威金专杀
最近出现了威金病毒,已经导致了数以万计的网吧及PC网络出现严重问题,而我也是深受其害,几乎所有小于10m以下*.exe文件都被感染甚至让这些文件变色,而瑞星,金山等杀毒软件根本就解决不了这些文件关联只能把这些文件删除,要知这种后果有多严重,而这些受关联文件一旦运行,几乎整台机子就告瘫痪,
甚至与这台机子联机的pc都会感染,而这些向logo1.exe,rundl132.exe文件删掉之后重启,又会死灰复燃,搞的你发疯,其他修复*.exe关联工具都没用,
现我找搜索到了一份预防方案.以及解决办法。
解决办法:
首先下载终截者入侵阻止程序,这个网站就有,安装运行,接着你就可以运行*.exe文件了
看到logo1_.exe,rundl132.exe等程序你禁止运行别的允许就ok了最后到从c:\windows\下把logo1_.exe,rundl132.exe文件删掉再到注册表里把相关联文件值删掉就行接着用安全回归就行了重启之后全面杀毒就ok了
办法虽然笨但非常有效
预防方案;
下载[url]http://www.xywxkj.com/viking.rar[/url]
解压后 把virus文件夹里面的文件复制到c:\windows\下面.放心.这些都是空文件.文件名和病毒名是一样的.但是都是0字节.
然后运行logo1virus.bat 给刚才放到c:\windows\下的那几个文件加上系统.隐藏.只读3个属性.
就这样.就可以预防威金病毒了.也就是说.即使你的机子中了威金病毒.也不可能发作.是100%不可能!
为了双保险.请进行下一步:
开始-运行 输入gpedit.msc
用户配置-管理模板-系统 不要运行指定的windows程序.
启用.然后在下面显示那里把virusname.txt里面的文件名都加上.
logo1.rar里面是病毒.你可以试一下.即使你运行了这个病毒.也不会发作和感染.
废话我就不说了.希望大家好运.瑞星最新报告.目前已有数万人中这个毒.才3天时间. 其中有数千家网吧在2天内中毒.不可忽视.
表说你没见过这个QQ信息
看看啊. 我最近的照片~ 才扫描到QQ象册上的 ^_^ !
[url]http://www.([/url]骗子或虚假QQ推广信息地址)search_2.shtml.cgi-client-entry.photo.39pic.com/qq%E5%83%8F%E5%86%8C2/
如果你点一下...
表说你不会点.如果你在家.你的电脑只是你一人用么?如果不小心点了一下.那么....
如果你在网吧.网吧其他人点一下的话........
病毒信息:
病毒名称:Worm.Viking.bo Worm.Viking.bp
MACFEE 检测为trojan类木马
事实远不是这样简单...
感染方式:目前为 通过QQ信息感染.当然.不否认有人会利用恶意网页来传播
特征:感染后在C盘windows文件夹内会有logo1_.exe文件.运行后 病毒体为 logo1_.exe kill.exe sws32.dll sws.dll rundl132.dll 等
修改注册表
病毒对注册表进行修改,在 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\IniFileMapping\system.ini\boot]winlogo 项和
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和
[HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/中添加键值=%System%(其中,和为可变的),使得在 下次
系统启动时,病毒可随之自动运行。
中毒后.该病毒能迅速感染explorer.exe 等核心进程.
以及所有的.exe可执行程序...是彻底修改.而不是简单的修改文件关联...具体表现为.游戏图标变色.或变为空白..基本上说.中了这个病毒.就等于你要全部格式化硬盘了。
添加logo1_.exe进程.还有其他几个忘记名字了..
同时释放网游木马.包括 WOW.传奇.江湖.西游.还有....trojan.psw.lineage 表问我这是什么...
你可以说.我装有杀毒软件.很不幸.这个病毒还有一个功能。.就是杀杀毒软件.病毒运行时会干掉以下进程:
rising
SkyNet
Symantec
McAfee
Gate
Rfw.exe
RavMon.exe
kill
NAV
KAV
表告诉我不知道这是什么进程.
你可以说.我装有还原软件.很不幸.该病毒能穿透还原精灵.冰点等数种主流还原软件.经本人测试.连还原卡也没用
:mad: :mad: :mad:
你可以说.我有ghost呢.恢复一下就OK.很不幸,由于是全盘感染.恢复镜象也没用.
对于中毒的朋友.本人只能说节哀顺便.如果实在想补救.有以下办法.
进入安全模式 什么都表点.开始-运行-regedit
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot]
winlogo 项
删掉.C:\WINDOWS\SWS32.DLL
HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/Run 删掉C:\WINDOWS\SWS32.dll 类似的都删掉.还有/RunOnce/RunOnceEx 项里面也检查一下.
为安全记.在注册表里搜索以下值 logo1_.exe logo_1.exe kill.exe sws32.dll sws.dll rundl132.dll 把搜索到的键值全部删掉.
搜索到的那些键值.一定要记得路径.比如c:\windows\sws32.dll c:\windows\logo1_.exe 等.注册表信息删掉后.在c盘把这些东西删掉.
然后在运行里输入msconfig 后面启动项里.把没见过的启动项都取消.
如果是网吧机子.server服务一定要关.因为该病毒会通过共享传播.并试图解开共享机子的用户密码.达到传送文件的目的.
做到这一步.请安装卡巴斯基.查毒.然后把所有染毒对象全部删除. 当然.以卡巴死基的一贯风格.会删除N多系统文件.请使用系统修复功能来修复系统...OVER.
其实以我的意思.中了这个毒.基本上就没有修复的必要了.每重新启动一次机子.病毒体会自身复制得更多.重新装一个系统并不麻烦.麻烦的是要重新装系统后.怎么才能做到不再感染此病毒.这也是我想要说的.经过查阅病毒资料.和自己一惯手动杀毒经验.本人使用以下防毒思路.测试效果良好.
重新装过系统后.(装系统过程请拔掉网线)在c:\windows\下 创建几个新文件.分别命名为
logo1_.exe logo_1.exe sws32.dll sws.dll 等.并把该文件属性设置为只读.
其实病毒祸首就是logo1_.exe 理论上说只创建这一个就可以了。
开始-运行 输入gpedit.msc
本地计算机策略--用户配置--管理模板--系统 双击右面的 不要运行指定的windows程序 选择已启用 点下面的显示那里 里面添加如下文件名 logo1_.exe logo_1.exe kill.exe 至于是否还有其他病毒主体名.大家也多查查。
到这一步.基本上该病毒就无法运行了.
其实防止logo1_.exe运行还有一个办法.就是在启动项里添加一个批处理.该批处理内容为
attrib c:\window\logo1_.exe -r -h
del c:\window\logo1_.exe /y
多复制几行。 把其他要删的文件名加上
就是启动系统时就把这些文件删掉.当然就无法运行了。 ..不过.通常这种办法会失灵.;)
还有一点就是防止点QQ信息里面的链接.开启QQ安全中心.如果想要显示QQ信息里连的链接但是不想点他。 也有办法.
在QQ菜单-设置-安全设置-网络信息安全 把安全级别设置为最高. 下面聊天信息安全里面两个勾都去掉.
表乱进不熟悉的网站.
一句话.良好的上网习惯是最好的杀毒利器.
手都打酸了。希望能对大家所帮助...
PS:偶表达能力差.表打击偶.有什么不明白的地方偶编辑下..
以下是修改过的logo1virus.bat
省了第一步.也就是说.直接运行logo1vires.bat后.去修改组策略.就万无一失了.修改过的logo1virus.bat内容为
---------------------------------------------------
echo > c:\windows\Logo1_.exe
echo > c:\windows\rundl132.exe
echo > c:\windows\0Sy.exe
echo > c:\windows\vDll.dll
echo > c:\windows\1Sy.exe
echo > c:\windows\2Sy.exe
echo > c:\windows\rundll32.exe
echo > c:\windows\3Sy.exe
echo > c:\windows\5Sy.exe
echo > c:\windows\1.com
echo > c:\windows\exerouter.exe
echo > c:\windows\EXP10RER.com
echo > c:\windows\finders.com
echo > c:\windows\Shell.sys
echo > c:\windows\smss.exe
echo > c:\windows\kill.exe
echo > c:\windows\sws.dll
echo > c:\windows\sws32.dll
attrib c:\windows\Logo1_.exe +s +r +h
attrib c:\windows\rundl132.exe +s +r +h
attrib c:\windows\0Sy.exe +s +r +h
attrib c:\windows\vDll.dll +s +r +h
attrib c:\windows\1Sy.exe +s +r +h
attrib c:\windows\2Sy.exe +s +r +h
attrib c:\windows\rundll32.exe +s +r +h
attrib c:\windows\3Sy.exe +s +r +h
attrib c:\windows\5Sy.exe +s +r +h
attrib c:\windows\1.com +s +r +h
attrib c:\windows\exerouter.exe +s +r +h
attrib c:\windows\EXP10RER.com +s +r +h
attrib c:\windows\finders.com +s +r +h
attrib c:\windows\Shell.sys +s +r +h
attrib c:\windows\smss.exe +s +r +h
attrib c:\windows\kill.exe +s +r +h
attrib c:\windows\sws.dll +s +r +h
attrib c:\windows\sws32.dll +s +r +h
-------------------------------------------
刚才整理了一下.修改组策略那里已经被我写成注册表。请把以下内容复制到文本里.修改成reg后缀导入就可.
------------------------------------------------
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\本地User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]
"**delvals."=" "
"1"="0Sy.exe"
"2"="1.com"
"3"="1Sy.exe"
"4"="2Sy.exe"
"5"="3Sy.exe"
"6"="5Sy.exe"
"7"="exerouter.exe"
"8"="EXP10RER.com"
"9"="finders.com"
"10"="finders.com"
"11"="kill.exe"
"12"="Logo1_.exe"
"13"="rundl132.exe"
"14"="rundll32.exe"
"15"="Shell.sys"
"16"="smss.exe"
"17"="smss.exe"
"18"="sws.dll"
"19"="sws32.dll"
"20"="tool.exe"
"21"="tool2005.exe"
"22"="tool2006.exe"
"23"="tools.exe"
"24"="vDll.dll"
最近出现了威金病毒,已经导致了数以万计的网吧及PC网络出现严重问题,而我也是深受其害,几乎所有小于10m以下*.exe文件都被感染甚至让这些文件变色,而瑞星,金山等杀毒软件根本就解决不了这些文件关联只能把这些文件删除,要知这种后果有多严重,而这些受关联文件一旦运行,几乎整台机子就告瘫痪,
甚至与这台机子联机的pc都会感染,而这些向logo1.exe,rundl132.exe文件删掉之后重启,又会死灰复燃,搞的你发疯,其他修复*.exe关联工具都没用,
现我找搜索到了一份预防方案.以及解决办法。
解决办法:
首先下载终截者入侵阻止程序,这个网站就有,安装运行,接着你就可以运行*.exe文件了
看到logo1_.exe,rundl132.exe等程序你禁止运行别的允许就ok了最后到从c:\windows\下把logo1_.exe,rundl132.exe文件删掉再到注册表里把相关联文件值删掉就行接着用安全回归就行了重启之后全面杀毒就ok了
办法虽然笨但非常有效
预防方案;
下载[url]http://www.xywxkj.com/viking.rar[/url]
解压后 把virus文件夹里面的文件复制到c:\windows\下面.放心.这些都是空文件.文件名和病毒名是一样的.但是都是0字节.
然后运行logo1virus.bat 给刚才放到c:\windows\下的那几个文件加上系统.隐藏.只读3个属性.
就这样.就可以预防威金病毒了.也就是说.即使你的机子中了威金病毒.也不可能发作.是100%不可能!
为了双保险.请进行下一步:
开始-运行 输入gpedit.msc
用户配置-管理模板-系统 不要运行指定的windows程序.
启用.然后在下面显示那里把virusname.txt里面的文件名都加上.
logo1.rar里面是病毒.你可以试一下.即使你运行了这个病毒.也不会发作和感染.
废话我就不说了.希望大家好运.瑞星最新报告.目前已有数万人中这个毒.才3天时间. 其中有数千家网吧在2天内中毒.不可忽视.
表说你没见过这个QQ信息
看看啊. 我最近的照片~ 才扫描到QQ象册上的 ^_^ !
[url]http://www.([/url]骗子或虚假QQ推广信息地址)search_2.shtml.cgi-client-entry.photo.39pic.com/qq%E5%83%8F%E5%86%8C2/
如果你点一下...
表说你不会点.如果你在家.你的电脑只是你一人用么?如果不小心点了一下.那么....
如果你在网吧.网吧其他人点一下的话........
病毒信息:
病毒名称:Worm.Viking.bo Worm.Viking.bp
MACFEE 检测为trojan类木马
事实远不是这样简单...
感染方式:目前为 通过QQ信息感染.当然.不否认有人会利用恶意网页来传播
特征:感染后在C盘windows文件夹内会有logo1_.exe文件.运行后 病毒体为 logo1_.exe kill.exe sws32.dll sws.dll rundl132.dll 等
修改注册表
病毒对注册表进行修改,在 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\IniFileMapping\system.ini\boot]winlogo 项和
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和
[HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/中添加键值=%System%(其中,和为可变的),使得在 下次
系统启动时,病毒可随之自动运行。
中毒后.该病毒能迅速感染explorer.exe 等核心进程.
以及所有的.exe可执行程序...是彻底修改.而不是简单的修改文件关联...具体表现为.游戏图标变色.或变为空白..基本上说.中了这个病毒.就等于你要全部格式化硬盘了。
添加logo1_.exe进程.还有其他几个忘记名字了..
同时释放网游木马.包括 WOW.传奇.江湖.西游.还有....trojan.psw.lineage 表问我这是什么...
你可以说.我装有杀毒软件.很不幸.这个病毒还有一个功能。.就是杀杀毒软件.病毒运行时会干掉以下进程:
rising
SkyNet
Symantec
McAfee
Gate
Rfw.exe
RavMon.exe
kill
NAV
KAV
表告诉我不知道这是什么进程.
你可以说.我装有还原软件.很不幸.该病毒能穿透还原精灵.冰点等数种主流还原软件.经本人测试.连还原卡也没用
:mad: :mad: :mad:
你可以说.我有ghost呢.恢复一下就OK.很不幸,由于是全盘感染.恢复镜象也没用.
对于中毒的朋友.本人只能说节哀顺便.如果实在想补救.有以下办法.
进入安全模式 什么都表点.开始-运行-regedit
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot]
winlogo 项
删掉.C:\WINDOWS\SWS32.DLL
HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/Run 删掉C:\WINDOWS\SWS32.dll 类似的都删掉.还有/RunOnce/RunOnceEx 项里面也检查一下.
为安全记.在注册表里搜索以下值 logo1_.exe logo_1.exe kill.exe sws32.dll sws.dll rundl132.dll 把搜索到的键值全部删掉.
搜索到的那些键值.一定要记得路径.比如c:\windows\sws32.dll c:\windows\logo1_.exe 等.注册表信息删掉后.在c盘把这些东西删掉.
然后在运行里输入msconfig 后面启动项里.把没见过的启动项都取消.
如果是网吧机子.server服务一定要关.因为该病毒会通过共享传播.并试图解开共享机子的用户密码.达到传送文件的目的.
做到这一步.请安装卡巴斯基.查毒.然后把所有染毒对象全部删除. 当然.以卡巴死基的一贯风格.会删除N多系统文件.请使用系统修复功能来修复系统...OVER.
其实以我的意思.中了这个毒.基本上就没有修复的必要了.每重新启动一次机子.病毒体会自身复制得更多.重新装一个系统并不麻烦.麻烦的是要重新装系统后.怎么才能做到不再感染此病毒.这也是我想要说的.经过查阅病毒资料.和自己一惯手动杀毒经验.本人使用以下防毒思路.测试效果良好.
重新装过系统后.(装系统过程请拔掉网线)在c:\windows\下 创建几个新文件.分别命名为
logo1_.exe logo_1.exe sws32.dll sws.dll 等.并把该文件属性设置为只读.
其实病毒祸首就是logo1_.exe 理论上说只创建这一个就可以了。
开始-运行 输入gpedit.msc
本地计算机策略--用户配置--管理模板--系统 双击右面的 不要运行指定的windows程序 选择已启用 点下面的显示那里 里面添加如下文件名 logo1_.exe logo_1.exe kill.exe 至于是否还有其他病毒主体名.大家也多查查。
到这一步.基本上该病毒就无法运行了.
其实防止logo1_.exe运行还有一个办法.就是在启动项里添加一个批处理.该批处理内容为
attrib c:\window\logo1_.exe -r -h
del c:\window\logo1_.exe /y
多复制几行。 把其他要删的文件名加上
就是启动系统时就把这些文件删掉.当然就无法运行了。 ..不过.通常这种办法会失灵.;)
还有一点就是防止点QQ信息里面的链接.开启QQ安全中心.如果想要显示QQ信息里连的链接但是不想点他。 也有办法.
在QQ菜单-设置-安全设置-网络信息安全 把安全级别设置为最高. 下面聊天信息安全里面两个勾都去掉.
表乱进不熟悉的网站.
一句话.良好的上网习惯是最好的杀毒利器.
手都打酸了。希望能对大家所帮助...
PS:偶表达能力差.表打击偶.有什么不明白的地方偶编辑下..
以下是修改过的logo1virus.bat
省了第一步.也就是说.直接运行logo1vires.bat后.去修改组策略.就万无一失了.修改过的logo1virus.bat内容为
---------------------------------------------------
echo > c:\windows\Logo1_.exe
echo > c:\windows\rundl132.exe
echo > c:\windows\0Sy.exe
echo > c:\windows\vDll.dll
echo > c:\windows\1Sy.exe
echo > c:\windows\2Sy.exe
echo > c:\windows\rundll32.exe
echo > c:\windows\3Sy.exe
echo > c:\windows\5Sy.exe
echo > c:\windows\1.com
echo > c:\windows\exerouter.exe
echo > c:\windows\EXP10RER.com
echo > c:\windows\finders.com
echo > c:\windows\Shell.sys
echo > c:\windows\smss.exe
echo > c:\windows\kill.exe
echo > c:\windows\sws.dll
echo > c:\windows\sws32.dll
attrib c:\windows\Logo1_.exe +s +r +h
attrib c:\windows\rundl132.exe +s +r +h
attrib c:\windows\0Sy.exe +s +r +h
attrib c:\windows\vDll.dll +s +r +h
attrib c:\windows\1Sy.exe +s +r +h
attrib c:\windows\2Sy.exe +s +r +h
attrib c:\windows\rundll32.exe +s +r +h
attrib c:\windows\3Sy.exe +s +r +h
attrib c:\windows\5Sy.exe +s +r +h
attrib c:\windows\1.com +s +r +h
attrib c:\windows\exerouter.exe +s +r +h
attrib c:\windows\EXP10RER.com +s +r +h
attrib c:\windows\finders.com +s +r +h
attrib c:\windows\Shell.sys +s +r +h
attrib c:\windows\smss.exe +s +r +h
attrib c:\windows\kill.exe +s +r +h
attrib c:\windows\sws.dll +s +r +h
attrib c:\windows\sws32.dll +s +r +h
-------------------------------------------
刚才整理了一下.修改组策略那里已经被我写成注册表。请把以下内容复制到文本里.修改成reg后缀导入就可.
------------------------------------------------
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\本地User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]
"**delvals."=" "
"1"="0Sy.exe"
"2"="1.com"
"3"="1Sy.exe"
"4"="2Sy.exe"
"5"="3Sy.exe"
"6"="5Sy.exe"
"7"="exerouter.exe"
"8"="EXP10RER.com"
"9"="finders.com"
"10"="finders.com"
"11"="kill.exe"
"12"="Logo1_.exe"
"13"="rundl132.exe"
"14"="rundll32.exe"
"15"="Shell.sys"
"16"="smss.exe"
"17"="smss.exe"
"18"="sws.dll"
"19"="sws32.dll"
"20"="tool.exe"
"21"="tool2005.exe"
"22"="tool2006.exe"
"23"="tools.exe"
"24"="vDll.dll"
温馨提示:内容为网友见解,仅供参考
第1个回答 2006-10-24
一言难尽啊我被这个病毒可害苦了!!!,我中毒算是比较深的了,所有27kb-10mb的可执行文件全部感染,我是把硬盘都重新分区,重做的系统。本人亲身感受该病毒的实际威力,表面特征开机后运行什么程序都很慢,开我的电脑需要过两三分钟,所有27kb-10mb的.exe图标全变花花。
我试过很多杀毒软件,包括瑞星专杀,金山专杀根本查不出有毒,应该是该病毒的变种,并且它可以中止杀毒软件程序,禁止杀毒软件开机自动运行,所有杀毒软件只要一次性没杀干净,第二次就不好用(不是杀毒软件杀它,是它杀杀毒软件)如果被感染,格式化是不好用的,不信你可以试试,在DOS里format d:再进系统看看文件还在不?这是因为该病毒把引导区信息都破坏了,再进fdisk看看你b项的硬盘格式还是FAT32不?我的是8,苍天啊。(我中毒比较深)即使你把系统c:格式化重做,那么进系统,只要打开别的盘符病毒照样回来。因为病毒在别的盘符下设置了一个钩子,系统文件。
网上的一位仁兄写了这样的一段话:
病毒是在windows目录下生成dll.dll,logo1_.exe,rundl132.exe这三个文件。
而dll.dll注入explorer.exe是由logo1_.exe来完成。病毒会在开机自动执行中加入rundl132.exe 首先打开我的电脑!选工具——文件夹选项——查看(快捷键按ALT+T再按O)中的"隐藏受保护的操作系统文件(推荐)"的勾取消,把"显示所有文件和文件夹"选中!
1.按CTRL+ALT+DEL在任务管理器中把rundl132.exe,logo1_.exe结束掉(没有的话,不用操作),删除C盘内的logo1_.exel和rundl132.exe(不知道在哪里的,可以打开我的电脑按CTRL+F然后搜索rundl132.exe,logo1_.exe)
2.因为DLL.dll模块被写入到explorer中,所以删除不掉.不过能有办法删除,打开任务管理把进程中的explorer.exe结束掉,接着桌面变消失了,不怕!选中任务管理器的“文件(F)”——“新任务(运行。。)(N)”然后运行explorer.exe桌面就又出来了!接着把在C:盘下的DLL.dll删除掉(按CTRL+F查找它,然后删除)
3.在运行中输入regedit查找注册表键值:[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]将其删除,然后按CTRL+F查找注册表键值rundl132.exe及在这项中的所有键值将其删除
4.打开我的电脑按CTRL+F然后搜索_desktop.ini,把找到的所有_desktop.ini删除(删除后图标还显示在那里,别管它,关掉后在查一次看看是否还有)
楼上的朋友说在命令提示符里输入的del c:\_desktop.ini /a/f/s/q 这个方法挺好。
如果用GHOST重做系统的朋友,并且在GHOST以前c:装过杀毒软件的朋友那么祝贺你,当你打开c:外其它盘符的时候,杀毒软件会提示你有文件正向c:考入文件,此时点杀毒,再其它盘符里的病毒钩子自然被杀掉,然后依次格式化其它盘。剩下的就直接分区装系统吧,不要奢望能留下你那好不容易得到的软件,因为它们已经象生化微机里的那样变异啦
既然楼主已经清楚了病毒,那么我想还是重点讨论一下如何防治威金不被重新感染吧。打开工具-文件夹选项-隐藏文件的扩展名的钩点掉
1、在windows目录下新建记事本:“logo1_.exe”、:“logo1.exe”、“rundl132.exe”、“vdll.dll””、“vidll.dll””、“dll.dll”并把属性设为“只读”,这样病毒也就无法运行了。经我观察发现,病毒如果发现WINDOWS下有一个和它重名并只读文件,那么病毒会自己改名,所以要多建几个。
2、运行 gpedit.msc 打开组策略,依次单击用户配置- 管理模块- 系统-指定不给windows运行的程序,点启用 然后 点显示 添加 “logo1_.exe”、“logo1.exe”、““rundl132.exe“ 也就是病毒的源文件,确定。这样是禁止病毒运行
3、经常观察c:WINDOWS是否有类似logo.exe的文件出现,并及时打开WINDOWS资源管理器,中止该进程,并删除。(这个文件会随机使用你系统软件的图标来迷惑用户,经常变化)
4、经常观察注册表(在运行中输入regedit)查找注册表键值:[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]是否存在,有并将其删除。然后按CTRL+F查找注册表键值rundl132.exe及在这项中的所有键值将其删除。
一半情况下只要发现及时并做好预防,该病毒还是可以得到有效控制的。
最后告诉大家一个小方法来备份文件,把重要的文件全部打成一个压缩文件,并把这个压缩文件的后缀.rar改成.dgsdfgbhhsfs(rar)就是乱七八糟的后缀,这样病毒就没发识别了,用的时候再改过来解压即可。
以上是本人受过威金病毒严重侵害后的心得,望对各位仁兄有所帮助,最后祝愿大家远离病毒,欢乐上网。
我试过很多杀毒软件,包括瑞星专杀,金山专杀根本查不出有毒,应该是该病毒的变种,并且它可以中止杀毒软件程序,禁止杀毒软件开机自动运行,所有杀毒软件只要一次性没杀干净,第二次就不好用(不是杀毒软件杀它,是它杀杀毒软件)如果被感染,格式化是不好用的,不信你可以试试,在DOS里format d:再进系统看看文件还在不?这是因为该病毒把引导区信息都破坏了,再进fdisk看看你b项的硬盘格式还是FAT32不?我的是8,苍天啊。(我中毒比较深)即使你把系统c:格式化重做,那么进系统,只要打开别的盘符病毒照样回来。因为病毒在别的盘符下设置了一个钩子,系统文件。
网上的一位仁兄写了这样的一段话:
病毒是在windows目录下生成dll.dll,logo1_.exe,rundl132.exe这三个文件。
而dll.dll注入explorer.exe是由logo1_.exe来完成。病毒会在开机自动执行中加入rundl132.exe 首先打开我的电脑!选工具——文件夹选项——查看(快捷键按ALT+T再按O)中的"隐藏受保护的操作系统文件(推荐)"的勾取消,把"显示所有文件和文件夹"选中!
1.按CTRL+ALT+DEL在任务管理器中把rundl132.exe,logo1_.exe结束掉(没有的话,不用操作),删除C盘内的logo1_.exel和rundl132.exe(不知道在哪里的,可以打开我的电脑按CTRL+F然后搜索rundl132.exe,logo1_.exe)
2.因为DLL.dll模块被写入到explorer中,所以删除不掉.不过能有办法删除,打开任务管理把进程中的explorer.exe结束掉,接着桌面变消失了,不怕!选中任务管理器的“文件(F)”——“新任务(运行。。)(N)”然后运行explorer.exe桌面就又出来了!接着把在C:盘下的DLL.dll删除掉(按CTRL+F查找它,然后删除)
3.在运行中输入regedit查找注册表键值:[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]将其删除,然后按CTRL+F查找注册表键值rundl132.exe及在这项中的所有键值将其删除
4.打开我的电脑按CTRL+F然后搜索_desktop.ini,把找到的所有_desktop.ini删除(删除后图标还显示在那里,别管它,关掉后在查一次看看是否还有)
楼上的朋友说在命令提示符里输入的del c:\_desktop.ini /a/f/s/q 这个方法挺好。
如果用GHOST重做系统的朋友,并且在GHOST以前c:装过杀毒软件的朋友那么祝贺你,当你打开c:外其它盘符的时候,杀毒软件会提示你有文件正向c:考入文件,此时点杀毒,再其它盘符里的病毒钩子自然被杀掉,然后依次格式化其它盘。剩下的就直接分区装系统吧,不要奢望能留下你那好不容易得到的软件,因为它们已经象生化微机里的那样变异啦
既然楼主已经清楚了病毒,那么我想还是重点讨论一下如何防治威金不被重新感染吧。打开工具-文件夹选项-隐藏文件的扩展名的钩点掉
1、在windows目录下新建记事本:“logo1_.exe”、:“logo1.exe”、“rundl132.exe”、“vdll.dll””、“vidll.dll””、“dll.dll”并把属性设为“只读”,这样病毒也就无法运行了。经我观察发现,病毒如果发现WINDOWS下有一个和它重名并只读文件,那么病毒会自己改名,所以要多建几个。
2、运行 gpedit.msc 打开组策略,依次单击用户配置- 管理模块- 系统-指定不给windows运行的程序,点启用 然后 点显示 添加 “logo1_.exe”、“logo1.exe”、““rundl132.exe“ 也就是病毒的源文件,确定。这样是禁止病毒运行
3、经常观察c:WINDOWS是否有类似logo.exe的文件出现,并及时打开WINDOWS资源管理器,中止该进程,并删除。(这个文件会随机使用你系统软件的图标来迷惑用户,经常变化)
4、经常观察注册表(在运行中输入regedit)查找注册表键值:[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]是否存在,有并将其删除。然后按CTRL+F查找注册表键值rundl132.exe及在这项中的所有键值将其删除。
一半情况下只要发现及时并做好预防,该病毒还是可以得到有效控制的。
最后告诉大家一个小方法来备份文件,把重要的文件全部打成一个压缩文件,并把这个压缩文件的后缀.rar改成.dgsdfgbhhsfs(rar)就是乱七八糟的后缀,这样病毒就没发识别了,用的时候再改过来解压即可。
以上是本人受过威金病毒严重侵害后的心得,望对各位仁兄有所帮助,最后祝愿大家远离病毒,欢乐上网。
第2个回答 2006-10-24
我昨天刚刚修好了两台中过威金病毒的电脑.我用的是江民威金病毒专杀工具.非常好用,只用了10MIN就把80G的硬盘杀完,因为他只杀这一个病毒,所以查的非常的快.我极力推荐你用这个软件.GOOD LUCK!
以下是江民的介绍:
近日,江民反病毒中心监测到,“威金”病毒(Worm/Viking)的多个新变种在互联网上活动较为频繁,已有多家企业用户报告感染了该病毒并导致整个局域网受到不同程度的破坏。据江民全国病毒疫情监控系统数据显示,该病毒目前已有188个变种,从2005年5月19日首次出现至今,已经感染了15万余台计算机。
江民反病毒专家分析,“威金”病毒主要通过网络共享传播,病毒会感染电脑中所有的.EXE可执行文件,传播速度十分迅速。“威金”病毒运行后,修改注册表自启动项,以使自己随系统一起运行,向系统文件目录下生成以下病毒文件:
Program Files\svhost32.exe
Program Files\micorsoft\svhost32.exe
windows\explorer.exe
windows\logo1_exe
windows\rundll32.exe
windows\rundl132.exe
windows\intel\rundl132.exe
windows\dll.dll
病毒新变种还会自动从网站下载“天堂杀手”以及“QQ大盗(QQpass)”等10余种木马病毒,企图盗取包括天堂、征途、梦幻西游、传奇等多种流行网游以及QQ的帐号、密码。
针对该病毒以及最新变种,江民杀毒软件已及时升级病毒库,用户可以使用最新版杀毒软件对电脑进行全盘查杀,即可消除病毒威胁。江民反病毒专家特别提醒,对于局域网用户,在杀毒时务必断开网络,以免病毒在局域网流窜,导致病毒屡杀不绝的现象。单机用户应检查自己的电脑是否存在共享(可使用江民杀毒软件木马一扫光中“共享管理”功能查看),在全盘杀毒后及时关闭所有共享设置,以免再遭病毒侵扰。为进有效地清除威金病毒,江民反病毒中心还研发了威金病毒专杀工具,未安装杀毒软件的用户可以免费下载使用,彻底抵御“威金”病毒。
江民威金病毒专杀工具下载地址:http://kvup.jiangmin.com/download/VikingKiller.rar
以下是江民的介绍:
近日,江民反病毒中心监测到,“威金”病毒(Worm/Viking)的多个新变种在互联网上活动较为频繁,已有多家企业用户报告感染了该病毒并导致整个局域网受到不同程度的破坏。据江民全国病毒疫情监控系统数据显示,该病毒目前已有188个变种,从2005年5月19日首次出现至今,已经感染了15万余台计算机。
江民反病毒专家分析,“威金”病毒主要通过网络共享传播,病毒会感染电脑中所有的.EXE可执行文件,传播速度十分迅速。“威金”病毒运行后,修改注册表自启动项,以使自己随系统一起运行,向系统文件目录下生成以下病毒文件:
Program Files\svhost32.exe
Program Files\micorsoft\svhost32.exe
windows\explorer.exe
windows\logo1_exe
windows\rundll32.exe
windows\rundl132.exe
windows\intel\rundl132.exe
windows\dll.dll
病毒新变种还会自动从网站下载“天堂杀手”以及“QQ大盗(QQpass)”等10余种木马病毒,企图盗取包括天堂、征途、梦幻西游、传奇等多种流行网游以及QQ的帐号、密码。
针对该病毒以及最新变种,江民杀毒软件已及时升级病毒库,用户可以使用最新版杀毒软件对电脑进行全盘查杀,即可消除病毒威胁。江民反病毒专家特别提醒,对于局域网用户,在杀毒时务必断开网络,以免病毒在局域网流窜,导致病毒屡杀不绝的现象。单机用户应检查自己的电脑是否存在共享(可使用江民杀毒软件木马一扫光中“共享管理”功能查看),在全盘杀毒后及时关闭所有共享设置,以免再遭病毒侵扰。为进有效地清除威金病毒,江民反病毒中心还研发了威金病毒专杀工具,未安装杀毒软件的用户可以免费下载使用,彻底抵御“威金”病毒。
江民威金病毒专杀工具下载地址:http://kvup.jiangmin.com/download/VikingKiller.rar
参考资料:http://www.jiangmin.com/News/jiangmin/index/important/2006101915457.htm
第3个回答 2006-10-21
瑞星病毒疫情监测网监测发现,一个多功能混合型病毒正在互联网上快速传播,该病毒被命名为“威金蠕虫变种BO(Worm.Viking.bo)”病毒。瑞星反病毒专家介绍说,该病毒同时具有文件型病毒、蠕虫病毒、病毒下载器等类病毒的特点,进入用户的电脑之后,它会从网上疯狂下载多个木马、QQ尾巴等安装在中毒电脑中,窃取用户的网络游戏密码,严重时造成系统完全崩溃。
瑞星病毒疫情监测网监测提供的数据表明,截至5日14点,共有9600余名个人用户和10余家企业用户被该病毒感染。病毒会扫描局域网中的所有共享计算机,尝试猜解它们的密码,并试图感染这些计算机。病毒的传播、扫描、网络下载等会消耗大量资源,局域网中只要有一台机器中毒,就可能造成全网运行不正常,甚至造成网络堵塞。中毒后,必须采用具备全局管理功能的网络版杀毒软件才能彻底清除。
根据瑞星技术部门的分析,“威金蠕虫变种BO”进入用户的电脑之后,会通过网络下载“西游木马”、“江湖木马”、“密西病毒”以及“魔兽木马”等程序并安装,试图窃取上述网络游戏的帐号、密码和装备。同时,该病毒还会下载并安装一个QQ尾巴病毒,再利用中毒电脑的QQ疯狂发送垃圾信息,并借机进行传播。
瑞星反病毒专家表示,近期混合型多功能病毒十分猖獗,它们会从网上下载多个病毒、流氓软件,实时更新对抗反病毒软件的查杀,因此一旦中毒很难清除。从目前的形式来看,该病毒的传播速度没有明显减弱的迹象。因此,用户应该采取以下措施对其进行防范:
企业用户应该对整个网络进行安全漏洞排查,可以登陆瑞星网站www.rising.com.cn,免费下载瑞星杀毒软件2006网络版,使用其中的“增强型全网漏洞管理”功能进行全网扫描,排除安全隐患;个人用户应该使用瑞星杀毒软件2006版的“漏洞扫描”功能,给自己的电脑打上补丁,上网时应启用所有的实时监控功能,并使用个人防火墙。
瑞星病毒疫情监测网监测提供的数据表明,截至5日14点,共有9600余名个人用户和10余家企业用户被该病毒感染。病毒会扫描局域网中的所有共享计算机,尝试猜解它们的密码,并试图感染这些计算机。病毒的传播、扫描、网络下载等会消耗大量资源,局域网中只要有一台机器中毒,就可能造成全网运行不正常,甚至造成网络堵塞。中毒后,必须采用具备全局管理功能的网络版杀毒软件才能彻底清除。
根据瑞星技术部门的分析,“威金蠕虫变种BO”进入用户的电脑之后,会通过网络下载“西游木马”、“江湖木马”、“密西病毒”以及“魔兽木马”等程序并安装,试图窃取上述网络游戏的帐号、密码和装备。同时,该病毒还会下载并安装一个QQ尾巴病毒,再利用中毒电脑的QQ疯狂发送垃圾信息,并借机进行传播。
瑞星反病毒专家表示,近期混合型多功能病毒十分猖獗,它们会从网上下载多个病毒、流氓软件,实时更新对抗反病毒软件的查杀,因此一旦中毒很难清除。从目前的形式来看,该病毒的传播速度没有明显减弱的迹象。因此,用户应该采取以下措施对其进行防范:
企业用户应该对整个网络进行安全漏洞排查,可以登陆瑞星网站www.rising.com.cn,免费下载瑞星杀毒软件2006网络版,使用其中的“增强型全网漏洞管理”功能进行全网扫描,排除安全隐患;个人用户应该使用瑞星杀毒软件2006版的“漏洞扫描”功能,给自己的电脑打上补丁,上网时应启用所有的实时监控功能,并使用个人防火墙。
第4个回答 2006-10-19
看过这么多答案,觉得却有可圈可点之处,但觉得有些操作不可行,有的太复杂,而我太懒,没有办法!^_^。我边唠叨边说我的杀毒办法,比较简单,但全是我一字一字写的啊,字字有血泪。必须要严格按我的步骤来哦,不得轻易做其他操作。如果你需要杀软的离线升级包或进程手术刀这样的工具可以和我QQ(236571501)联系,我会发到你邮箱。不破楼兰终不还!呵呵!还有,我不知道你的计算机水平,所以比较详细!
一、扩军备战。
1、要处理的的对象:
A、病毒文件(要删除):win2k操作系统系统目录为winnt
c:\windows\logo_1.exe
c:\windows\rundl132.exe
c:\windows\dll.dll(也可能是c:\windows\vdll.dll)
大量存在各文件夹下的_desktop.ini
B、许多被感染的exe文件,使用最新引擎和病毒库的杀软消灭,瑞星2006和kv2006都能有效清除而不需删除。
C、注册表相关启动对象要删除,仅仅可以使用开始|运行|msconfig命令实现(注册表里面的操作我看网友们的介绍也比较详细了,挣分还是要讲究技巧的)。
特别申明:不要相信专杀工具,在彻底清除前,不要轻易运行任何exe文件。
二、全面战争:
1、再次备战,呵呵:
新建4个txt文本文档,并分别改名为
logo1_.exe,rundl132.exe,vdll.dll,dll.dll,在cmd界面下将他们设置为系统和只读属性,
命令为attirb 文件名.扩展名 +s +r,
他们大小都是0字节。将杀毒软件升级到最新。
2、肉搏战!!
方式1(麻烦):
A、进入带命令行的安全模式,使用
del 路径\文件
的格式删除c:\windows下我提到的病毒文件。
B、使用
copy 源路径\文件 目标路径
的命令格式将我们伪造的文件替换病毒文件,(病毒说道:好毒一招,名曰:偷天换日)。
C、使用系统的搜索功能找出硬盘上所有的_desktop.ini文件并全部删除,使用最新病毒库的杀毒软件(瑞星2006或kv2006)清除所有硬盘上exe文件上的病毒。晕!如何打开杀软或使用搜索功能,可以使用杀软主执行文件的路径打开程序或键入explorer,在桌面环境下使用杀软或搜索功能。
D、使用msconfig删除启动项(最好用regedit),使用杀软全盘杀毒。
方式2(不麻烦,所提到的命令的使用同方式1):
A、不进入安全模式,打开cmd
B、使用进程手术刀(因为任务管理器权限不够终止不到,还有有的机器运行的进程是logo1_.exe,有的机器的进程是rundl132.exe在运行)终止explorer(dll.dll和vdll.dll的注入进程)、logo1_.exe、rundl132.exe,前面网友说的用任务管理器终止进程是行不通D。
C、使用del命令删除四个病毒文件,并用我伪造的文件替换,然后打开c:\windows\explorer.exe使用搜索功能找出全部的_desktop.ini并删除。
D、使用msconfig删除启动项(最好用regedit),使用杀软全盘杀毒。
ok,到此搞定。恭喜你,你已经消灭病毒,并拥有病毒免疫功能。(当然,你也可以将你的开机必须启动的文件,比如有的网友开机要启动无敌小闹钟啊,改名为病毒文件名修改为只读系统也行)
一、扩军备战。
1、要处理的的对象:
A、病毒文件(要删除):win2k操作系统系统目录为winnt
c:\windows\logo_1.exe
c:\windows\rundl132.exe
c:\windows\dll.dll(也可能是c:\windows\vdll.dll)
大量存在各文件夹下的_desktop.ini
B、许多被感染的exe文件,使用最新引擎和病毒库的杀软消灭,瑞星2006和kv2006都能有效清除而不需删除。
C、注册表相关启动对象要删除,仅仅可以使用开始|运行|msconfig命令实现(注册表里面的操作我看网友们的介绍也比较详细了,挣分还是要讲究技巧的)。
特别申明:不要相信专杀工具,在彻底清除前,不要轻易运行任何exe文件。
二、全面战争:
1、再次备战,呵呵:
新建4个txt文本文档,并分别改名为
logo1_.exe,rundl132.exe,vdll.dll,dll.dll,在cmd界面下将他们设置为系统和只读属性,
命令为attirb 文件名.扩展名 +s +r,
他们大小都是0字节。将杀毒软件升级到最新。
2、肉搏战!!
方式1(麻烦):
A、进入带命令行的安全模式,使用
del 路径\文件
的格式删除c:\windows下我提到的病毒文件。
B、使用
copy 源路径\文件 目标路径
的命令格式将我们伪造的文件替换病毒文件,(病毒说道:好毒一招,名曰:偷天换日)。
C、使用系统的搜索功能找出硬盘上所有的_desktop.ini文件并全部删除,使用最新病毒库的杀毒软件(瑞星2006或kv2006)清除所有硬盘上exe文件上的病毒。晕!如何打开杀软或使用搜索功能,可以使用杀软主执行文件的路径打开程序或键入explorer,在桌面环境下使用杀软或搜索功能。
D、使用msconfig删除启动项(最好用regedit),使用杀软全盘杀毒。
方式2(不麻烦,所提到的命令的使用同方式1):
A、不进入安全模式,打开cmd
B、使用进程手术刀(因为任务管理器权限不够终止不到,还有有的机器运行的进程是logo1_.exe,有的机器的进程是rundl132.exe在运行)终止explorer(dll.dll和vdll.dll的注入进程)、logo1_.exe、rundl132.exe,前面网友说的用任务管理器终止进程是行不通D。
C、使用del命令删除四个病毒文件,并用我伪造的文件替换,然后打开c:\windows\explorer.exe使用搜索功能找出全部的_desktop.ini并删除。
D、使用msconfig删除启动项(最好用regedit),使用杀软全盘杀毒。
ok,到此搞定。恭喜你,你已经消灭病毒,并拥有病毒免疫功能。(当然,你也可以将你的开机必须启动的文件,比如有的网友开机要启动无敌小闹钟啊,改名为病毒文件名修改为只读系统也行)
中过威金病毒的进来!
我昨天刚刚修好了两台中过威金病毒的电脑.我用的是江民威金病毒专杀工具.非常好用,只用了10MIN就把80G的硬盘杀完,因为他只杀这一个病毒,所以查的非常的快.我极力推荐你用这个软件.GOOD LUCK!以下是江民的介绍:近日,江民反病毒中心监测到,“威金”病毒(Worm\/Viking)的多个新变种在互联网上活动较为频繁,已有多家...
中招病毒“威金”——求大虾指点
清除其它盘的病毒,记住,装系统前一定要断网,最好装XP或者2003,还有,装好系统后第一件事情就是去金山毒霸网站下载威金专杀,千万别碰其它盘的文件,不然病毒会复活,
我中了威金病毒
我前两天也种了威金 重做了好几次 威金专杀根本不起作用 我就用了重做系统和装杀毒软件的合体方法!解决方法:先做系统 重做完系统(一定要分区 而且要断网重做)开机后千万别打开其他盘符! 直接去下载 杀软! 别下专杀没啥效果 ,,,瑞星3合一免费版 就可以了! 用杀软多杀几次 杀毒时不要...
有谁中过"威金"病毒?都是怎么解决的??
4.将上面的步骤统统完成之后,病毒就已经不能再复制了,接下来就是删掉原有 的卡巴,然后再重新将卡巴装一次,重启,杀毒(这时就只需将剩下的木马给消 灭掉就可以了),杀完毒之后再重启,在我的电脑里搜索看有没有_desktop.ini 的文件,如果没有的话就恭喜你病毒全部消灭,如果还有的话就重复以上...
中了威金毒王,高手进,不懂的别来.!!
呵呵~~~威金这个病毒现在可以说已经不算是什么厉害的病毒了,我以前也发表过一个文章是关于清除威金和熊猫烧香的批处理,还有假病毒免疫补丁批处理,我自己也在用,自从用这个方法以来一直没中过这两个病毒,可能有时中了也不知道,但因为有免疫补丁的假病毒,所以就不能发作,基本原理其实是删除病毒原...
中了威金病毒
威金病毒是一个非常恶心的病毒,由于它自运行后会感染所有的EXE可执行文件并且杀死所有的杀毒软件(瑞星、金山、卡巴斯基等,就算是软件发现了病毒也会在几分钟内挂掉),所以重装系统或是GHOST还原系统都是无法彻底删除的,不过这种病毒现在来说也不是很麻烦,最好的办法就是到百度搜索威金病毒专杀工具,下...
我中了最近流行的威金了_exe文件都被感染了
:windowsexplorer.exe :windowslogo1_exe :windowsrundll32.exe :windowsrundl132.exe :windowsintelrundl132.exe :windowsdll.dll _desktop.ini 以下我将通过两个辅助工具来解决威金病毒及他的部分变种,一个是大家熟悉的冰刃工具,一个是非官方版的威金专杀工具,此工具只扫描磁盘上的exe文件,它不但会帮...
关于worm.viking.tc 这个病毒,专家进来(粘的不给分)
我中过此毒,得分两大步:一、进入安全模式,如进程内有其它非系统进程,把它们全结束,确认进程表只除系统进程外没其它进程正运行;1、动行regedit,Clrl+F查sws32.dll,KILL.EXE,logo1_.exe,sws.dll,rundl132.exe等删除掉;2、找到注册表中[hkey_local_machine\/software\/soft\/downloadwww] ...
中了威金(维金)病毒!
用木马克星 在尝试修复所中毒的文件把
我中了威金病毒,快来帮忙啊
近期威金肆虐,影响之大不亚于当年的CIH,于是被迫亲自出马研究解决方案.根据其特征,可以理解为“病毒+木马+蠕虫+局域网攻击+系统漏洞传播”.中毒特征: 硬盘中出现大量的_desktop.ini,进程中含有svhost32.exe、logo1_.exe,机器速度爆慢,QQ密码被改,网游帐号被偷; CPU占用率100%;经常蓝屏 传播方式: 染毒...
相似回答
大家正在搜
