.104.com.tw
    66.197.186.149 www.atmovies.com.tw
    66.197.186.149 www.books.com.tw
    66.197.186.149 www.cartoonnetwork.com.tw
    66.197.186.149 www.e-box.net.tw
    66.197.186.149 www.funtown.com.tw
    66.197.186.149 www.gamania.com
    66.197.186.149 www.gamebase.com.tw
    66.197.186.149 www.gamemaster.com
    66.197.186.149 www.gamer.com.tw
    66.197.186.149 www.gamestation.com.tw
    66.197.186.149 www.gamezone.idv.tw
    66.197.186.149 www.ggame.com.tw
    66.197.186.149 www.girl-tw.com
    66.197.186.149 www.google.com.tw
    66.197.186.149 www.hello.com.tw
    66.197.186.149 www.hinet.net
    66.197.186.149 www.igame.com.tw
    66.197.186.149 www.iogc.com.tw
    66.197.186.149 www.ithome.com.tw
    66.197.186.149 www.kokoro.com.tw
    66.197.186.149 www.lineage2.com.tw
    66.197.186.149 www.microsoft.com
    66.197.186.149 www.mofa.com.tw
    66.197.186.149 www.movie.com.tw
    66.197.186.149 www.msn.com.tw
    66.197.186.149 www.newspace.com.tw
    66.197.186.149 www.oc-gamer.com
    66.197.186.149 www.pchome.com.tw
    66.197.186.149 www.sa.game.tw
    66.197.186.149 www.seed.net.tw
    66.197.186.149 www.sina.com.tw
    66.197.186.149 www.softking.com.tw
    66.197.186.149 www.softstar.com.tw
    66.197.186.149 www.sogi.com.tw
    66.197.186.149 www.so-net.net.tw
    66.197.186.149 www.symantec.com
    66.197.186.149 www.symantec.com.tw
    66.197.186.149 www.t2t.com.tw
    66.197.186.149 www.taiwandns.com
    66.197.186.149 www.taiwankiss.com
    66.197.186.149 www.tp.edu.tw
    66.197.186.149 www.transakt.com.tw
    66.197.186.149 www.tw18.com
    66.197.186.149 www.twgirls.net
    66.197.186.149 www.twindex.com.tw
    66.197.186.149 www.uhome.net
    66.197.186.149 www.yam.com

  3. #3
    會員
    註冊日期
    2001-08-31
    討論區文章
    47
    咦. 有 KAV 的人在這邊喔 ^^;
    期待你們能夠趕快推出解毒程式. 不然小弟這邊 上千個執行檔通通要丟垃圾筒了 ^^

  4. #4
    會員 kaspersky 的大頭照
    註冊日期
    2004-08-09
    討論區文章
    1,296
    引用 作者:chlang
    咦. 有 KAV 的人在這邊喔 ^^;
    期待你們能夠趕快推出解毒程式. 不然小弟這邊 上千個執行檔通通要丟垃圾筒了 ^^
    先進安全模式掃毒試試看吧

  5. #5
    會員
    註冊日期
    2001-08-31
    討論區文章
    47
    咦 ? 是這樣嗎 ? 我來進入安全模式試試看.



  6. #6
    underwater
    註冊日期
    2005-01-31
    所在地區
     
    討論區文章
    73
    不敢用瀏覽器連,我用續傳軟體下載一個一個連找到了這個可能有問題的檔案:
    bbs003302.css,還沒下載完NOD32立刻跳出警告,真驚人

    不過把這個檔案交給 Kaspersky 線上掃瞄卻是沒結果,還沒把病毒碼掛上嗎?
    Scanned file: bbs003302.css
    bbs003302.css - OK

    但是NOD32這樣只靠智能偵測一定有天會被戳破的
    最近試了好多防毒軟體我都不滿意
    附加圖片 附加圖片 nod32.png  

  7. #7
    會員
    註冊日期
    2001-08-31
    討論區文章
    47
    引用 作者:kaspersky
    先進安全模式掃毒試試看吧
    這位同學...

    不要這樣隨便說說啦. 我剛剛花了好多功夫把 Norton 移除. 然後重灌 KAV

    還特地進入安全模式掃毒. 花了我三個小時.

    結果還是連一隻貓都沒掃到.

    嗚....
    現在又要把 KAV 移除. 重回 Norton 的懷抱了.

  8. #8
    underwater
    註冊日期
    2005-01-31
    所在地區
     
    討論區文章
    73
    引用 作者:chlang
    這位同學...

    不要這樣隨便說說啦. 我剛剛花了好多功夫把 Norton 移除. 然後重灌 KAV

    還特地進入安全模式掃毒. 花了我三個小時.

    結果還是連一隻貓都沒掃到.

    嗚....
    現在又要把 KAV 移除. 重回 Norton 的懷抱了.
    你不是找到賽門鐵克的網頁了嗎?網頁上面的解決方案無效嗎
    而且你不是試過KAV掃不到嗎....怎麼裝了KAV來掃呢?
    有點疑惑

  9. #9
    會員 天氣預報 的大頭照
    註冊日期
    2003-02-24
    討論區文章
    2,638

  10. #10
    會員
    註冊日期
    2001-08-31
    討論區文章
    47
    引用 作者:inutoneko
    你不是找到賽門鐵克的網頁了嗎?網頁上面的解決方案無效嗎
    而且你不是試過KAV掃不到嗎....怎麼裝了KAV來掃呢?
    有點疑惑

    當然是因為他的一句話 "到安全模式下試試看"

    小弟以為到了安全模式. KAV 就會更加準確的判斷出病毒呀



    賽門鐵克的網頁是說 "這樣就可以解毒了".
    1. 把 XP 的回復關掉.
    2. 更新到最新版的 病毒定義檔
    3. 使用 Norton 把所有受感染的 EXE 檔案刪除.
    4. 改掉一個 Registry

    請注意. 小弟的目標是 "把 EXE 檔案救回來" 而不是刪除.
    所以才會花這麼多時間在試驗各家的掃毒軟體呀.



第 1 頁,共 3 頁 1 2 3 末頁末頁

類似的主題

  1. 【求助】我中了W32.Randex.gen病毒.該如何解
    作者:Slivea 所在討論版:-- 防 駭 / 防 毒 版
    回覆: 1
    最後發表: 2004-06-23, 03:50 AM
  2. 【求助】有關於疾風變種的病毒
    作者:sean7229 所在討論版:-- 防 駭 / 防 毒 版
    回覆: 0
    最後發表: 2004-01-25, 06:32 PM
  3. 【求助】受到W32.ElKem.4926的病毒感染
    作者:atenly 所在討論版:-- 防 駭 / 防 毒 版
    回覆: 0
    最後發表: 2003-09-01, 11:37 AM
  4. 【求助】我中了W32.Randex.D病毒.改如何解決
    作者:Slivea 所在討論版:-- 防 駭 / 防 毒 版
    回覆: 8
    最後發表: 2003-08-20, 01:10 PM
  5. 請問如何解 Trojan VirtualRoot 的病毒??
    作者:jinke 所在討論版:-- 其 他 軟 體 討 論 版
    回覆: 3
    最後發表: 2001-09-10, 05:17 PM

 

此網頁沒有從搜尋引擎而來的訪客

發表文章規則

  • 不可以發表新主題
  • 不可以回覆文章
  • 不可以上傳附加檔案
  • 不可以編輯自己的文章
  •