我现在用的杀毒软件是AVP(Kaspersky AV Personal )最近杀毒软件检测时弹出这样的提示“d:\winnt\system32\Rundll.exe感染病毒”名称是“TrojanDownloader.win32.Slime.b"可以杀出,但是杀出后,电脑上的.exe文件基本上都不可以使用!重启后连AVP杀毒软件都不可以运行了!已经格式化过D盘重新安装过后又出现!但是别的盘上的该病毒,已经杀出后才装的。万般无奈下向你们求救,因为我现在不方便上传受感染的Rundll.exe文件,麻烦请告诉我这是什么病毒,如何处理才不会影响电脑的运行呢?(我的病毒库是AVP 2003年8月20日的)!
期待得到你们的帮助!
我到国外网站上查过资料是这样说的:Trojan.Downloader Family
These kinds of programs are not "Trojans" by themselves, but they are intended to deploy Trojan programs to a victim's computer.
The "TrojanDownloader" programs contain information about names and locations of malware programs to download and install. This information is usually stored as an encrypted block of data at the end of a "TrojanDropper" file.
These programs can be used to install and download newer versions of malware software, or install several Trojan programs without user permission.
---------------------------------------------------------------
rundll.exe中的病毒
一、rundll.exe和rundll32.exe文件的区别
我们知道rundll.exe文件和rundll32.exe文件是windows操作系统下的两个重要文件,用来调用动态链接库文件,它们的区别在于rundll.exe用于16位操作系统,如win9x和winme,存放在windows\system中,而rundll32用于32位操作系统,如win2000和winxp中,存放于windows\system32文件夹中。
但问题是,win9x中不使用rundll32.exe,同样地,win2000和winxp中不使用rundll.exe文件。
因此,基本可以肯定地说,如果winxp等32位操作系统中出现了rundll.exe文件,或win9x等16位操作系统中出现了rundll32.exe,可以说,恭喜你,你已中招了。
那么,有些人问,我的winxp系统中只有rundll32.exe,或我的win9x系统中只有rundll文件,我的机器是否中招?这样,就需要知道——
二、如何甄别中毒,杀毒和防毒
看看我是如何中招和恢复的,就知道如何甄别了。
1、如何删除rundll.exe
最近,我的系统在运行,会常态突然象自动改变屏幕主题似的,屏幕一下子变黑,但瞬间就恢复了,也是我大意,因为我刚替换了破解的uxtheme.dll文件,用于桌面主题的随意更换。以为是系统侦测到uxtheme.dll文件有变化,自动恢复的。所以,也没在意。同时,我多年来,一直使用的是NORTON杀毒和internet个人防火墙,从未中招,因此,根本未想到是病毒或木马什么的。
前天,看了网上的帖子,赶紧到自己的系统文件夹中一看,果不其然,确实有这个问题,我使用的是winxp pro,已更新到最新,但windows\system32文件夹中多出了个rundll.exe文件,而且,这个文件的的图标明显是另一个可执行文件winrar.exe文件的图标,因此,先使用文本编辑器输入如下内容:
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@=""%1" %*"
保存在桌面上,文件名为“恢复.reg”,然后,果断删除这个rundll.exe文件,再双击刚才建立的reg文件,导入注册表,这样,所有exe文件都可以正常运行。
2、病毒特征
同时,我复制了这个文件的备份,用ultraedit32编辑器打开,查看有什么可疑之处,好在种木马的人在文件尾部留下了蛛丝马迹,我查找到:“史莱姆病毒 http://peephost2.3322.org:1024/iexplorer.exe”等文字信息。
很清楚,这个病毒被其作者称为“史莱姆病毒”,但后面那行文字的意思就值得猜测了,是将我的桌面信息发送到 http://peephost2.3322.org:1024/iexplorer.exe中,还是这个病毒首先感染了 “http://peephost2.3322.org:1024/iexplorer.exe”,不过,我更倾向于前者,即该病毒是“史莱姆病毒”,可能是个木马程序,作者就是“http://peephost2.3322.org:1024/”的站长。
这个病毒将中招者的信息发送到 “http://peephost2.3322.org:1024/iexplorer.exe”中,等于是开了个后门,将中木马人电脑中的信息,发送到http://peephost2.3322.org网站,并通过1024端口入站,这样种植木马的人,就可以在他的浏览器中(ieplorer.exe),打开中招者的电脑上的任意文件。多么恶毒!
但奇怪的是,我用NORTON扫描这个rundll.exe文件,没有发现任何病毒或木马,同时,用木马克星扫描,也没有发现木马,但norton的internet防火墙曾经提示过我,“是否允许rundll.exe访问internet”,我选择了“总是禁止”。
我还试验过,卸载了winrar程序,并删除了rundll.exe文件后,系统启动后,又出现了这个rundll.exe文件,这次,这个rundll.exe的图标是我安装不久的easycd&dvd creator 6.0 软件中的引擎文件的图标,因为它是加载在系统自动启动项中,这说明我的引擎文件也已中毒,系统启动后,启动了这个引擎文件,这样,自动生成了rundll.exe文件,只好卸载这个软件,等查杀完病毒再安装了。然后,我又逐一查找系统启动项中的文件是否中毒,还好,没有其它的文件中毒。
3、甄别是否中毒,及杀毒
这样,我们就知道,如何甄别中招了。也很简单,
3-1
对win9x用户,就是用我上述方式,用ultraeditor软件,打开rundll.exe文件,查找里面是否有“http://***”等文字,注意,查找时,要选中“查找 ASCII”,看看是否会出现那些字样,也有可能是其它网站的链接,如果你的rundll.exe文件中毒了,也不要紧张,因为是win9x,rundll.exe文件必不可少,有时在染毒程序运行时,或rundll文件已调用了其它系统重要的库文件时,直接删除不了,可以这样解决:
(1)停止系统中所有运行的程序,包括后台运行的程序,下载并安装破解中文版ultraexitor(到www.ttdown.com中下载)
(2)用ultraeditor的批量查找(选中“查找ASCII”),查找硬盘中所有含有病毒特征文字的文件(放心,速度很快,比杀毒软件要快)
(3)反安装或删除所有那些含有病毒特征文字的软件或文件,注意,对某些软件,要注意资料的备份。用“1”中所说方法恢复系统注册表。
(4)从系统安装盘中提取rundll.exe文件,并准备一张干净的win9x启动盘到dos下恢复rundll.exe文件,或直接用win9x系统文件恢复器,恢复rundll.exe。
(5)在norton的internet防火墙中,在禁止站点中,输入“peephost2.3322.org”,严禁系统对这个网站的访问,或这个网站试图与你建立连接。
重启看看吧,你的机器干净了!
3-2
对winxp或win2000用户,查找方式一样,但对rundll.exe文件,直接删除就可以了,因为winxp或win2000根本不需要rundll.exe文件,如果你的系统中有rundll.exe文件,毫无疑问,你的系统已经中招。
4、如何防毒
我还是要推荐大家安装norton的杀毒和internet个人防火墙,有条件的话,再加装一个金山毒霸,它对国内病毒查杀能力要好一些,这次的rundll病毒就是国产的:)。
虽然norton杀毒防火墙不能查杀这个病毒,但对大多数病毒来说,都可以查杀,我一直使用这个杀毒软件,除这次外,从未中毒。更重要的是要安装它的病毒防火墙,可以控制所有程序的出、入站,其实,虽然我的电脑已中招,但我的信息并未发送出去,因为我在防火墙中禁止了这个文件的所有出入站。
对winxp用户(好象越来越多了)来说,保留系统还原的功能,万一系统死机或其它原因,完全可以用还原来恢复。
上网前,一定要打开所有防火墙,避免不必要的染毒,同时,推荐使用Gosurf或MYIE2(虽然我不喜欢这个bugs很多的软件)之类的可防止弹出广告或另外链接窗口的网络浏览器。
经常清空你的浏览器缓存和cookies之类的东西,保护好你的个人信息,如加密等,在我的文档之类的文件夹、tem、temp和个人登录帐号文件夹中不要放置重要的文件信息等。
总之,有了网络,我们的快乐多了,但我们忧患更多。
三、http://peephost2.3322.org 查疑
这个网址是著名的系网动态域名的下的一个站点,但奇怪的是,不管如何采用正常手段,我进入不了这个站点,但可以ping通,可能是这个木马传播者或始作俑者禁止了所有端口的入站,除了1024吧,但明显的是,这个网站开通了http和ftp服务,且现在他还在网上,你们可以ping一下。我不想攻击他,也许他是冤枉的,也许我还比较正直,知道攻击个人的机器是一种低劣者的偷窃行为,是想模仿黑客,却又缺乏黑客精神,这种人缺乏人类应有的道德和从事计算机行业的素质和水平
---------------------------------------------------------------
过来看看,我的直觉反应也是文件关联,呵呵。