| 會員  | 【求助】新變種的病毒. W32.Looked.B 如何解 ? KAV 也掃不到 小弟昨天在 www.gamebase.com.tw 的廣告中發現新的P2P系統 fxxp://www.pigo.cn/ (警告, 目前除了 Norton 之外. 其他的軟體抓不到, 而且病毒只開啟網頁就可能中獎, 想試驗者請自行換成 http) 於是順手去抓來試試看. 好死不死. 安裝時小弟正在解壓縮 AVI 檔案 ( 這個就不要問是哪個 AVI 啦  ) 順手把 Norton 關掉.想不到接下來 gamebase 就上不去了. 通通連到 fxxp://66.197.186.149 上去 (TW_AVGirls 這也是有毒的. 請小心) (迷之聲: 這不就是你需要的嗎 ?) 接下來, 小弟的機器就每隔幾分鐘, 做一次 "硬碟大翻滾"..... 偏偏已經中毒的 Norton 一點都茫然無所覺...... 小弟只好把網路分享打開, 請其他機器來掃描, 果然有病毒. Norton 認為是 Win32.Looked.B 解說在這邊: http://securityresponse.symantec.com....looked.b.html 另外. 小弟試驗過. KAV, F-Secure, NOD, RAV 這幾套. 通通裝死找不到, 更不用說修復了 雖然 Norton 可以防禦. 但是被咬的檔案無法修復. 所以這邊問問看有沒有大大知道如何解毒的 ? |
| 回覆 |
| 會員  | Net-Worm.Win32.Zorin.a Aliases Net-Worm.Win32.Zorin.a (Kaspersky Lab) is also known as: Worm.Win32.Zorin.a (Kaspersky Lab), W32.Looked.B (Symantec), Win32.HLLW.Looked (Doctor Web), W32/LegMir-X (Sophos), PE_LEOX.A (Trend Micro), W32/Zorin.A (FRISK), Worm/Zorin.A (Grisoft), NewHeur_PE (Eset) Detection added Jan 09 2005 Description added Jan 17 2005 Behavior Net-Worm Technical Details This worm infects computers running Windows, and spreads via open network resources. Once installed, the worm infects .exe files on the victim computer. The worm itself is a Windows PE EXE file, and is approximately 82KB in size. Installation Once launched, the worm copies itself to the Windows root directory as "Logo1_.exe": %WinDir%\Logo1_.exe It also creates a file named "virDll.dll" in the Windows root directory: %WinDir%\virDll.dll The worm creates the following key in the system registry: [HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW] "auto" = "1" Propagation via local networks The worm copies itself to the following network resources: ADMIN$ IPC$ Payload The worm searches all accessible disks for *.exe files to infect. However, it does not infect files where the path to the file contains one of the following strings: \Program Files Common Files ComPlus Applications Documents and Settings InstallShield Installation Information Internet Explorer Messenger Microsoft Frontpage Microsoft Office Movie Maker MSN MSN Gaming Zone NetMeeting Outlook Express Recycled system System Volume Information system32 windows Windows Media Player Windows NT WindowsUpdate winnt The worm deletes the processes listed below from memory: EGHOST.EXE IPARMOR.EXE KAVPFW.EXE KWatchUI.EXE MAILMON.EXE Ravmon.exe ZoneAlarm Zorin.a changes the "%System%\drivers\etc\hosts" file by writing the text listed below to the file. This means that when the browser of an infected machine is used to view the sites listed below, the browser will be redirected to 66.197.186.149 66.197.186.149 bbs.vips.com.tw 66.197.186.149 bubble.com.tw 66.197.186.149 cgi.tw.ebay.com 66.197.186.149 dir.pchome.com.tw 66.197.186.149 gnn.gamer.com.tw 66.197.186.149 groups.msn.com 66.197.186.149 hdvd.com.tw 66.197.186.149 liveupdate.symantecliveupdate.com 66.197.186.149 movie.kingnet.com.tw 66.197.186.149 pc.gamebase.com.tw 66.197.186.149 service.gamania.com 66.197.186.149 tw.ebay.com 66.197.186.149 tw.games.yahoo.com 66.197.186.149 twbbs.net.tw 66.197.186.149 www.104.com.tw 66.197.186.149 www.atmovies.com.tw 66.197.186.149 www.books.com.tw 66.197.186.149 www.cartoonnetwork.com.tw 66.197.186.149 www.e-box.net.tw 66.197.186.149 www.funtown.com.tw 66.197.186.149 www.gamania.com 66.197.186.149 www.gamebase.com.tw 66.197.186.149 www.gamemaster.com 66.197.186.149 www.gamer.com.tw 66.197.186.149 www.gamestation.com.tw 66.197.186.149 www.gamezone.idv.tw 66.197.186.149 www.ggame.com.tw 66.197.186.149 www.girl-tw.com 66.197.186.149 www.google.com.tw 66.197.186.149 www.hello.com.tw 66.197.186.149 www.hinet.net 66.197.186.149 www.igame.com.tw 66.197.186.149 www.iogc.com.tw 66.197.186.149 www.ithome.com.tw 66.197.186.149 www.kokoro.com.tw 66.197.186.149 www.lineage2.com.tw 66.197.186.149 www.microsoft.com 66.197.186.149 www.mofa.com.tw 66.197.186.149 www.movie.com.tw 66.197.186.149 www.msn.com.tw 66.197.186.149 www.newspace.com.tw 66.197.186.149 www.oc-gamer.com 66.197.186.149 www.pchome.com.tw 66.197.186.149 www.sa.game.tw 66.197.186.149 www.seed.net.tw 66.197.186.149 www.sina.com.tw 66.197.186.149 www.softking.com.tw 66.197.186.149 www.softstar.com.tw 66.197.186.149 www.sogi.com.tw 66.197.186.149 www.so-net.net.tw 66.197.186.149 www.symantec.com 66.197.186.149 www.symantec.com.tw 66.197.186.149 www.t2t.com.tw 66.197.186.149 www.taiwandns.com 66.197.186.149 www.taiwankiss.com 66.197.186.149 www.tp.edu.tw 66.197.186.149 www.transakt.com.tw 66.197.186.149 www.tw18.com 66.197.186.149 www.twgirls.net 66.197.186.149 www.twindex.com.tw 66.197.186.149 www.uhome.net 66.197.186.149 www.yam.com |
| 回覆 |
| 會員 | 咦. 有 KAV 的人在這邊喔 ^^; 期待你們能夠趕快推出解毒程式. 不然小弟這邊 上千個執行檔通通要丟垃圾筒了 ^^ |
| 回覆 |
| 會員 | 引用:
| |
| 回覆 |
| 會員 | 咦 ? 是這樣嗎 ? 我來進入安全模式試試看. |
| 回覆 |
| underwater | 不敢用瀏覽器連,我用續傳軟體下載一個一個連找到了這個可能有問題的檔案: bbs003302.css,還沒下載完NOD32立刻跳出警告,真驚人  不過把這個檔案交給 Kaspersky 線上掃瞄卻是沒結果,還沒把病毒碼掛上嗎? Scanned file: bbs003302.css bbs003302.css - OK 但是NOD32這樣只靠智能偵測一定有天會被戳破的  最近試了好多防毒軟體我都不滿意  。 |
| 回覆 |
| 會員 | 引用:
不要這樣隨便說說啦. 我剛剛花了好多功夫把 Norton 移除. 然後重灌 KAV 還特地進入安全模式掃毒. 花了我三個小時. 結果還是連一隻貓都沒掃到. 嗚.... 現在又要把 KAV 移除. 重回 Norton 的懷抱了. | |
| 回覆 |
| underwater | 引用:
 而且你不是試過KAV掃不到嗎....怎麼裝了KAV來掃呢? 有點疑惑 | |
| 回覆 |
| 會員 | 引用:
當然是因為他的一句話 "到安全模式下試試看" 小弟以為到了安全模式. KAV 就會更加準確的判斷出病毒呀 賽門鐵克的網頁是說 "這樣就可以解毒了". 1. 把 XP 的回復關掉. 2. 更新到最新版的 病毒定義檔 3. 使用 Norton 把所有受感染的 EXE 檔案刪除. 4. 改掉一個 Registry 請注意. 小弟的目標是 "把 EXE 檔案救回來" 而不是刪除. 所以才會花這麼多時間在試驗各家的掃毒軟體呀. | |
| 回覆 |
| |
類似的主題 | ||||
| 主題 | 主題作者 | 討論版 | 回覆 | 最後發表 |
| 【木馬】回報時系統認定W32.Looked.P,Norton 2007卻掃不到的檔案 | 天氣預報 | -- 防 駭 / 防 毒 版 | 1 | 2007-07-11 12:55 PM |
| 【求助】小弟中毒了 !! W32.Looked.B, 有沒有解毒方法 ? | chlang | -- 其 他 軟 體 討 論 版 | 7 | 2005-02-05 04:28 PM |
| 【求助】病毒名 Hacktool 如何解 | lain09 | -- 防 駭 / 防 毒 版 | 1 | 2003-11-19 06:55 PM |
| 如何解.inv檔案///////////// | redken | -- Cable Modem 心 得 交 流 版 | 3 | 2002-02-08 10:21 AM |
| GigaADSL+國淲lcatel340白色Modem+固定IP??如何解 | keno | ---- ADSL 軟 硬 體 技 術 | 11 | 2001-06-18 11:11 PM |
| XML | RSS 2.0 | RSS |
本論壇所有文章僅代表留言者個人意見,並不代表本站之立場,討論區以「即時留言」方式運作,故無法完全監察所有即時留言,若您發現文章可能有異議,請 email :[email protected] 處理。
