9,506
社区成员
发帖
与我相关
我的任务
分享求救!(在线等待中!!), 我该怎么办呢?
我现在用的杀毒软件是AVP(Kaspersky AV Personal )最近杀毒软件检测时弹出这样的提示“d:\winnt\system32\Rundll.exe感染病毒”名称是“TrojanDownloader.win32.Slime.b"可以杀出,但是杀出后,电脑上的.exe文件基本上都不可以使用!重启后连AVP杀毒软件都不可以运行了!已经格式化过D盘重新安装过后又出现!但是别的盘上的该病毒,已经杀出后才装的。万般无奈下向你们求救,因为我现在不方便上传受感染的Rundll.exe文件,麻烦请告诉我这是什么病毒,如何处理才不会影响电脑的运行呢?(我的病毒库是AVP 2003年8月20日的)!
期待得到你们的帮助!
我到国外网站上查过资料是这样说的:Trojan.Downloader Family
These kinds of programs are not "Trojans" by themselves, but they are intended to deploy Trojan programs to a victim's computer.
The "TrojanDownloader" programs contain information about names and locations of malware programs to download and install. This information is usually stored as an encrypted block of data at the end of a "TrojanDropper" file.
These programs can be used to install and download newer versions of malware software, or install several Trojan programs without user permission.
期待得到你们的帮助!
我到国外网站上查过资料是这样说的:Trojan.Downloader Family
These kinds of programs are not "Trojans" by themselves, but they are intended to deploy Trojan programs to a victim's computer.
The "TrojanDownloader" programs contain information about names and locations of malware programs to download and install. This information is usually stored as an encrypted block of data at the end of a "TrojanDropper" file.
These programs can be used to install and download newer versions of malware software, or install several Trojan programs without user permission.
...全文
请发表友善的回复…
发表回复
qunluo 2003-08-22
- 打赏
- 举报
杀好后还会这样!!!???????????????
我主要是想如果是破坏了文件关联,应该是杀毒前的事情啊!这应该是杀毒杀出来的毛病!!!(不过也还是可能的)怎么办!?我还真忘记怎么处理了!以前看到过恢复关联的文章!没在意!今天我到是用到了!(如果真是这样的话!今天晚上回去先看看楼上那位说的,试试再说)
如果可以,还是跟在后面说来听听!!!我明天再来看看!!!
我主要是想如果是破坏了文件关联,应该是杀毒前的事情啊!这应该是杀毒杀出来的毛病!!!(不过也还是可能的)怎么办!?我还真忘记怎么处理了!以前看到过恢复关联的文章!没在意!今天我到是用到了!(如果真是这样的话!今天晚上回去先看看楼上那位说的,试试再说)
如果可以,还是跟在后面说来听听!!!我明天再来看看!!!
lw549 2003-08-22
- 打赏
- 举报
过来看看,我的直觉反应也是文件关联,呵呵。
qunluo 2003-08-22
- 打赏
- 举报
主要是这种病毒的变种很多!我都不清楚它究竟是纯粹意义上的病毒,还是木马!我实在高不清楚!网站上又查不到对应病毒的名称,只是笼统介绍了一下!!
TrojanDownloader Family
1. Downloader.Win32.Dler
2. Downloader.Win32.WebDown
3. TrojanDownloader.Win32.Apher
4. TrojanDownloader.Win32.Checkin
5. TrojanDownloader.Win32.Greetyah
6. TrojanDownloader.Win32.Ultimx
These types of programs are not "Trojans" per se, but they are intended to deploy Trojan programs to a victim`s computer.
The "TrojanDownloader" programs contain information about the names and locations of malware programs to download and install. This information is usually stored as an encrypted block of data at the end of a "TrojanDropper" file.
At this point, programs can be used to install and download newer versions of malware software, or install several Trojan programs without user permission.
TrojanDownloader.Win32.Dler
This program belongs to the family of Trojan down-loaders.
When run, the Trojan installs itself to the system. While installing, the program downloads the Trojan from a remote hacker`s site and runs it. Optionally, it can install downloaded Trojans in the Windows registry to start automatically.
The installed Trojan file name, the target directory and registry key are stored in encrypted form in the Trojan file at the file end.
A hacker may configure them before sending a Trojan to a victim`s machine, or before placing the Trojan on a web site or mass-mailing it.
TrojanDownloader Family
1. Downloader.Win32.Dler
2. Downloader.Win32.WebDown
3. TrojanDownloader.Win32.Apher
4. TrojanDownloader.Win32.Checkin
5. TrojanDownloader.Win32.Greetyah
6. TrojanDownloader.Win32.Ultimx
These types of programs are not "Trojans" per se, but they are intended to deploy Trojan programs to a victim`s computer.
The "TrojanDownloader" programs contain information about the names and locations of malware programs to download and install. This information is usually stored as an encrypted block of data at the end of a "TrojanDropper" file.
At this point, programs can be used to install and download newer versions of malware software, or install several Trojan programs without user permission.
TrojanDownloader.Win32.Dler
This program belongs to the family of Trojan down-loaders.
When run, the Trojan installs itself to the system. While installing, the program downloads the Trojan from a remote hacker`s site and runs it. Optionally, it can install downloaded Trojans in the Windows registry to start automatically.
The installed Trojan file name, the target directory and registry key are stored in encrypted form in the Trojan file at the file end.
A hacker may configure them before sending a Trojan to a victim`s machine, or before placing the Trojan on a web site or mass-mailing it.
qunluo 2003-08-22
- 打赏
- 举报
现在我在瑞星上有人回复了!!!
WINDOWS下的PE病毒
此病毒启动后在后台隐藏运行并且连接到指定的地址, 下载文件到本地并将文件启动。
瑞星15.43.20一上版本就可以杀.
WINDOWS下的PE病毒
此病毒启动后在后台隐藏运行并且连接到指定的地址, 下载文件到本地并将文件启动。
瑞星15.43.20一上版本就可以杀.
qunluo 2003-08-22
- 打赏
- 举报
我就知道这里的高手多!
问AVP没回我的信!
问金山版主,告诉我EXE关联有问题!什么问题哟!!本来一样的贴,这里回答得我五体投地,那却是我怀疑是不是连我问题都没看清楚哟!!呵!!!!(随便说的!!)
楼上大哥!!
我很想知道这样的病毒算木马呢还是真正纯粹的病毒呢??我是菜,但是我还是想再问问?
我等你回复!!!!
因为国外网站上有这样的内容!你看看!变种比较多,我是不清楚了!如果是木马我到不怕了!如果是病毒,我就一定要杀之而后快!!!!!
问AVP没回我的信!
问金山版主,告诉我EXE关联有问题!什么问题哟!!本来一样的贴,这里回答得我五体投地,那却是我怀疑是不是连我问题都没看清楚哟!!呵!!!!(随便说的!!)
楼上大哥!!
我很想知道这样的病毒算木马呢还是真正纯粹的病毒呢??我是菜,但是我还是想再问问?
我等你回复!!!!
因为国外网站上有这样的内容!你看看!变种比较多,我是不清楚了!如果是木马我到不怕了!如果是病毒,我就一定要杀之而后快!!!!!
smallrascal 2003-08-22
- 打赏
- 举报
rundll.exe中的病毒
一、rundll.exe和rundll32.exe文件的区别
我们知道rundll.exe文件和rundll32.exe文件是windows操作系统下的两个重要文件,用来调用动态链接库文件,它们的区别在于rundll.exe用于16位操作系统,如win9x和winme,存放在windows\system中,而rundll32用于32位操作系统,如win2000和winxp中,存放于windows\system32文件夹中。
但问题是,win9x中不使用rundll32.exe,同样地,win2000和winxp中不使用rundll.exe文件。
因此,基本可以肯定地说,如果winxp等32位操作系统中出现了rundll.exe文件,或win9x等16位操作系统中出现了rundll32.exe,可以说,恭喜你,你已中招了。
那么,有些人问,我的winxp系统中只有rundll32.exe,或我的win9x系统中只有rundll文件,我的机器是否中招?这样,就需要知道——
二、如何甄别中毒,杀毒和防毒
看看我是如何中招和恢复的,就知道如何甄别了。
1、如何删除rundll.exe
最近,我的系统在运行,会常态突然象自动改变屏幕主题似的,屏幕一下子变黑,但瞬间就恢复了,也是我大意,因为我刚替换了破解的uxtheme.dll文件,用于桌面主题的随意更换。以为是系统侦测到uxtheme.dll文件有变化,自动恢复的。所以,也没在意。同时,我多年来,一直使用的是NORTON杀毒和internet个人防火墙,从未中招,因此,根本未想到是病毒或木马什么的。
前天,看了网上的帖子,赶紧到自己的系统文件夹中一看,果不其然,确实有这个问题,我使用的是winxp pro,已更新到最新,但windows\system32文件夹中多出了个rundll.exe文件,而且,这个文件的的图标明显是另一个可执行文件winrar.exe文件的图标,因此,先使用文本编辑器输入如下内容:
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
保存在桌面上,文件名为“恢复.reg”,然后,果断删除这个rundll.exe文件,再双击刚才建立的reg文件,导入注册表,这样,所有exe文件都可以正常运行。
2、病毒特征
同时,我复制了这个文件的备份,用ultraedit32编辑器打开,查看有什么可疑之处,好在种木马的人在文件尾部留下了蛛丝马迹,我查找到:“史莱姆病毒 http://peephost2.3322.org:1024/iexplorer.exe”等文字信息。
很清楚,这个病毒被其作者称为“史莱姆病毒”,但后面那行文字的意思就值得猜测了,是将我的桌面信息发送到 http://peephost2.3322.org:1024/iexplorer.exe中,还是这个病毒首先感染了 “http://peephost2.3322.org:1024/iexplorer.exe”,不过,我更倾向于前者,即该病毒是“史莱姆病毒”,可能是个木马程序,作者就是“http://peephost2.3322.org:1024/”的站长。
这个病毒将中招者的信息发送到 “http://peephost2.3322.org:1024/iexplorer.exe”中,等于是开了个后门,将中木马人电脑中的信息,发送到http://peephost2.3322.org网站,并通过1024端口入站,这样种植木马的人,就可以在他的浏览器中(ieplorer.exe),打开中招者的电脑上的任意文件。多么恶毒!
但奇怪的是,我用NORTON扫描这个rundll.exe文件,没有发现任何病毒或木马,同时,用木马克星扫描,也没有发现木马,但norton的internet防火墙曾经提示过我,“是否允许rundll.exe访问internet”,我选择了“总是禁止”。
我还试验过,卸载了winrar程序,并删除了rundll.exe文件后,系统启动后,又出现了这个rundll.exe文件,这次,这个rundll.exe的图标是我安装不久的easycd&dvd creator 6.0 软件中的引擎文件的图标,因为它是加载在系统自动启动项中,这说明我的引擎文件也已中毒,系统启动后,启动了这个引擎文件,这样,自动生成了rundll.exe文件,只好卸载这个软件,等查杀完病毒再安装了。然后,我又逐一查找系统启动项中的文件是否中毒,还好,没有其它的文件中毒。
3、甄别是否中毒,及杀毒
这样,我们就知道,如何甄别中招了。也很简单,
3-1
对win9x用户,就是用我上述方式,用ultraeditor软件,打开rundll.exe文件,查找里面是否有“http://***”等文字,注意,查找时,要选中“查找 ASCII”,看看是否会出现那些字样,也有可能是其它网站的链接,如果你的rundll.exe文件中毒了,也不要紧张,因为是win9x,rundll.exe文件必不可少,有时在染毒程序运行时,或rundll文件已调用了其它系统重要的库文件时,直接删除不了,可以这样解决:
(1)停止系统中所有运行的程序,包括后台运行的程序,下载并安装破解中文版ultraexitor(到www.ttdown.com中下载)
(2)用ultraeditor的批量查找(选中“查找ASCII”),查找硬盘中所有含有病毒特征文字的文件(放心,速度很快,比杀毒软件要快)
(3)反安装或删除所有那些含有病毒特征文字的软件或文件,注意,对某些软件,要注意资料的备份。用“1”中所说方法恢复系统注册表。
(4)从系统安装盘中提取rundll.exe文件,并准备一张干净的win9x启动盘到dos下恢复rundll.exe文件,或直接用win9x系统文件恢复器,恢复rundll.exe。
(5)在norton的internet防火墙中,在禁止站点中,输入“peephost2.3322.org”,严禁系统对这个网站的访问,或这个网站试图与你建立连接。
重启看看吧,你的机器干净了!
3-2
对winxp或win2000用户,查找方式一样,但对rundll.exe文件,直接删除就可以了,因为winxp或win2000根本不需要rundll.exe文件,如果你的系统中有rundll.exe文件,毫无疑问,你的系统已经中招。
4、如何防毒
我还是要推荐大家安装norton的杀毒和internet个人防火墙,有条件的话,再加装一个金山毒霸,它对国内病毒查杀能力要好一些,这次的rundll病毒就是国产的:)。
虽然norton杀毒防火墙不能查杀这个病毒,但对大多数病毒来说,都可以查杀,我一直使用这个杀毒软件,除这次外,从未中毒。更重要的是要安装它的病毒防火墙,可以控制所有程序的出、入站,其实,虽然我的电脑已中招,但我的信息并未发送出去,因为我在防火墙中禁止了这个文件的所有出入站。
对winxp用户(好象越来越多了)来说,保留系统还原的功能,万一系统死机或其它原因,完全可以用还原来恢复。
上网前,一定要打开所有防火墙,避免不必要的染毒,同时,推荐使用Gosurf或MYIE2(虽然我不喜欢这个bugs很多的软件)之类的可防止弹出广告或另外链接窗口的网络浏览器。
经常清空你的浏览器缓存和cookies之类的东西,保护好你的个人信息,如加密等,在我的文档之类的文件夹、tem、temp和个人登录帐号文件夹中不要放置重要的文件信息等。
总之,有了网络,我们的快乐多了,但我们忧患更多。
三、http://peephost2.3322.org 查疑
这个网址是著名的系网动态域名的下的一个站点,但奇怪的是,不管如何采用正常手段,我进入不了这个站点,但可以ping通,可能是这个木马传播者或始作俑者禁止了所有端口的入站,除了1024吧,但明显的是,这个网站开通了http和ftp服务,且现在他还在网上,你们可以ping一下。我不想攻击他,也许他是冤枉的,也许我还比较正直,知道攻击个人的机器是一种低劣者的偷窃行为,是想模仿黑客,却又缺乏黑客精神,这种人缺乏人类应有的道德和从事计算机行业的素质和水平
一、rundll.exe和rundll32.exe文件的区别
我们知道rundll.exe文件和rundll32.exe文件是windows操作系统下的两个重要文件,用来调用动态链接库文件,它们的区别在于rundll.exe用于16位操作系统,如win9x和winme,存放在windows\system中,而rundll32用于32位操作系统,如win2000和winxp中,存放于windows\system32文件夹中。
但问题是,win9x中不使用rundll32.exe,同样地,win2000和winxp中不使用rundll.exe文件。
因此,基本可以肯定地说,如果winxp等32位操作系统中出现了rundll.exe文件,或win9x等16位操作系统中出现了rundll32.exe,可以说,恭喜你,你已中招了。
那么,有些人问,我的winxp系统中只有rundll32.exe,或我的win9x系统中只有rundll文件,我的机器是否中招?这样,就需要知道——
二、如何甄别中毒,杀毒和防毒
看看我是如何中招和恢复的,就知道如何甄别了。
1、如何删除rundll.exe
最近,我的系统在运行,会常态突然象自动改变屏幕主题似的,屏幕一下子变黑,但瞬间就恢复了,也是我大意,因为我刚替换了破解的uxtheme.dll文件,用于桌面主题的随意更换。以为是系统侦测到uxtheme.dll文件有变化,自动恢复的。所以,也没在意。同时,我多年来,一直使用的是NORTON杀毒和internet个人防火墙,从未中招,因此,根本未想到是病毒或木马什么的。
前天,看了网上的帖子,赶紧到自己的系统文件夹中一看,果不其然,确实有这个问题,我使用的是winxp pro,已更新到最新,但windows\system32文件夹中多出了个rundll.exe文件,而且,这个文件的的图标明显是另一个可执行文件winrar.exe文件的图标,因此,先使用文本编辑器输入如下内容:
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
保存在桌面上,文件名为“恢复.reg”,然后,果断删除这个rundll.exe文件,再双击刚才建立的reg文件,导入注册表,这样,所有exe文件都可以正常运行。
2、病毒特征
同时,我复制了这个文件的备份,用ultraedit32编辑器打开,查看有什么可疑之处,好在种木马的人在文件尾部留下了蛛丝马迹,我查找到:“史莱姆病毒 http://peephost2.3322.org:1024/iexplorer.exe”等文字信息。
很清楚,这个病毒被其作者称为“史莱姆病毒”,但后面那行文字的意思就值得猜测了,是将我的桌面信息发送到 http://peephost2.3322.org:1024/iexplorer.exe中,还是这个病毒首先感染了 “http://peephost2.3322.org:1024/iexplorer.exe”,不过,我更倾向于前者,即该病毒是“史莱姆病毒”,可能是个木马程序,作者就是“http://peephost2.3322.org:1024/”的站长。
这个病毒将中招者的信息发送到 “http://peephost2.3322.org:1024/iexplorer.exe”中,等于是开了个后门,将中木马人电脑中的信息,发送到http://peephost2.3322.org网站,并通过1024端口入站,这样种植木马的人,就可以在他的浏览器中(ieplorer.exe),打开中招者的电脑上的任意文件。多么恶毒!
但奇怪的是,我用NORTON扫描这个rundll.exe文件,没有发现任何病毒或木马,同时,用木马克星扫描,也没有发现木马,但norton的internet防火墙曾经提示过我,“是否允许rundll.exe访问internet”,我选择了“总是禁止”。
我还试验过,卸载了winrar程序,并删除了rundll.exe文件后,系统启动后,又出现了这个rundll.exe文件,这次,这个rundll.exe的图标是我安装不久的easycd&dvd creator 6.0 软件中的引擎文件的图标,因为它是加载在系统自动启动项中,这说明我的引擎文件也已中毒,系统启动后,启动了这个引擎文件,这样,自动生成了rundll.exe文件,只好卸载这个软件,等查杀完病毒再安装了。然后,我又逐一查找系统启动项中的文件是否中毒,还好,没有其它的文件中毒。
3、甄别是否中毒,及杀毒
这样,我们就知道,如何甄别中招了。也很简单,
3-1
对win9x用户,就是用我上述方式,用ultraeditor软件,打开rundll.exe文件,查找里面是否有“http://***”等文字,注意,查找时,要选中“查找 ASCII”,看看是否会出现那些字样,也有可能是其它网站的链接,如果你的rundll.exe文件中毒了,也不要紧张,因为是win9x,rundll.exe文件必不可少,有时在染毒程序运行时,或rundll文件已调用了其它系统重要的库文件时,直接删除不了,可以这样解决:
(1)停止系统中所有运行的程序,包括后台运行的程序,下载并安装破解中文版ultraexitor(到www.ttdown.com中下载)
(2)用ultraeditor的批量查找(选中“查找ASCII”),查找硬盘中所有含有病毒特征文字的文件(放心,速度很快,比杀毒软件要快)
(3)反安装或删除所有那些含有病毒特征文字的软件或文件,注意,对某些软件,要注意资料的备份。用“1”中所说方法恢复系统注册表。
(4)从系统安装盘中提取rundll.exe文件,并准备一张干净的win9x启动盘到dos下恢复rundll.exe文件,或直接用win9x系统文件恢复器,恢复rundll.exe。
(5)在norton的internet防火墙中,在禁止站点中,输入“peephost2.3322.org”,严禁系统对这个网站的访问,或这个网站试图与你建立连接。
重启看看吧,你的机器干净了!
3-2
对winxp或win2000用户,查找方式一样,但对rundll.exe文件,直接删除就可以了,因为winxp或win2000根本不需要rundll.exe文件,如果你的系统中有rundll.exe文件,毫无疑问,你的系统已经中招。
4、如何防毒
我还是要推荐大家安装norton的杀毒和internet个人防火墙,有条件的话,再加装一个金山毒霸,它对国内病毒查杀能力要好一些,这次的rundll病毒就是国产的:)。
虽然norton杀毒防火墙不能查杀这个病毒,但对大多数病毒来说,都可以查杀,我一直使用这个杀毒软件,除这次外,从未中毒。更重要的是要安装它的病毒防火墙,可以控制所有程序的出、入站,其实,虽然我的电脑已中招,但我的信息并未发送出去,因为我在防火墙中禁止了这个文件的所有出入站。
对winxp用户(好象越来越多了)来说,保留系统还原的功能,万一系统死机或其它原因,完全可以用还原来恢复。
上网前,一定要打开所有防火墙,避免不必要的染毒,同时,推荐使用Gosurf或MYIE2(虽然我不喜欢这个bugs很多的软件)之类的可防止弹出广告或另外链接窗口的网络浏览器。
经常清空你的浏览器缓存和cookies之类的东西,保护好你的个人信息,如加密等,在我的文档之类的文件夹、tem、temp和个人登录帐号文件夹中不要放置重要的文件信息等。
总之,有了网络,我们的快乐多了,但我们忧患更多。
三、http://peephost2.3322.org 查疑
这个网址是著名的系网动态域名的下的一个站点,但奇怪的是,不管如何采用正常手段,我进入不了这个站点,但可以ping通,可能是这个木马传播者或始作俑者禁止了所有端口的入站,除了1024吧,但明显的是,这个网站开通了http和ftp服务,且现在他还在网上,你们可以ping一下。我不想攻击他,也许他是冤枉的,也许我还比较正直,知道攻击个人的机器是一种低劣者的偷窃行为,是想模仿黑客,却又缺乏黑客精神,这种人缺乏人类应有的道德和从事计算机行业的素质和水平
