打印

[交流] 10月17号新版本《威金》病毒解决方法

0

10月17号新版本《威金》病毒解决方法

今天朋友机子中毒了,叫我帮修(帮MM修总是比较有动力的!)到了那里之后,发现她电脑图标都花了,凭着我多年来搞电脑的经验告诉我说:“中了威金了!!”然后立马上瑞星网站上下了个专杀。。。

晕倒,一用专杀工具,电脑就关机。。。没法,进安全模式后再用专杀工具杀吧!奇怪是,一个毒都没杀到。。。。再打开C盘,查找 logo1_.exe,确实又有。。。没法,杀毒软件就是杀不出来。。。。只好用卡巴了,卡巴一查,杀出来了,版本号是Worm.Viking.bb的威金病毒,不了浪费力气了,只有卡巴能查出来。至少是到现在为止。

但卡巴杀了的话,exe文件就会被删掉。。。因为很多工具和游戏人家还都是有用的。。。没法,只好等专杀工具更新,但其间人家还是要用电脑的麻。怎么办哩。。。我一边手动杀毒,一边观察中毒的情况。

没法,只好用手动的,手动删除了注册表和相关病毒文件后,(手动删的方法,大家网上找找吧,一找一大堆)。然后用策略组禁用logo1_.exe和rundl132.exe,本以为情况能暂时解决,让她顶到专杀工具出来,没想到情况依旧。。。。

后来又注意到每运行一个程序,进程里就会多个cmd.exe的程序运行项。难道这版本的病毒依靠cmd.exe来运行的?再把cmd.exe添加到策略组的禁用项里面。

(具体方法为运行策略组 gpedit.msc在运行栏里面输入就行!然后---用户配置---管理模板----系统-----不要运行指定的windows程序)就行了。

这样就能暂时解决了,病毒在本机上就运行不了了,本机只是有带毒而已!不影响使用,等过阵子专杀工具出来了,再用专杀工具杀就OK了。就能保住EXE文件了。

如果策略组无效的朋友可以把cmd.exe的文件名改成其它!我朋友那台机子就是。。。策略组的不要运行指定的windows程序功能无效。。。帮她弄的时后脑袋一时转不过来,浪费我不少时间。。。呵呵,后来才是想到的。。。(人笨没法。。。)

差点忘了,所有中了毒的exe文件会在同目录下生成一个文件名为_desktop.ini 的隐藏的系统文件。

下面附上手动删掉病毒相关启动项的方法:

鉴于很多网友查询该病毒的查杀方法,现重新发布如下,如若转载,请注明出处[www.wainfu.com]

操作之前,请先升级你的杀毒软件病毒库为最新版本。

一  开机按F8键,进入电脑安全模式。

二  进入任务管理器,查找有无rundl132.exe等可疑进程,如有,进束该进程。
   
     找到explorer.exe进程,也结束掉该进程(很重要,且顺序不用弄反),这时桌面会有所变化,再点点任务管理器的新建任务(运行...),输入explorer后确定,桌面恢复正常。做此一步,是防止病毒将vdll.dll注入explorer.exe。

三  打开文件夹选项,去掉“隐藏受保护的操作系统文件”前的钩,选中“显示所有文件和文件夹”。

四  删除以下目录下的文件:(有则删除,没有更好)
    C:\Windows\rundl132.exe
    C:\Windows\logo_1.exe
    C:\1.txt
    搜索并删除电脑里所有vdll.dll和_desktop.ini文件。

五  用记事本打开C:\Windows\system32\drivers\etc\hosts文件,检查显示的是否跟以下内容相同,删除127.0.0.1       localhost以下所以内容,保存退出。

# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host
127.0.0.1       localhost
   
六  输入regedit进入系统注册表,查找到
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
删除字符串"load"="C:\\Windows\\rundl132.exe"

查找到[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
删除字符串"load"="C:\\Windows\\rundl132.exe"

查找到[HKEY_LOCAL_MACHINE\SOFTWARE\]
删除下面整个soft项,其中包括所带的DownloadWWW。

查找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]
删除所有ver_down[数字]的字符串值。


以下是此病毒的危害说明及它的原理


关于 Logo1_.exe
基本介绍
病毒名称 Worm@W32.Looked
病毒别名 Virus.Win32.Delf.62976 [Kaspersky], W32/HLLP.Philis.j [McAfee],W32.Looked [symantec]   
Net-Worm.Win32.Zorin.a
病毒型态 Worm (网络蠕虫)
病毒发现日期 2004/12/20
影响平台 Windows 95/98/ME , Windows NT/2000/XP/2003
风险评估
散播程度:中
破坏程度:中

主要症状:
1、占用大量网速,使机器使用变得极慢。
2、会捆绑所有的EXE文件,只要一运用应用程序,在winnt下的logo1.exe图标就会相应变成应用程序图标。
3、有时还会时而不时地弹出一些程序框,有时候应用程序一起动就出错,有时候起动了就被强行退出。
4、网吧中只感梁win2k pro版,server版及XP系统都不感染。
5、能绕过所有的还原软件。
详细技术信息:  
病毒运行后,在%Windir%生成  Logo1_.exe  同时会在windws根目录生成一个名为"virDll.dll"的文件。
           %WinDir%\virDll.dll
该蠕虫会在系统注册表中生成如下键值:
[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]
"auto" = "1"
 盗取密码
  病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码,将游戏密码发送到该木马病毒的植入者手中。
  
阻止以下杀毒软件的运行
  病毒试图终止包含下列进程的运行,这些多为杀毒软件的进程。 包括卡八斯基,金山公司的毒霸。瑞星等
。98%的杀毒软件运行。
  国产软件在中毒后都被病毒杀死,是病毒杀掉-杀毒软件。如金山,瑞星等。哪些软件可以认出病毒。但是
认出后不久就阵亡了。
通过写入文本信息改变"%System%\drivers\etc\hosts" 文件。这就意味着,当受感染的计算机浏览许多站点时
(包括众多反病毒站点),浏览器就会重定向到66.197.186.149。

病毒感染运行windows操作系统的计算机,并且通过开放的网络资源传播。一旦安装,蠕虫将会感染受感染计算
机中的.exe文件。
该蠕虫是一个大小为82K的Windows PE可执行文件。
通过本地网络传播
该蠕虫会将自己复制到下面网络资源:
ADMIN$
IPC$
症状
蠕虫会感染所有.exe的文件。但是,它不会感染路径中包含下列字符串的文件:
                 \Program Files
                 Common Files
                 ComPlus Applications
                 Documents and Settings
                 NetMeeting
                 Outlook Express
                 Recycled
                 system
                 System Volume Information
                 system32
                 windows
                 Windows Media Player
                 Windows NT
                 WindowsUpdate
                 winnt
蠕虫会从内存中删除下面列出的进程:
                 EGHOST.EXE
                 IPARMOR.EXE
                 KAVPFW.EXE
                 KWatchUI.EXE
                 MAILMON.EXE
                 Ravmon.exe
                 ZoneAlarm
   好多人遭此病毒破坏造成大面积的卡机,瘫痪。我查遍了好多病毒,和自己收集的病毒样本做了比较,发现此病毒极度变态。危害程度可以和世界排名前十的爱情后门变种相比。该病毒可以通过网络传播,传播周期为3分钟。如果是新做的系统处于中了毒的网络环境内,只要那个机器一上网,3分钟内必定中招。中招后你安装 rising SkyNet Symantec McAfee Gate Rfw.exe RavMon.exe  kill NAV 等杀毒软件 都无法补救你的系统,病毒文件 Logo1_.exe 为主体病毒,他自动生成病毒发作所需要的的 SWS32.DLL SWS.DLLL KILL.EXE 等文件。这些文件一但衍生。他将迅速感染系统内EXPLORE 等系统核心进程 及所以.exe 的可执行文件,外观典型表现症状为图标变色。 此时系统资源可用率极低,你每重新启动一次,病毒就会发作一次,重新启动5次后系统基本崩溃。病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码,将游戏密码发送到该木马病毒的植入者手中。

TOP

0
附上手动杀毒,批处理:


@ECHO OFF
del c:\winnt\logo1_.exe           
del c:\windows\logo1_.exe         
del c:\winnt\0sy.exe
del c:\windows\0sy.exe
del c:\winnt\1sy.exe
del c:\windows\1sy.exe
del c:\winnt\2sy.exe
del c:\windows\2sy.exe
del c:\winnt\3sy.exe
del c:\windows\3sy.exe
del c:\winnt\4sy.exe
del c:\windows\4sy.exe
del c:\winnt\rundl132.exe
del c:\windows\rundl132.exe
net share c$ /d                  
net share d$ /d
net share e$ /d
net share F$ /d
net share G$ /d
net share h$ /d
net share i$ /d
net share j$ /d
net share admin$ /d
net share ipc$ /d
del c:\winnt\logo1_.exe      
del c:\windows\logo1_.exe
del c:\windows\vdll.dll
del c:\winnt\vdll.dll
del c:\winnt\kill.exe
del c:\windows\kil.exe
del c:\winnt\sws32.dll
del c:\windows\sws32.dll
del c:\winnt\rundl132.exe
del c:\windows\rundl132.exe
echo.
echo.
echo.
echo.                 *****************************
echo.
echo.                  正在查毒...请不要关闭......
echo.
echo.                 *****************************
echo.
echo.
echo.
echo.
ping 127.0.0.1 -n 5         
del c:\winnt\logo1_.exe         
del c:\windows\logo1_.exe
del c:\windows\vdll.dll
del c:\winnt\vdll.dll
del c:\winnt\kill.exe
del c:\windows\kil.exe
del c:\winnt\sws32.dll
del c:\windows\sws32.dll
del c:\winnt\rundl132.exe
del c:\windows\rundl132.exe
echo.
echo.
echo.
echo.                 *****************************
echo.
echo.                  正在查毒...请不要关闭......
echo.
echo.                 *****************************
echo.
echo.
echo.
echo.
ping 127.0.0.1 -n 5            
del c:\winnt\logo1_.exe                  
del c:\windows\logo1_.exe
del c:\windows\vdll.dll
del c:\winnt\vdll.dll
del c:\winnt\kill.exe
del c:\windows\kil.exe
del c:\winnt\sws32.dll
del c:\windows\sws32.dll
del c:\windows\0sy.exe
del c:\winnt\1sy.exe
del c:\windows\1sy.exe
del c:\winnt\2sy.exe
del c:\windows\2sy.exe
del c:\winnt\3sy.exe
del c:\windows\3sy.exe
del c:\winnt\4sy.exe
del c:\windows\4sy.exe
del c:\winnt\rundl132.exe
del c:\windows\rundl132.exe
del C:\winnt\Logo1_.exe
del C:\winnt\rundl132.exe
del C:\winnt\bootconf.exe
del C:\winnt\kill.exe
del C:\winnt\sws32.dll
del C:\winnt\dll.dll
del C:\winnt\vdll.dll
del C:\winnt\system32\ShellExt\svchs0t.exe

del C:\Program Files\Internet Explorer\0SY.exe
del C:\Program Files\Internet Explorer\1SY.exe
del C:\Program Files\Internet Explorer\2sy.exe
del C:\Program Files\Internet Explorer\3sy.exe
del C:\Program Files\Internet Explorer\4sy.exe
del C:\Program Files\Internet Explorer\5sy.exe
del C:\Program Files\Internet Explorer\6SY.exe
del C:\Program Files\Internet Explorer\7sy.exe
del C:\Program Files\Internet Explorer\8sy.exe
del C:\Program Files\Internet Explorer\9sy.exe


del C:\winnt\system32\Logo1_.exe
del C:\winnt\system32\rundl132.exe
del C:\winnt\system32\bootconf.exe
del C:\winnt\system32\kill.exe
del C:\winnt\system32\sws32.dll

del C:\windows\Logo1_.exe
del C:\windows\rundl132.exe
del C:\windows\bootconf.exe
del C:\windows\kill.exe
del C:\windows\sws32.dll
del C:\windows\dll.dll
del C:\windows\vdll.dll
del C:\windows\system32\ShellExt\svchs0t.exe
del C:\windows\system32\Logo1_.exe
del C:\windows\system32\rundl132.exe
del C:\windows\system32\bootconf.exe
del C:\windows\system32\kill.exe
del C:\windows\system32\sws32.dll

del c:\_desktop.ini /f/s/q/a
del d:\_desktop.ini /f/s/q/a
del e:\_desktop.ini /f/s/q/a
del f:\_desktop.ini /f/s/q/a
del g:\_desktop.ini /f/s/q/a
del h:\_desktop.ini /f/s/q/a
del i:\_desktop.ini /f/s/q/a
del j:\_desktop.ini /f/s/q/a
del k:\_desktop.ini /f/s/q/a

把以上代码复制,保存到记事本,然后把记事本的TXT改成BAT  在运行就可以了``

[ 本帖最后由 请别打脸 于 2006-10-20 09:06 AM 编辑 ]

TOP

0
现在的病毒。。。。。。我一般都看下它系统中有什么没有,,没就重装系统算了。。。。

TOP

0
好长 ,支持一下!挺麻烦啊。

TOP

0
病毒太厉害了防不胜防,没什么好办法

TOP

0
又有东西学到了。谢谢!!!!!!!

TOP

0
谢谢分享,支持楼主!!!!!

TOP

0
楼主早几天发出来就好了,我辛辛苦苦找的些软件全被这该死的病毒给over了。
我用的是“cureit.exe”这个杀毒软件,它能找到病毒,可是我不小心点了“Yes to all”把所有中毒的exe文件全删除了,当时我那个后悔啊!
虽然电脑正常了,还是得多学几招哈!!!
多谢楼主分享经验!:P

TOP

当前时区 GMT+8, 现在时间是 2025-3-14 06:17