威金Worm.viking资料(w32.Looked.p)&最新有效专杀工具!!2006年10月20日 星期五 13:05病毒类型:NetWorm 网络蠕虫
病毒名称:Worm.Viking(瑞星) , Worm.Win32.Viking.aa , bb(卡巴斯基), w32.Looked.p (诺顿) ;
统称威金。 如下资料转载自水木社区 !!
1、手动清除
发信人: ILOVEAPPLE (大海), 信区: Virus
标 题: Re: 有没有中过viking维金的,请问卡巴6对此有效否?
发信站: 水木社区 (Sat Sep 23 15:33:43 2006), 站内
可以这样:
先删除dll.dll(删除方法见置底)、log_1.exe、rundl123.exe等文件,或在安全模式下清除。
主要是dll.dll,这个文件会让windows的explorer.exe调用(这个传播方法较历害)。
然后根据病毒感染exe的特征,你可以用搜索查找所有的的*.exe文件,然后浏览一下文件,利用卡巴实时检测功能把查毒,清除(也可设置卡巴查杀配置,不过好几个选项,。。。);最后执行如下命令清除病毒遗留文件:
如下命令 可以全选 用记事本保存成一个 killViking.bat 文件。
也可以一条一条的手动输入,开始菜单 运行 输入CMD回车,然后执行下面的每一条,按回车执行。
带echo , pause的可以忽略。
echo off
del %Windir%\ MH_FILE\ MH_DLL.dll
del %Windir%\MickNew\MickNew.dll
del %Windir%\TODAYZTKING\TODAYZTKING.DLL
del %Windir%\1.txt
del %Windir%\0Sy.exe
del %Windir%\1Sy.exe
del %Windir%\2Sy.exe
del %Windir%\rundl132.exe
del %Windir%\vDll.dll
del %Windir%\Dll.dll
del %Windir%\log_1.exe
del %Windir%\rundl123.exe
echo 正在清除_desktop.ini文件,请稍等......
del c:\_desktop.ini /f/s/q/a
del d:\_desktop.ini /f/s/q/a
del e:\_desktop.ini /f/s/q/a
echo 清除完毕!
pause
2、发信人: itrose (说不清楚), 信区: Virus
标 题: viking威金dll.dll变种暂时解决方案
发信站: 水木社区 (Tue Sep 12 18:59:31 2006), 站内
威金某变种,病毒文件:
c:\windows\rundl132.exe
c:\windows\dll.dll
在该文件夹下还可能有realplayer.exe excel.exe qq.exe等并不该出现的文件
此变种尚无专杀,我摸索出一种方法,目前看有效,请大家参考.
卸载WINRAR ,QQ,OFFICE,realplayer等知名软件,安全模式下删除上面提到的病毒文件.
3、被威金感染后的应用程序,一般都需要重装了。
4、总结
发信人: sihecun (如果有来生), 信区: Virus
标 题: Worm.Viking变种疯狂席卷国内互联网
发信站: 水木社区 (Thu Jun 8 22:39:08 2006), 站内
附件是瑞星的专杀(20060606)
http://community.highai.com/blogs/smallmo/archive/2006/06/02/88885.aspx
国内老牌的感染型蠕虫Worm.Viking变种正在国内快速传播中,金山、瑞星等国内反病毒厂商都对变种做了应急处理,小陌提醒广大国内用户紧快升级手中的杀毒软件来防范此家族的变种。
Viking家族的变种会感染pe文件,给中招用户带来不小麻烦,同时还具有网络感染、下载网络木马等其他功能。中招用户的典型特征为电脑中出现logo_1.exe、rundl132.exe文件。
同时该家族的Worm.Viking.i(瑞星Worm.Viking.bp)变种还通过qq尾巴传播,qq尾巴的形式:
h**p://www.qq.com.search_2.shtml.cgi-client-entry.photo.39pic.com/qq%E5%83%8F%E5%86%8C2/
以下是金山的报告:
金山:Worm.Viking.m http://vi.db.kingsoft.com/index.shtml?CODE=02&virusid=38415&action=viewgraph
病毒分析
病毒被激活后,释放以下文件:
%SystemRoot%\rundl132.exe
%SystemRoot%\logo_1.exe
病毒目录\vdll.dll
添加以下启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="%SystemRoot%\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="%SystemRoot%\rundl132.exe"
感染所有分区下大小27KB-10MB的可执行文件(但不感染系统文件夹和programe files文件夹下的文件),并在被感染的文件夹中生成_desktop.ini。文件如果发现这个东西的话,恭喜恭喜,估计十有八九已遭遇不幸了,并且感染后会造成一些网友说的“EXE文件图标花了”
通过不安全的共享网络传播,网络可用时,枚举内网所有共享主机,并尝试用弱口令连接\IPC$、\admin$等共享目录,连接成功后进行网络感染。
结束一些国内的反病毒软件进程,如毒霸,瑞星,木马客星等。
vdll.dll注入Explorer或者Iexplore进程,当外网可用时,下载其他木马程序(如前段时间比较BT的红底黑色龙头图案的WINLOGON)。
将拿到的几个样本文件看了下,其中rundl132.exe为病毒文件,VThunder为感染后的文件,Thunder为原文件。
winhex将这3个文件打开,发现感染方式为“头寄生”,VThunder文件头被插入了rundl132的代码。
rundl132.exe
VThunder.exe
Thunder.exe
offset删除至00069E6后另存为,即可还原到原来的thunder了。
在这里提醒大家,对这个病毒防范胜于查杀。目前,包括毒霸在内的部分杀软可以较好的处理感染后的EXE文件,但部分杀软采取的方法却是直接删除(如卡巴斯基),这可不是件好事。因此,小空建议你,及时升级你的杀软,并打开实时监控;安装一款防火墙;关闭不必要的网络共享;通过在线更新等给系统打好补丁;给管理员帐户加上足够强壮的密码;对于来历不名的文件不要随意运行。
※ 来源:·水木社区 newsmth.net·[FROM: 221.221.27.*]
5、其他专杀
(1)瑞星的提取工具 http://it.rising.com.cn/Channels/Service/2006-07/1153119832d22607.shtml
(2)金山毒霸的专杀 http://db.kingsoft.com/download/3/246.shtml
(3) 强烈推荐的专杀 by nslog
流行感染EXE文件清除提取修复工具(威金、千橡等)
即.exe执行的时候生成一个同名的xxx~.exe,可以完美修复所有.exe可执行文件 版本更新为1.6
下载地址: http://nslog.cn.googlepages.com/Killqx_Gui_V16.rar
目前版本: v1.6
使用办法: 选择目录或者文件夹扫描便可。没有什么好说的。
重装系统也不能解决问题,因为这个病毒已经感染到你全部硬盘~
前段我就中了这个病毒,我用的是瑞星杀毒工具~
看看c/windows下有没有一个叫logo1_.exe的文件?如有把它删除,然后在建立一个同名的空文件夹,把其属性更改为只读+隐藏~
把瑞星升级到最新的病毒库,然后重启电脑进入安全模式(不要选带网络连接的安全模式),全盘杀毒,基本就能解决了!
我就是这样处理的~
trojan病毒是什么?
电脑无缘无故查出Trojan(特洛伊木马)病毒,这是一个非常严重的问题,需要立即采取措施解决。Trojan病毒是一种恶意软件,它会隐藏在看似正常的程序或文件中,一旦用户运行这些程序或打开这些文件,病毒就会悄悄地感染电脑系统。Trojan病毒具有非常强的隐蔽性和破坏性,可以窃取用户的个人信息、破坏系统文件、占...
这是什么病毒?
这是蠕虫病毒:其实并不损坏源文件(水印加密的不包含),大部分 可以通过文件夹显示出来。其实病毒就是隐藏源文件,伪装一个exe假的文件夹。网上有些可笑的回答,就是把文件隐藏显示出来就可以了。这样只能让更多的U盘感染,然后传播更多的电脑。这种病毒分两种,一种是顽固的,一种是不顽固的,顽固就...
这是什么病毒
应该属于蠕虫病毒 蠕虫病毒的前缀是:Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件)等。
这是什么病毒?
木马病毒,常被译为“特洛伊”,源自古希腊特洛伊木马故事。解决步骤如下:1. 下载并解压“Windows 清理助手”,无需安装,直接运行,点击“立即清理”。2. 安装“恶意软件清理助手”,使用其“注册表项目清理”与“临时文件清理功能”,彻底清理电脑。推荐下载地址:[提供下载链接]请注意,所推荐软件均为...
这是个什么病毒
这个病毒被归类为PE病毒,具体名称为Rootkit.Agent.jj。病毒别名未提供。其病毒长度、依赖系统、传播途径、行为类型以及感染情况并未详细列出,仅说明它属于Windows下的木马程序。病毒发作时,需要关注瑞星版本号为18.39.31的安全软件进行检测与处理。病毒名称中的“Rootkit”部分揭示了该病毒可能具有的特性,...
请问:这是什么病毒?
3. Trojan指的是木马,也称为木马病毒,它通过特定的程序(木马程序)来控制另一台计算机。木马通常包含两个可执行程序:一个是控制端,另一个是被控制端。4. 通常,杀毒软件提示的病毒名称中,win32是系统病毒的前缀,trojan是木马病毒的前缀。5. 这种木马病毒可能会被控制者用来窃取文件、隐私,甚至...
这是什么病毒?
中了AUTO病毒,属于恶意木马病毒。使用最新专杀工具能有效清除硬盘、U盘中的多种木马病毒,清除菜单中的AUTO项。下载U盘病毒专杀工具,解压缩后运行USBCleaner程序进行查杀。安装Windows清理助手能清理恶意程序、流氓软件、木马等。建议安装奇虎360安全卫士,它能清除恶意软件、网站及插件,扫描系统漏洞并安装补丁...
这是什么病毒
中文名称:威金 病毒类型:蠕虫 影响系统:Win 9x\/ME,Win 2000\/NT,Win XP,Win 2003 病毒行为:该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒,病毒运行后将自身伪装成系统正常文件,以迷惑用户,通过修改注册表项使病毒开机时可以自动运行,同时病毒通过线程注入...
这是什么病毒?
术语“Trojan”直译为“特洛伊”,指的是传说中的特洛伊木马,形象地描绘了此类病毒的欺骗性。为彻底解决问题,遵循以下步骤:1. 使用“Windows清理助手”(纯绿色软件)进行操作。无需安装,解压后直接运行,点击“立即清理”即可。2. 下载并安装“恶意软件清理助手”。利用其“注册表项目清理”与“临时...
这个病毒是什么样的病毒?
“QQ蜜”变种下载类木马是一种新型的恶意软件。它属于木马病毒的一种,通过伪装成合法的程序或链接,诱导用户下载并运行,以达到植入恶意代码,窃取用户信息的目的。此病毒的编写语言为VC++.Net,且未进行加壳处理,这意味着它的代码相对简单直接,易于分析。但病毒会修改注册表,实现开机自启,增加了其...
