电脑中了蠕虫病毒,怎样彻底杀除??

如题所述

专杀工具下载地址在 http://download.rising.com.cn/zsgj/VirusKiller.scr 补丁下载地址: http://www.microsoft.com/security/malwareremove/default.mspx [快讯]6月5日，瑞星病毒疫情监测网监测发现，一个多功能混合型病毒正在互联网上快速传播，该病毒被命名为“威金蠕虫变种BO（Worm.Viking.bo）”病毒。瑞星反病毒专家介绍说，该病毒同时具有文件型病毒、蠕虫病毒、病毒下载器等类病毒的特点，进入用户的电脑之后，它会从网上疯狂下载多个木马、QQ尾巴等安装在中毒电脑中，窃取用户的网络游戏密码，严重时造成系统完全崩溃。 瑞星病毒疫情监测网监测提供的数据表明，截至5日14点，共有9600余名个人用户和10余家企业用户被该病毒感染。病毒会扫描局域网中的所有共享计算机，尝试猜解它们的密码，并试图感染这些计算机。病毒的传播、扫描、网络下载等会消耗大量资源，局域网中只要有一台机器中毒，就可能造成全网运行不正常，甚至造成网络堵塞。中毒后，必须采用具备全局管理功能的网络版杀毒软件才能彻底清除。 根据瑞星技术部门的分析，“威金蠕虫变种BO”进入用户的电脑之后，会通过网络下载“西游木马”、“江湖木马”、“密西病毒”以及“魔兽木马”等程序并安装，试图窃取上述网络游戏的帐号、密码和装备。同时，该病毒还会下载并安装一个QQ尾巴病毒，再利用中毒电脑的QQ疯狂发送垃圾信息，并借机进行传播。 瑞星反病毒专家表示，近期混合型多功能病毒十分猖獗，它们会从网上下载多个病毒、流氓软件，实时更新对抗反病毒软件的查杀，因此一旦中毒很难清除。从目前的形式来看，该病毒的传播速度没有明显减弱的迹象。 附: Worm.Viking (威金)清除方法: 关于 Logo1_.exe 基本介绍 病毒名称 Worm@W32.Looked 病毒别名 Virus.Win32.Delf.62976 [Kaspersky], W32/HLLP.Philis.j [McAfee],W32.Looked [symantec] Net-Worm.Win32.Zorin.a 病毒型态 Worm (网络蠕虫) 病毒发现日期 2004/12/20 影响平台 Windows 95/98/ME , Windows NT/2000/XP/2003 风险评估 散播程度：中 破坏程度：中 主要症状: 1、占用大量网速，使机器使用变得极慢。 2、会捆绑所有的EXE文件，只要一运用应用程序，在winnt下的logo1.exe图标就会相应变成应用程序图标。 3、有时还会时而不时地弹出一些程序框，有时候应用程序一起动就出错，有时候起动了就被强行退出。 4、网吧中只感梁win2k pro版，server版及XP系统都不感染。 5、能绕过所有的还原软件。 详细技术信息： 病毒运行后，在%Windir%生成 Logo1_.exe 同时会在windws根目录生成一个名为"virDll.dll"的文件。 %WinDir%\virDll.dll 该蠕虫会在系统注册表中生成如下键值： [HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW] "auto" = "1" 盗取密码 病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码，将游戏密码发送到该木马病毒的植入者手中。 阻止以下杀毒软件的运行 病毒试图终止包含下列进程的运行，这些多为杀毒软件的进程。 包括卡八斯基，金山公司的毒霸。瑞星等 。98%的杀毒软件运行。 国产软件在中毒后都被病毒杀死，是病毒杀掉-杀毒软件。如金山，瑞星等。哪些软件可以认出病毒。但是 认出后不久就阵亡了。 通过写入文本信息改变"%System%\drivers\etc\hosts" 文件。这就意味着，当受感染的计算机浏览许多站点时 （包括众多反病毒站点），浏览器就会重定向到66.197.186.149。 病毒感染运行windows操作系统的计算机，并且通过开放的网络资源传播。一旦安装，蠕虫将会感染受感染计算 机中的.exe文件。 该蠕虫是一个大小为82K的Windows PE可执行文件。 通过本地网络传播 该蠕虫会将自己复制到下面网络资源： ADMIN$ IPC$ 症状 蠕虫会感染所有.exe的文件。但是，它不会感染路径中包含下列字符串的文件： \Program Files Common Files ComPlus Applications Documents and Settings NetMeeting Outlook Express Recycled system System Volume Information system32 windows Windows Media Player Windows NT WindowsUpdate winnt 蠕虫会从内存中删除下面列出的进程： EGHOST.EXE IPARMOR.EXE KAVPFW.EXE KWatchUI.EXE MAILMON.EXE Ravmon.exe ZoneAlarm 好多网吧遭此病毒破坏造成大面积的卡机，瘫痪。我查遍了好多病毒，和自己收集的病毒样本做了比较，发现此病毒极度变态。危害程度可以和世界排名前十的爱情后门变种相比。该病毒可以通过网络传播，传播周期为3分钟。如果是新做的系统处于中了毒的网络环境内，只要那个机器一上网，3分钟内必定中招。中招后你安装 rising SkyNet Symantec McAfee Gate Rfw.exe RavMon.exe kill NAV 等杀毒软件 都无法补救你的系统，病毒文件 Logo1_.exe 为主体病毒，他自动生成病毒发作所需要的的 SWS32.DLL SWS.DLLL KILL.EXE 等文件。这些文件一但衍生。他将迅速感染系统内EXPLORE 等系统核心进程 及所以.exe 的可执行文件，外观典型表现症状为图标变色。 此时系统资源可用率极低，你每重新启动一次，病毒就会发作一次，重新启动5次后系统基本崩溃。病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码，将游戏密码发送到该木马病毒的植入者手中。 该病毒对于防范意识较弱、还原软件未能及时装到位的网吧十分致命，其网络传播速度十分快。旧版的杀毒软件无法检测，新版的无法彻底根杀。一但网吧内某台机器中了此病毒，那么该网吧所有未中毒的机器都处于危险状态。由于病毒发作贮留于内存。且通过IEXPLORE.exe 进行传播。因此即使是装了还原精灵，还原卡的机器也同样会被感染。你重新启动后系统可以还原。但是你一但开机还是会被感染。 最后说一下解决方案 都是本人个人经验 有不足之处还请各位多多补充......（注意！！在杀毒过程中不要动行任何应用程序） 1.把默认共享关闭，给ADMINISTRATOR 组所有成员设置密码。防止病毒重新感染！ 2.结束以下进程： logo1_.exe rundl132.exe(注意第六个为数字1而不是L) explorer.exe(该病毒会把vDll.dll加载到该系统进程中去，最好是用进程管理工具直接结束掉这个DLL) 另外有类似OS.exe的进程也一并结束掉~~！ 3.到windows目录删除"logo1_.exe"、"rundl132.exe"、"vdll.dll"文件！（注意这些进程都是隐藏的，需要把系统设置为“显示隐藏文件”，设置的方法：打开“我的电脑”； 依次打开菜单“工具/文件夹选项”；然后在弹出的“文件夹选项”对话框中切换到“查看”页； 去掉“隐藏受保护的操作系统文件(推荐)”前面的对钩，让它变为不选状态； 在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项； 去掉“隐藏已知文件类型的扩展名”前面的对钩，也让它变为不选状态；最后点击“确定”。） 4.运行 gpedit.msc 打开组策略,依次单击用户配置- 管理模块- 系统-指定不给windows运行的程序,点启用 然后 点显示 添加 logo1_exe 也就是病毒的源文件 5.在windows目录下新建文件："logo1_.exe"、"rundl132.exe"、"vdll.dll"并把属性设为“只读”，这样病毒也就无法运行了 6.现在你的电脑基本上说可以对该病毒免疫了，既使中了该病毒，它也发作不了啦！最后这一点不怎么好办那些应用程序都被感染了病毒，如果中了病毒，下次重启后，就会弹出来“rundl132.exe不是有效的应用程序”和“无法加载注册表中c;\windows\rundl132.exe”的对话框本人认为要么删除所有被感染的应用程序，然后从其它地方复制没感染病毒的过来，要么就是在搜索里用“*.exe”找出所有的exe文件，然后每个运行一下:L最后从注册表里找出“rundl132.exe”的启动项，删掉就OK了

求采纳

温馨提示：内容为网友见解，仅供参考

当前网址：https://aolonic.com/aa/ad3314wawk1k4dnka55.html