Simone
你中威金(维京)病毒了 威金 Worm.Viking 的查杀方法 病毒简介 释放以下文件: %SystemRoot%\rundl132.exe %SystemRoot%\logo_1.exe 病毒目录\vdll.dll 添加以下启动项: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "load"="C:\WINNT\rundl132.exe" [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] "load"="C:\WINNT\rundl132.exe" 感染所有分区下大小27KB-10MB的可执行文件(.EXE 但不感染系统文件夹和programe files文件夹下的文件),并在被感染的文件夹中生成_desktop.ini。“EXE文件图标花了” 通过不安全的共享网络传播,网络可用时,枚举内网所有共享主机,并尝试用弱口令连接\\IPC$、\admin$等共享目录,连接成功后进行网络感染。 结束一些国内的反病毒软件进程,如毒霸,瑞星,木马克星等。 vdll.dll注入Explorer或者Iexplore进程,当外网可用时,下载其他木马程序。 打印机自动打印日期。 解决办法: 如在局域网中,先将所有中毒机器断网,彻底杀毒再重新联网。 一、可以尝试用各厂商的专杀 金山:http://db.kingsoft.com/download/3/246.shtml 瑞星:http://it.rising.com.cn/Channels ... 3119832d22607.shtml 江民:威金蠕虫专杀 或者其他 viKing病毒专杀工具 http://bbs.mumayi.net/viewthread ... mp;highlight=Viking 二、将杀软升级到最新,在安全模式,结束EXPLORER.EXE进程,全盘杀毒。 三、下载Dr.Web CureIT! ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe 下载老九 WinPE 最终修改版 http://laomaotao.u.winzheng.com/ 下面这个分流下载快点(psgl添加) http://bbs.huanm.com/soft/BootCD.rar 用虚拟族顷光驱加载BootCD.ISO 或者直接用WinRAR解压缩。 运行 WINPE安装 文件夹中的可执行程序 安装.EXE。直接按照提示完成安装过程。 重启电脑,进入WinPE 工具箱。 在WinPE环境下运行Dr.Web CureIT!杀毒 先按“确定”进行“Start Express Scan”快速杀毒,先会自动扫描内存进程和启动项,等快速扫描结束后,再用鼠标左兆孙陆键选中硬盘分区的图标,被选中的分凯亏区上会出现红点标记,再次杀毒.Dr.Web界面左下角的5个按钮分别是"全选" "清除" "重命名" "隔离" "删除".可以先把杀毒报告发上来等待确认后再进行操作,或者Select all(全选) Cure ->Move incurable(将清除失败的文件移动到隔离区) PS:貌似目前方法二和方法三较为有效 维金病毒危害严重,请及时打上WindowsXP-KB917537-x86-CHS.exe补丁(xp的) www.microsoft.com/downloads/deta ... 2-8ecc-9416ebc993c4 “维金”病毒的查杀过程 上个星期一早上去办公室上班,忙完了一切打染活,打开电脑正想上龙族看贴,突然弹出一个准备打印的对话框,我想我没有打印怎么出这个东西出来,跑到隔壁问也没有人点网络打印,有打印机的几个办公室也同样出现这个问题,我用"进程杀手"一查,系统一共二十几个进程,我用的是98,一般都是十几个左右,而且还有几个不熟悉的进程,如rundl132.exe、logo_1.exe等,运行“查看自启动程序”,发现多了几个启动项,再看了一下硬盘上的EXE程序文件,全部变了颜色,就像在“安全模式”里一样,系统运行极慢,心想一定是中毒了,上网一查才知道这病毒叫维金,是一种蠕虫病毒,中毒后会感染硬盘上所的有EXE程序,并在该程序目录下生成_desktop.ini病毒文件,在系统Windows文件夹下生成rundl132.exe、logo_1.exe等多个病毒文件,加载到系统启动项里,并传染局域里的其它计算机(这招最狠),具体请看这篇文章:http://db.kingsoft.com/zt/viking/。本人跑到其它办公室一看,果然开机的电脑全部中毒了。上网下载了金山和瑞星的专杀软件来杀都没有用,后来看到网上有人说要全部格化硬盘的才行,晕,硬盘上还有许多重要的文件啊,被领导知道了不K我才怪。为了保住自己的饭碗,经过一夜的苦熬,终于想出了杀个病毒的方法: 第二天去到办公室,狠心把所有机子的网线全部拨掉,尽管有几个MM吵着要上网,用搜索程序删除系统盘外所有盘的EXE文件和_desktop.ini,这个时候可不要心软,现在不删除这些的EXE文件以后就留下祸根了,然后把U盘上好的ghost程序放在硬盘上,重启电脑到DOS模式,把以前备份好的gho系统镜像恢到C盘,没有的备份的格式化C盘重新装过系统,最后重新覆盖安装被删除程序,以此方法把每一台中毒的电脑杀毒干净。经过一段时间的观察,终于没有再发现这个病毒了。 注:1、覆盖安装应用程序前一定要备份好数据文件,以免被覆盖掉。 2、查找删除_desktop.ini文件时,有此病毒文件极具隐藏性,用windows的查找程序根本查不到,建议用多功能的查找软件,如海天查找。 维金终结者 中招后处理办法心得之: 10月1号国庆节偶中招了,还原过N遍ghost,重装过一次系统,结论是:无效。 唯一的办法,全盘格式化再安装系统。 偶是搞广告策划的,里面好多psd,ai,jpg,还有doc文档,这些可是心血和汗水,全格岂不是没有了,考虑到该病毒的特性:感染*.exe的文件,即使重装了系统,再次运行其它分区里的exe文件会再次激活病毒,如果只将所有exe文件删除不就没事了。(*.exe文件不就是一些程序吗,电脑里面有的网上应该都有下载的) 步骤详解: 1、用光盘启动电脑进入dos,格式化C盘, 2、用深山红叶光盘系统启动电脑(在dos下查找所有*.exe文件容易,但全部删除很麻烦,并且有些是只读属性,操作起来不太方便,所以在光盘系统下,视窗操作要方便很多),启动光盘系统中的TotalCommander资源管理器,查找硬盘(仅限硬盘,如果查找所有存储器在删除时会假死)中*.exe *.dll *.ini文件,全选后删除。 3、以前备份的ghost文件应该还在吧,在dos下启动ghost.exe,还原系统。 4、进入系统后,除了程序都没了,其它的文件都在,(压缩文件也还在,该病毒对压缩文件没有破坏)重新在网上下载应用软件,安装后运行数天,无恙!!!! 注明:偶装的是卡巴6.0.307中文正式版,对这种变态高手开发的病毒也是无能为力。 建议在无毒的系统中安装微软补丁(论坛里很多,不提供了,自己搜索) 其次:在c:\windows\下 创建几个新文件.分别命名为 logo1_.exe logo_1.exe sws32.dll sws.dll rundll32.exe rundl132.exe dll.dl kill.exe等.并把该文件属性设置为只读 开始-运行 输入gpedit.msc logo_1.exe(威金变种bo)变种病毒解决安案 很不幸,前几天自已的电脑中了病毒,用瑞星最新版本查杀,全盘感染.上网一查,原来此种病毒名为:worm.Viking.bo worm.Viking.bp 瑞星,金山根本杀不掉.重启后病毒又出现了.导致电脑奇慢.无奈找了个办法,还挺好用.就是不知什么原理.高手的话可以说说原理.一个网友给的解决方法如下: 病毒信息: 病毒名称:Worm.Viking.bo Worm.Viking.bp MACFEE 检测为trojan类木马 事实远不是这样简单... 感染方式:目前为 通过QQ信息感染.当然.不否认有人会利用恶意网页来传播 特征:感染后在C盘windows文件夹内会有logo1_.exe文件.运行后 病毒体为 logo1_.exe kill.exe sws32.dll sws.dll rundl132.dll 等 修改注册表 病毒对注册表进行修改,在 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\IniFileMapping\system.ini\boot]winlogo 项和 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和 [HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/中添加键值=%System%(其中,和为可变的),使得在 下次 系统启动时,病毒可随之自动运行。 中毒后.该病毒能迅速感染explorer.exe 等核心进程. 以及所有的.exe可执行程序...是彻底修改.而不是简单的修改文件关联...具体表现为.游戏图标变色.或变为空白..基本上说.中了这个病毒.就等于你要全部格式化硬盘了。 添加logo1_.exe进程.还有其他几个忘记名字了.. 同时释放网游木马.包括 WOW.传奇.江湖.西游.还有....trojan.psw.lineage 表问我这是什么... 你可以说.我装有杀毒软件.很不幸.这个病毒还有一个功能。.就是杀杀毒软件.病毒运行时会干掉以下进程: rising SkyNet Symantec McAfee Gate Rfw.exe RavMon.exe kill NAV KAV 表告诉我不知道这是什么进程. 你可以说.我装有还原软件.很不幸.该病毒能穿透还原精灵.冰点等数种主流还原软件.经本人测试.连还原卡也没用 你可以说.我有ghost呢.恢复一下就OK.很不幸,由于是全盘感染.恢复镜象也没用. 对于中毒的朋友.本人只能说节哀顺便.如果实在想补救.有以下办法. 进入安全模式 什么都表点.开始-运行-regedit [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot] winlogo 项 删掉.C:\WINDOWS\SWS32.DLL HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/Run 删掉C:\WINDOWS\SWS32.dll 类似的都删掉.还有/RunOnce/RunOnceEx 项里面也检查一下. 为安全记.在注册表里搜索以下值 logo1_.exe logo_1.exe kill.exe sws32.dll sws.dll rundl132.dll 把搜索到的键值全部删掉. 搜索到的那些键值.一定要记得路径.比如c:\windows\sws32.dll c:\windows\logo1_.exe 等.注册表信息删掉后.在c盘把这些东西删掉. 然后在运行里输入msconfig 后面启动项里.把没见过的启动项都取消. 如果是网吧机子.server服务一定要关.因为该病毒会通过共享传播.并试图解开共享机子的用户密码.达到传送文件的目的. 做到这一步.请安装卡巴斯基.查毒.然后把所有染毒对象全部删除. 当然.以卡巴死基的一贯风格.会删除N多系统文件.请使用系统修复功能来修复系统...OVER. 其实以我的意思.中了这个毒.基本上就没有修复的必要了.每重新启动一次机子.病毒体会自身复制得更多.重新装一个系统并不麻烦.麻烦的是要重新装系统后.怎么才能做到不再感染此病毒.这也是我想要说的.经过查阅病毒资料.和自己一惯手动杀毒经验.本人使用以下防毒思路.测试效果良好. 重新装过系统后.(装系统过程请拔掉网线)在c:\windows\下 创建几个新文件.分别命名为 logo1_.exe logo_1.exe sws32.dll sws.dll 等.并把该文件属性设置为只读. 其实病毒祸首就是logo1_.exe 理论上说只创建这一个就可以了。 开始-运行 输入gpedit.msc 本地计算机策略--用户配置--管理模板--系统 双击右面的 不要运行指定的windows程序 选择已启用 点下面的显示那里 里面添加如下文件名 logo1_.exe logo_1.exe kill.exe 至于是否还有其他病毒主体名.大家也多查查。 本地计算机策略--用户配置--管理模板--系统 双击右面的 不要运行指定的windows程序 选择已启用 点下面的显示那里 里面添加如下文件名 logo1_.exe logo_1.exe kill.exe 至于是否还有其他病毒主体名.大家也多查查。 现今的病毒真是让人烦(病毒特征:_desktop.ini) 今天上午我在单位的那台电脑不幸了中了这种病毒,当时因为电脑上装过Ewido anti-spyware瞬间就发现了很多病毒,清除隔离后发现所有.EXE,.RAR文件都无法运行了,几乎在所看的所有目录中生成带有隐藏属性的"_desktop.ini",全盘搜索后,发现居然都是在同一时间下创建的,打开文件后显示一个日期"2006-09-13",有200多个文件,由于单位电脑没有杀毒软件,于是报修,刚好我所坐周围的电脑也有出现蓝屏现象不知是不是病毒引起的,下午临走前领导下禁网通知,唉...我昨天没坐过我那台电脑啊,而且我还是第一次在我所坐的位置遇到过这么恐补的病毒,真是没想到,关键是面对这种突然而来的病毒真是没有预料,我那电脑上装了很多优化软件,就在这之前我还刚打上所有的系统补丁,结果居然被一个今年6月份就出来的病毒感染上了....以下是我今天回到家在群里和一些人讨论后,他们提供的一个处理资料,还没有试过,有用的朋友们拿去试试吧 引用: 威金(Worm.Viking)”病毒特点-专杀及_desktop.ini删除 今天下午无意中发现电脑所有文件中出现了一个名为_desktop.ini的文件,上网查找才知道中了一种名为威金(Worm.Viking)的病毒,而安装的江民杀毒软件竟然杀不了,没办法了,只好上网查找解决方法,还真让我给找到了,问题解决了,方法不敢独享,介绍给机器出了同样问题的人. 一、该病毒特点: 处理时间:2006-06-01 威胁级别:★★ 病毒类型:蠕虫 影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003 病毒行为: 该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒,病毒运行后将自身伪装成系统正常文件,以迷惑用户,通过修改注册表项使病毒开机时可以自动运行,同时病毒通过线程注入技术绕过防火墙的监视,连接到病毒作者指定的网站下载特定的木马或其它病毒,同时病毒运行后枚举内网的所有可用共享,并尝试通过弱口令方式连接感染目标计算机。 运行过程过感染用户机器上的可执行文件,造成用户机器运行速度变慢,破坏用户机器的可执行文件,给用户安全性构成危害。 病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。 1、病毒运行后将自身复制到Windows文件夹下,文件名为: %SystemRoot%\rundl132.exe 2、运行被感染的文件后,病毒将病毒体复制到为以下文件: %SystemRoot%\logo_1.exe 3、同时病毒会在病毒文件夹下生成: 病毒目录\vdll.dll 4、病毒从Z盘开始向前搜索所有可用分区中的exe文件,然后感染所有大小27kb-10mb的可执行文件,感染完毕在被感染的文件夹中生成: _desktop.ini (文件属性:系统、隐藏。) 5、病毒会尝试修改%SysRoot%\system32\drivers\etc\hosts文件。 6、病毒通过添加如下注册表项实现病毒开机自动运行: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "load"="C:\\WINNT\\rundl132.exe" [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] "load"="C:\\WINNT\\rundl132.exe" 7、病毒运行时尝试查找窗体名为:"RavMonClass"的程序,查找到窗体后发送消息关闭该程序。 8、枚举以下杀毒软件进程名,查找到后终止其进程: Ravmon.exe Eghost.exe Mailmon.exe KAVPFW.EXE IPARMOR.EXE Ravmond.exe 9、同时病毒尝试利用以下命令终止相关杀病毒软件: net stop "Kingsoft AntiVirus Service" 10、发送ICMP探测数据"Hello,World",判断网络状态,网络可用时, 枚举内网所有共享主机,并尝试用弱口令连接[url=file://\\IPC$]\\IPC$[/url]、\admin$等共享目录,连接成功后进行网络感染。 11、感染用户机器上的exe文件,但不感染以下文件夹中的文件: system system32 windows documents and settings system Volume Information Recycled winnt Program Files Windows NT WindowsUpdate Windows Media Player Outlook Express Internet Explorer ComPlus Applications NetMeeting Common Files Messenger Microsoft Office InstallShield Installation Information MSN Microsoft Frontpage Movie Maker MSN Gaming Zone 12、枚举系统进程,尝试将病毒dll(vdll.dll)选择性注入以下进程名对应的进程: Explorer Iexplore 找到符合条件的进程后随机注入以上两个进程中的其中一个。 13、当外网可用时,被注入的dll文件尝试连接以下网站下载并运行相关程序: http://www.17**.com/gua/zt.txt 保存为:c:\1.txt http://www.17**.com/gua/wow.txt 保存为:c:\1.txt http://www.17**.com/gua/mx.txt 保存为:c:\1.txt http://www.17**.com/gua/zt.exe 保存为:%SystemRoot%Sy.exe http://www.17**.com/gua/wow.exe 保存为:%SystemRoot%\1Sy.exe http://www.17**.com/gua/mx.exe 保存为:%SystemRoot%\2Sy.exe 注:三个程序都为木马程序 14、病毒会将下载后的"1.txt"的内容添加到以下相关注册表项: [HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW] "auto"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows] "ver_down0"="[boot loader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++" "ver_down1"="[boot loader] timeout=30 [operating systems] multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" ////" "ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS [operating systems] multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" /////" 二、专杀工具 http://it.rising.com.cn/service/technology/RavVikiing.htm 三、删除_desktop.ini 该病毒会在每个文件夹中生成一个名为_desktop.ini的文件,一个个去删除,显然太费劲,(我的机器的操作系统因安装在NTFS格式下,所以系统盘下的文件夹中没有这个文件,另外盘下的文件夹无一幸免),因此在这里介绍给大家一个批处理命令 del d:\_desktop.ini /f/s/q/a,该命令的作用是: 强制删除d盘下所有目录内(包括d盘本身)的_desktop.ini文件并且不提示是否删除 /f 强制删除只读文件 /q 指定静音状态。不提示您确认删除。 /s 从当前目录及其所有子目录中删除指定文件。显示正在被删除的文件名。 /a的意思是按照属性来删除了 这个命令的作用是在杀掉viking病毒之后清理系统内残留的_desktop.ini文件用的 使用方法是开始--所有程序--附件--命令提示符,键入上述命令(也可复制粘贴),首先删除D盘中的_desktop.ini,然后依此删除另外盘中的_desktop.ini。 至此,该病毒对机器造成的影响全部消除。 这段时间viking病毒闹的比较严重,在短时间内出现的变种版本也是很多的,于是乎做了这个小东西对该病毒进行免疫,这个工具主要用于防止在本机运行感染后的程序再对本地文件进行感染,目前还不支持直接运行病毒原体的情况的免疫:-((本想加个驱动进行对原体也进行免疫,但可能导致和其它反病毒软件冲突,所以放弃了)。关于防止运行病毒原体进行网络传播的方法: 1、去除弱口令,用以防止ipc、admin方式进行连接(这个都所有用户); 2、关闭网络共享(对于普通家庭用户); 3、开网络共享,但是设置为只读共享(对于网吧用户); 4、开网络共享,设置可写共享,但必须设置访问密码(对于特殊用户)。 恢复威金病毒感染的EXE文件小方法 赛迪网 此文根据网上相关帖子整理而来。 首先我们使用杀毒软件以及专杀工具查杀威金病毒,但千万要注意的是,对于感染的.exe文件不要选择删除,隔离即可。 然后,在Windows目录下建立一个空文件,文件名为logo1_.exe,文件属性设置成“只读、隐藏、系统属性”。按照此方法,还需建立rundl123.exe、logo_1.exe以及Sy0.exe~Sy9.exe等文件。 接着,拔掉网线,断开网络,暂时关闭病毒防护。还原被隔离的.exe文件,点击运行。这时被感染的.exe文件就会脱壳,logo1_.exe以及rundl123.exe等会被释放。用最新的专杀对这个.exe文件检测一遍,然后把它放入RAR压缩包里。在RAR中的.exe文件不会感染,在RAR中运行这个程序也没问题。 注意,在使用超级兔子等软件时一定不能清理自己创建的那几个文件。否则, 病毒将再次开始活动。 最后,再次全面查杀,保证内部无毒。 此方法,只推荐给专业人士参考,不要轻易操作,以免发生严重后果! 威金病毒188变种大闹互联网,江民发布专杀工具 近日,江民反病毒中心监测到,“威金”病毒(Worm/Viking)的多个新变种在互联网上活动较为频繁,已有多家企业用户报告感染了该病毒并导致整个局域网受到不同程度的破坏。据江民全国病毒疫情监控系统数据显示,该病毒目前已有188个变种,从2005年5月19日首次出现至今,已经感染了15万余台计算机。 江民反病毒专家分析,“威金”病毒主要通过网络共享传播,病毒会感染电脑中所有的.EXE可执行文件,传播速度十分迅速。“威金”病毒运行后,修改注册表自启动项,以使自己随系统一起运行,向系统文件目录下生成以下病毒文件: Program Files\svhost32.exe Program Files\micorsoft\svhost32.exe windows\explorer.exe windows\logo1_exe windows\rundll32.exe windows\rundl132.exe windows\intel\rundl132.exe windows\dll.dll 病毒新变种还会自动从网站下载“天堂杀手”以及“QQ大盗(QQpass)”等10余种木马病毒,企图盗取包括天堂、征途、梦幻西游、传奇等多种流行网游以及QQ的帐号、密码。 针对该病毒以及最新变种,江民杀毒软件已及时升级病毒库,用户可以使用最新版杀毒软件对电脑进行全盘查杀,即可消除病毒威胁。江民反病毒专家特别提醒,对于局域网用户,在杀毒时务必断开网络,以免病毒在局域网流窜,导致病毒屡杀不绝的现象。单机用户应检查自己的电脑是否存在共享(可使用江民杀毒软件木马一扫光中“共享管理”功能查看),在全盘杀毒后及时关闭所有共享设置,以免再遭病毒侵扰。为进有效地清除威金病毒,江民反病毒中心还研发了威金病毒专杀工具,未安装杀毒软件的用户可以免费下载使用,彻底抵御“威金”病毒。 江民威金病毒专杀工具下载地址:http://kvup.jiangmin.com/download/VikingKiller.rar 金山毒霸“维金”病毒专杀工具: 适用平台: Win9x/NT/2000/XP/2003 更新版本: 2006.9.15.16 工具大小: 146 KB 下载地址:http://tool.duba.net/zhuansha/246.shtml 工具说明:查杀维金(Worm.Viking.m) “威金(Worm.Viking)”病毒专杀工具” 软件版本:1.2 软件大小:367 KB 应用平台:Windows平台 发布公司:北京瑞星科技股份有限公司 免费下载:本地下载
