最近肆虐的威金病毒及其解决方法

绝对绝唱

级别: 光盘中级

发帖: 311

飞翔币: 335

威望: 829

飞扬币: 2348

信誉值: 0

只看楼主更多操作 0 发表于: 2006-10-20

中标后，Windows目录下会出现vdll.dll、logo1_.exe、rundl132.exe文件，感染几乎所有exe程序文件，双击后出现.exe.exe，使其程序无法正常运行，总目录下还会有_desktop.ini隐藏文件。我的电脑受困扰好几周了，在网上疯狂搜索相关解决方案，大部分方案都是重复并且治标不治本，很快会反复发作。当然，不怕麻烦的话大可格式化重新安装系统，可是本身有很多软件和平时习惯设置起来非常繁琐，电脑携带大量病毒和木马又让人头疼。我把那个有效的方法按我解决的步骤罗列出来，希望可以帮到已经受感染的朋友。
彻底根治worm.viking
(logo1_.exe)系列病毒的方案：

⑴F8进入安全模式。利用瑞星2006年7月升级的杀毒软件，配合木马杀客（http://www.mmsk.cn）、瑞星专杀威金病毒工具（VirusKiller
瑞星官方网站可下载到）彻底扫描硬盘进行清除。如不放心那些已经感染的常用软件，可以卸载它们，在病毒彻底清理之后重新安装。
⑵下载 http://www.xywxkj.com/viking.rar
⑶RAR解压，把文件夹virus里的文件复制到C:\windows\当中。文件名和病毒名一样，但都是0字节（空文件），不必担心。
⑷运行logo1virus.bat，自动将刚才放到C:\windows\下的那些文件加上系统、隐藏、只读三个属性。这样就可以预防威金病毒了，也就是说，即使你的电脑中了威金病毒，也不可能发作，是100%不可能！
⑸（这步可以省略）为了双保险，XP专业版或2003
Server系统可以进行下一步：开始→运行→gpedit.msc。用户配置→管理模板→系统：不要运行指定的windows程序。启用。然后在下面显示那里把virusname.txt里面的文件名都加上。
（6)把所有客户机的server服务一定要禁止，可以防止病毒在局域网内传播，如果服务器要开共享的话，也一定要设定比较复杂的密码，并设定好权限。

最后推荐使用最强的杀木马软件Ewido进行全盘杀毒！
ewido3.5版官方下载地址：
http://download.ewido.net/ewido-setup.exe
注册码：6617-EBE8-D1FD-FEA2
接着关掉自动更新，每次升级后得再次输入注册码.
安装后先升级病毒库,再运行杀毒!
最好进入安全模式杀毒

rundl132.exe”和“Logo1_.exe”病毒
这两个是共享传播的蠕虫病毒。该病毒运行后除了会在系统目录中释放多个木马病毒，还会在除系统盘以为的其他所有磁盘根目录下释放木马病毒和自运行脚本，只要进入该磁盘，病毒就会运行。同时病毒还会修改大量的文件关联，使得用户每次打开这些文件的时候病毒就得到了运行。该蠕虫病毒是通过网络共享传播的，它会将自己拷贝到局域网内所有的共享目录和其所有子目录中，诱骗其他用户运行。
1.将自己拷贝到C:\WINNT\rundl132.exe
2.释放另一蠕虫病毒到C:\Program
Files\svhost32.exe（也是worm.Beann）
3.添加注册表启动项：
蠕虫的：
HKCU\Software\Microsoft\Windows
NT\CurrentVersion\Windows
"load"="C:\WINNT\rundl132.exe"
HKCU\Software\Microsoft\Windows
NT\CurrentVersion\Windows
"load"="C:\PROGRA~1\svhost32.exe"
木马的：
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
"TProgram"="C:\WINNT\smss.exe"
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
"ToP"="C:\WINNT\LSASS.exe"
4.在当前目录下释放vDll.dll
5.释放一传奇木马病毒C:\WINNT\System32\ztdll.dll（Win32.Troj.Lineage.zc）
6..释放Win32.Troj.PSWWoW木马病毒的多个副本：
C:\WINNT\1.com
C:\WINNT\1SY.EXE
C:\WINNT\smss.exe
C:\WINNT\finders.com
C:\WINNT\EXP10RER.com
C:\WINNT\exerouter.exe
C:\WINNT\System32\rund1132.com
C:\WINNT\System32\command.pif
C:\WINNT\System32\MSCONFIG.COM
C:\WINNT\System32\dxdiag.com
C:\WINNT\System32\regedit.com
C:\WINNT\Debug\DebugProgram.exe
C:\progra~1\intern~1\inexplore.com
C:\progra~1\common~1\inexplore.pif
7.释放Win32.Troj.PSWLmir.xi木马病毒的多个副本：
C:\WINNT\2SY.EXE
C:\WINNT\LSASS.exe
C:\WINNT\EXERT.exe
C:\WINNT\System32\MSCONFIG.COM
C:\WINNT\System32\dxdiag.com
C:\WINNT\System32\regedit.com
C:\WINNT\Debug\DebugProgram.exe
C:\progra~1\intern~1\INTEXPLORE.com
C:\progra~1\common~1\INTEXPLORE.pif
8.在其他盘根目录下释放Win32.Troj.PSWWoW病毒副本：
（在此只写了D盘的）
D:\command.com
并生成一个D:\autorun.inf，其内容如下：
[autorun]
OPEN=D:\command.com
此外还有一个.ini文件，该文件只纪录了当前的曰期
D:\_desktop.ini
2006/5/26
9.将蠕虫拷贝到局域网所有的共享目录和其所有子目录中
10.修改大量文件关联：
HKLM\SOFTWARE\Classes\htmlfile\shell\open\command
(Default)=""C:\Program
Files\Internet Explorer\inexplore.com"
-nohome"
HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
(Default)=""C:\Program
Files\Internet
Explorer\inexplore.com""
HKCR\ftp\shell\open\command
(Default)=""C:\Program
Files\Internet Explorer\inexplore.com"
%1"
HKCR\htmlfile\shell\open\command
(Default)=""C:\Program Files\Internet
Explorer\inexplore.com"
-nohome"
HKCR\htmlfile\shell\opennew\command
(Default)=""C:\Program
Files\common~1\inexplore.pif""
HKCR\http\shell\open\command
(Default)=""C:\Program
Files\common~1\inexplore.pif"
-nohome"
HKLM\SOFTWARE\Classes\http\shell\open\command
(Default)=""C:\Program
Files\common~1\inexplore.pif"
-nohome"
HKCR\Drive\shell\find\command
(Default)="%SystemRoot%\EXP10RER.com"
HKLM\SOFTWARE\Classes\htmlfile\shell\open\comman
(Default)=""C:\Program
Files\Internet Explorer\inexplore.com"
-nohome"
HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
(Default)=""C:\Program
Files\Internet
Explorer\inexplore.com""
HKCR\ftp\shell\open\command
(Default)=""C:\Program
Files\Internet Explorer\inexplore.com"
%1"
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell
Folders
Cookies="C:\Documents and
Settings\jjwen1\Cookies"
HKCR\htmlfile\shell\open\command
(Default)=""C:\Program
Files\Internet Explorer\inexplore.com"
-nohome"
HKCR\htmlfile\shell\opennew\command
(Default)=""C:\Program
Files\common~1\inexplore.pif""
HKCR\http\shell\open\command
(Default)=""C:\Program
Files\common~1\inexplore.pif"
-nohome"
HKLM\SOFTWARE\Classes\http\shell\open\command
(Default)=""C:\Program
Files\common~1\inexplore.pif"
-nohome"
HKCR\WindowFiles\shell\open\command
(Default)="C:\WINNT\EXERT.exe
"%1" %*"
HKCR\.exe
(Default)="WindowFiles"