今天朋友机子中毒了,叫我帮修(帮MM修总是比较有动力的!)到了那里之后,发现她电脑图标都花了,凭着我多年来搞电脑的经验告诉我说:“中了威金了!!”然后立马上瑞星网站上下了个专杀。。。
晕倒,一用专杀工具,电脑就关机。。。没法,进安全模式后再用专杀工具杀吧!奇怪是,一个毒都没杀到。。。。再打开C盘,查找 logo1_.exe,确实又有。。。没法,杀毒软件就是杀不出来。。。。只好用卡巴了,卡巴一查,杀出来了,版本号是Worm.Viking.bb的威金病毒,不了浪费力气了,只有卡巴能查出来。至少是到现在为止。
但卡巴杀了的话,exe文件就会被删掉。。。因为很多工具和游戏人家还都是有用的。。。没法,只好等专杀工具更新,但其间人家还是要用电脑的麻。怎么办哩。。。我一边手动杀毒,一边观察中毒的情况。
没法,只好用手动的,手动删除了注册表和相关病毒文件后,(手动删的方法,大家网上找找吧,一找一大堆)。然后用策略组禁用logo1_.exe和rundl132.exe,本以为情况能暂时解决,让她顶到专杀工具出来,没想到情况依旧。。。。
后来又注意到每运行一个程序,进程里就会多个cmd.exe的程序运行项。难道这版本的病毒依靠cmd.exe来运行的?再把cmd.exe添加到策略组的禁用项里面。
(具体方法为运行策略组 gpedit.msc在运行栏里面输入就行!然后---用户配置---管理模板----系统-----不要运行指定的windows程序)就行了。
这样就能暂时解决了,病毒在本机上就运行不了了,本机只是有带毒而已!不影响使用,等过阵子专杀工具出来了,再用专杀工具杀就OK了。就能保住EXE文件了。
如果策略组无效的朋友可以把cmd.exe的文件名改成其它!我朋友那台机子就是。。。策略组的不要运行指定的windows程序功能无效。。。帮她弄的时后脑袋一时转不过来,浪费我不少时间。。。呵呵,后来才是想到的。。。(人笨没法。。。)
差点忘了,所有中了毒的exe文件会在同目录下生成一个文件名为_desktop.ini 的隐藏的系统文件。
下面附上手动删掉病毒相关启动项的方法:
鉴于很多网友查询该病毒的查杀方法,现重新发布如下,如若转载,请注明出处[
www.wainfu.com]
操作之前,请先升级你的杀毒软件病毒库为最新版本。
一 开机按F8键,进入电脑安全模式。
二 进入任务管理器,查找有无rundl132.exe等可疑进程,如有,进束该进程。
找到explorer.exe进程,也结束掉该进程(很重要,且顺序不用弄反),这时桌面会有所变化,再点点任务管理器的新建任务(运行...),输入explorer后确定,桌面恢复正常。做此一步,是防止病毒将vdll.dll注入explorer.exe。
三 打开文件夹选项,去掉“隐藏受保护的操作系统文件”前的钩,选中“显示所有文件和文件夹”。
四 删除以下目录下的文件:(有则删除,没有更好)
C:\Windows\rundl132.exe
C:\Windows\logo_1.exe
C:\1.txt
搜索并删除电脑里所有vdll.dll和_desktop.ini文件。
五 用记事本打开C:\Windows\system32\drivers\etc\hosts文件,检查显示的是否跟以下内容相同,删除127.0.0.1 localhost以下所以内容,保存退出。
# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
127.0.0.1 localhost
六 输入regedit进入系统注册表,查找到
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
删除字符串"load"="C:\\Windows\\rundl132.exe"
查找到[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
删除字符串"load"="C:\\Windows\\rundl132.exe"
查找到[HKEY_LOCAL_MACHINE\SOFTWARE\]
删除下面整个soft项,其中包括所带的DownloadWWW。
查找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]
删除所有ver_down[数字]的字符串值。
以下是此病毒的危害说明及它的原理
关于 Logo1_.exe
基本介绍
病毒名称
Worm@W32.Looked
病毒别名 Virus.Win32.Delf.62976 [Kaspersky], W32/HLLP.Philis.j [McAfee],W32.Looked [symantec]
Net-Worm.Win32.Zorin.a
病毒型态 Worm (网络蠕虫)
病毒发现日期 2004/12/20
影响平台 Windows 95/98/ME , Windows NT/2000/XP/2003
风险评估
散播程度:中
破坏程度:中
主要症状:
1、占用大量网速,使机器使用变得极慢。
2、会捆绑所有的EXE文件,只要一运用应用程序,在winnt下的logo1.exe图标就会相应变成应用程序图标。
3、有时还会时而不时地弹出一些程序框,有时候应用程序一起动就出错,有时候起动了就被强行退出。
4、网吧中只感梁win2k pro版,server版及XP系统都不感染。
5、能绕过所有的还原软件。
详细技术信息:
病毒运行后,在%Windir%生成 Logo1_.exe 同时会在windws根目录生成一个名为"virDll.dll"的文件。
%WinDir%\virDll.dll
该蠕虫会在系统注册表中生成如下键值:
[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]
"auto" = "1"
盗取密码
病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码,将游戏密码发送到该木马病毒的植入者手中。
阻止以下杀毒软件的运行
病毒试图终止包含下列进程的运行,这些多为杀毒软件的进程。 包括卡八斯基,金山公司的毒霸。瑞星等
。98%的杀毒软件运行。
国产软件在中毒后都被病毒杀死,是病毒杀掉-杀毒软件。如金山,瑞星等。哪些软件可以认出病毒。但是
认出后不久就阵亡了。
通过写入文本信息改变"%System%\drivers\etc\hosts" 文件。这就意味着,当受感染的计算机浏览许多站点时
(包括众多反病毒站点),浏览器就会重定向到66.197.186.149。
病毒感染运行windows操作系统的计算机,并且通过开放的网络资源传播。一旦安装,蠕虫将会感染受感染计算
机中的.exe文件。
该蠕虫是一个大小为82K的Windows PE可执行文件。
通过本地网络传播
该蠕虫会将自己复制到下面网络资源:
ADMIN$
IPC$
症状
蠕虫会感染所有.exe的文件。但是,它不会感染路径中包含下列字符串的文件:
\Program Files
Common Files
ComPlus Applications
Documents and Settings
NetMeeting
Outlook Express
Recycled
system
System Volume Information
system32
windows
Windows Media Player
Windows NT
WindowsUpdate
winnt
蠕虫会从内存中删除下面列出的进程:
EGHOST.EXE
IPARMOR.EXE
KAVPFW.EXE
KWatchUI.EXE
MAILMON.EXE
Ravmon.exe
ZoneAlarm
好多人遭此病毒破坏造成大面积的卡机,瘫痪。我查遍了好多病毒,和自己收集的病毒样本做了比较,发现此病毒极度变态。危害程度可以和世界排名前十的爱情后门变种相比。该病毒可以通过网络传播,传播周期为3分钟。如果是新做的系统处于中了毒的网络环境内,只要那个机器一上网,3分钟内必定中招。中招后你安装 rising SkyNet Symantec McAfee Gate Rfw.exe RavMon.exe kill NAV 等杀毒软件 都无法补救你的系统,病毒文件 Logo1_.exe 为主体病毒,他自动生成病毒发作所需要的的 SWS32.DLL SWS.DLLL KILL.EXE 等文件。这些文件一但衍生。他将迅速感染系统内EXPLORE 等系统核心进程 及所以.exe 的可执行文件,外观典型表现症状为图标变色。 此时系统资源可用率极低,你每重新启动一次,病毒就会发作一次,重新启动5次后系统基本崩溃。病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码,将游戏密码发送到该木马病毒的植入者手中。