中过威金病毒的进来！

中了病毒威金后会怎么样~

机子感到很卡动不了

一、该病毒特点:

名 称：威金(Worm.Viking)
处理时间：2006-06-01 威胁级别：★★
病毒类型：蠕虫 影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒，病毒运行后将自身伪装成系统正常文件，以迷惑用户，通过修改注册表项使病毒开机时可以自动运行，同时病毒通过线程注入技术绕过防火墙的监视，连接到病毒作者指定的网站下载特定的木马或其它病毒，同时病毒运行后枚举内网的所有可用共享，并尝试通过弱口令方式连接感染目标计算机。
运行过程过感染用户机器上的可执行文件，造成用户机器运行速度变慢，破坏用户机器的可执行文件，给用户安全性构成危害。
病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。

1、病毒运行后将自身复制到Windows文件夹下,文件名为:
%SystemRoot%undl132.exe

2、运行被感染的文件后，病毒将病毒体复制到为以下文件:
%SystemRoot%\logo_1.exe

3、同时病毒会在病毒文件夹下生成:
病毒目录\vdll.dll

4、病毒从Z盘开始向前搜索所有可用分区中的exe文件，然后感染所有大小27kb-10mb的可执行文件，感染完毕在被感染的文件夹中生成:
_desktop.ini (文件属性:系统、隐藏。)

5、病毒会尝试修改%SysRoot%\system32\drivers\etc\hosts文件。

6、病毒通过添加如下注册表项实现病毒开机自动运行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\WINNT\undl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\undl132.exe"

7、病毒运行时尝试查找窗体名为:"RavMonClass"的程序，查找到窗体后发送消息关闭该程序。

8、枚举以下杀毒软件进程名，查找到后终止其进程:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe

9、同时病毒尝试利用以下命令终止相关杀病毒软件：
net stop "Kingsoft AntiVirus Service"

10、发送ICMP探测数据"Hello,World"，判断网络状态，网络可用时，
枚举内网所有共享主机，并尝试用弱口令连接\\IPC$、\admin$等共享目录，连接成功后进行网络感染。

11、感染用户机器上的exe文件，但不感染以下文件夹中的文件:
system
system32
windows
documents and settings
system Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone

12、枚举系统进程，尝试将病毒dll(vdll.dll)选择性注入以下进程名对应的进程:
Explorer
Iexplore
找到符合条件的进程后随机注入以上两个进程中的其中一个。

13、当外网可用时，被注入的dll文件尝试连接以下网站下载并运行相关程序:
http://www.17**.com/gua/zt.txt 保存为:c:\1.txt
http://www.17**.com/gua/wow.txt 保存为:c:\1.txt
http://www.17**.com/gua/mx.txt 保存为:c:\1.txt

http://www.17**.com/gua/zt.exe 保存为:%SystemRoot%Sy.exe
http://www.17**.com/gua/wow.exe 保存为:%SystemRoot%\1Sy.exe
http://www.17**.com/gua/mx.exe 保存为:%SystemRoot%\2Sy.exe
注：三个程序都为木马程序

14、病毒会将下载后的"1.txt"的内容添加到以下相关注册表项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]
"ver_down0"="[boot loader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++"
"ver_down1"="[boot loader]
timeout=30
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" ////"
"ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" /////"

二、专杀工具

http://it.rising.com.cn/service/technology/RavVikiing.htm

三、删除_desktop.ini

该病毒会在每个文件夹中生成一个名为_desktop.ini的文件，一个个去删除，显然太费劲，（我的机器的操作系统因安装在NTFS格式下，所以系统盘下的文件夹中没有这个文件，另外盘下的文件夹无一幸免），因此在这里介绍给大家一个批处理命令 del d:\_desktop.ini /f/s/q/a，该命令的作用是：
强制删除d盘下所有目录内（包括d盘本身）的_desktop.ini文件并且不提示是否删除

/f 强制删除只读文件

/q 指定静音状态。不提示您确认删除。

/s 从当前目录及其所有子目录中删除指定文件。显示正在被删除的文件名。

/a的意思是按照属性来删除了

这个命令的作用是在杀掉viking病毒之后清理系统内残留的_desktop.ini文件用的

使用方法是开始--所有程序--附件--命令提示符，键入上述命令（也可复制粘贴），首先删除D盘中的_desktop.ini，然后依此删除另外盘中的_desktop.ini。

至此，该病毒对机器造成的影响全部消除。

觉得有用的朋友们拿去试试吧

以下是我自己处理的方法：
(1)先下载好瑞星威金病毒专杀工具；
http://it.rising.com.cn/service/technology/RavVikiing.htm
(2)断开网络；
(3)处理C盘：能系统还原的就系统还原，这样节省时间，不行的就重装系统；
(4)再在安全模式下用刚才下的专杀工具清除掉C盘以外的其它盘的病毒；
(5)用全盘搜索功能（记得在高级选项里把搜索隐藏文件的选项勾上），搜索名为“_desktop.ini”的文件，搜索好后，凡是符合要求的全部删除；
(6)清除完后重启机器即可。

威金专杀

最近出现了威金病毒，已经导致了数以万计的网吧及PC网络出现严重问题，而我也是深受其害，几乎所有小于10m以下*.exe文件都被感染甚至让这些文件变色，而瑞星，金山等杀毒软件根本就解决不了这些文件关联只能把这些文件删除，要知这种后果有多严重，而这些受关联文件一旦运行，几乎整台机子就告瘫痪，
甚至与这台机子联机的pc都会感染，而这些向logo1.exe，rundl132.exe文件删掉之后重启，又会死灰复燃，搞的你发疯，其他修复*.exe关联工具都没用，
现我找搜索到了一份预防方案．以及解决办法。
解决办法：
首先下载终截者入侵阻止程序，这个网站就有，安装运行，接着你就可以运行*.exe文件了
看到logo1_.exe，rundl132.exe等程序你禁止运行别的允许就ok了最后到从c：\windows\下把logo1_.exe，rundl132.exe文件删掉再到注册表里把相关联文件值删掉就行接着用安全回归就行了重启之后全面杀毒就ok了
办法虽然笨但非常有效
预防方案;
下载[url]http://www.xywxkj.com/viking.rar[/url]
解压后 把virus文件夹里面的文件复制到c:\windows\下面.放心.这些都是空文件.文件名和病毒名是一样的.但是都是0字节.
然后运行logo1virus.bat 给刚才放到c:\windows\下的那几个文件加上系统.隐藏.只读3个属性.
就这样.就可以预防威金病毒了.也就是说.即使你的机子中了威金病毒.也不可能发作.是100%不可能!
为了双保险.请进行下一步:
开始-运行 输入gpedit.msc
用户配置-管理模板-系统 不要运行指定的windows程序.
启用.然后在下面显示那里把virusname.txt里面的文件名都加上.

logo1.rar里面是病毒.你可以试一下.即使你运行了这个病毒.也不会发作和感染.

废话我就不说了.希望大家好运.瑞星最新报告.目前已有数万人中这个毒.才3天时间. 其中有数千家网吧在2天内中毒.不可忽视.
表说你没见过这个QQ信息
看看啊. 我最近的照片~ 才扫描到QQ象册上的 ^_^ !
[url]http://www.([/url]骗子或虚假QQ推广信息地址)search_2.shtml.cgi-client-entry.photo.39pic.com/qq%E5%83%8F%E5%86%8C2/
如果你点一下...
表说你不会点.如果你在家.你的电脑只是你一人用么?如果不小心点了一下.那么....
如果你在网吧.网吧其他人点一下的话........

病毒信息:
病毒名称:Worm.Viking.bo Worm.Viking.bp
MACFEE 检测为trojan类木马
事实远不是这样简单...

感染方式:目前为 通过QQ信息感染.当然.不否认有人会利用恶意网页来传播

特征:感染后在C盘windows文件夹内会有logo1_.exe文件.运行后 病毒体为 logo1_.exe kill.exe sws32.dll sws.dll rundl132.dll 等
修改注册表
病毒对注册表进行修改，在 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\IniFileMapping\system.ini\boot]winlogo 项和
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和
[HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/中添加键值=%System%（其中，和为可变的），使得在 下次
系统启动时，病毒可随之自动运行。

中毒后.该病毒能迅速感染explorer.exe 等核心进程.
以及所有的.exe可执行程序...是彻底修改.而不是简单的修改文件关联...具体表现为.游戏图标变色.或变为空白..基本上说.中了这个病毒.就等于你要全部格式化硬盘了。
添加logo1_.exe进程.还有其他几个忘记名字了..

同时释放网游木马.包括 WOW.传奇.江湖.西游.还有....trojan.psw.lineage 表问我这是什么...

你可以说.我装有杀毒软件.很不幸.这个病毒还有一个功能。.就是杀杀毒软件.病毒运行时会干掉以下进程:
rising
SkyNet
Symantec
McAfee
Gate

Rfw.exe
RavMon.exe
kill
NAV
KAV
表告诉我不知道这是什么进程.

你可以说.我装有还原软件.很不幸.该病毒能穿透还原精灵.冰点等数种主流还原软件.经本人测试.连还原卡也没用

:mad: :mad: :mad:

你可以说.我有ghost呢.恢复一下就OK.很不幸,由于是全盘感染.恢复镜象也没用.

对于中毒的朋友.本人只能说节哀顺便.如果实在想补救.有以下办法.

进入安全模式 什么都表点.开始-运行-regedit
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot]
winlogo 项
删掉.C:\WINDOWS\SWS32.DLL

HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/Run 删掉C:\WINDOWS\SWS32.dll 类似的都删掉.还有/RunOnce/RunOnceEx 项里面也检查一下.
为安全记.在注册表里搜索以下值 logo1_.exe logo_1.exe kill.exe sws32.dll sws.dll rundl132.dll 把搜索到的键值全部删掉.

搜索到的那些键值.一定要记得路径.比如c:\windows\sws32.dll c:\windows\logo1_.exe 等.注册表信息删掉后.在c盘把这些东西删掉.

然后在运行里输入msconfig 后面启动项里.把没见过的启动项都取消.

如果是网吧机子.server服务一定要关.因为该病毒会通过共享传播.并试图解开共享机子的用户密码.达到传送文件的目的.

做到这一步.请安装卡巴斯基.查毒.然后把所有染毒对象全部删除. 当然.以卡巴死基的一贯风格.会删除N多系统文件.请使用系统修复功能来修复系统...OVER.
其实以我的意思.中了这个毒.基本上就没有修复的必要了.每重新启动一次机子.病毒体会自身复制得更多.重新装一个系统并不麻烦.麻烦的是要重新装系统后.怎么才能做到不再感染此病毒.这也是我想要说的.经过查阅病毒资料.和自己一惯手动杀毒经验.本人使用以下防毒思路.测试效果良好.
重新装过系统后.(装系统过程请拔掉网线)在c:\windows\下 创建几个新文件.分别命名为
logo1_.exe logo_1.exe sws32.dll sws.dll 等.并把该文件属性设置为只读.
其实病毒祸首就是logo1_.exe 理论上说只创建这一个就可以了。
开始-运行 输入gpedit.msc
本地计算机策略--用户配置--管理模板--系统 双击右面的 不要运行指定的windows程序 选择已启用 点下面的显示那里 里面添加如下文件名 logo1_.exe logo_1.exe kill.exe 至于是否还有其他病毒主体名.大家也多查查。
到这一步.基本上该病毒就无法运行了.
其实防止logo1_.exe运行还有一个办法.就是在启动项里添加一个批处理.该批处理内容为
attrib c:\window\logo1_.exe -r -h
del c:\window\logo1_.exe /y
多复制几行。 把其他要删的文件名加上
就是启动系统时就把这些文件删掉.当然就无法运行了。 ..不过.通常这种办法会失灵.;)

还有一点就是防止点QQ信息里面的链接.开启QQ安全中心.如果想要显示QQ信息里连的链接但是不想点他。 也有办法.

在QQ菜单-设置-安全设置-网络信息安全 把安全级别设置为最高. 下面聊天信息安全里面两个勾都去掉.
表乱进不熟悉的网站.

一句话.良好的上网习惯是最好的杀毒利器.

手都打酸了。希望能对大家所帮助...

PS:偶表达能力差.表打击偶.有什么不明白的地方偶编辑下..

以下是修改过的logo1virus.bat

省了第一步.也就是说.直接运行logo1vires.bat后.去修改组策略.就万无一失了.修改过的logo1virus.bat内容为

---------------------------------------------------

echo > c:\windows\Logo1_.exe
echo > c:\windows\rundl132.exe
echo > c:\windows\0Sy.exe
echo > c:\windows\vDll.dll
echo > c:\windows\1Sy.exe
echo > c:\windows\2Sy.exe
echo > c:\windows\rundll32.exe
echo > c:\windows\3Sy.exe
echo > c:\windows\5Sy.exe
echo > c:\windows\1.com
echo > c:\windows\exerouter.exe
echo > c:\windows\EXP10RER.com
echo > c:\windows\finders.com
echo > c:\windows\Shell.sys
echo > c:\windows\smss.exe
echo > c:\windows\kill.exe
echo > c:\windows\sws.dll
echo > c:\windows\sws32.dll

attrib c:\windows\Logo1_.exe +s +r +h
attrib c:\windows\rundl132.exe +s +r +h
attrib c:\windows\0Sy.exe +s +r +h
attrib c:\windows\vDll.dll +s +r +h
attrib c:\windows\1Sy.exe +s +r +h
attrib c:\windows\2Sy.exe +s +r +h
attrib c:\windows\rundll32.exe +s +r +h
attrib c:\windows\3Sy.exe +s +r +h
attrib c:\windows\5Sy.exe +s +r +h
attrib c:\windows\1.com +s +r +h
attrib c:\windows\exerouter.exe +s +r +h
attrib c:\windows\EXP10RER.com +s +r +h
attrib c:\windows\finders.com +s +r +h
attrib c:\windows\Shell.sys +s +r +h
attrib c:\windows\smss.exe +s +r +h
attrib c:\windows\kill.exe +s +r +h
attrib c:\windows\sws.dll +s +r +h
attrib c:\windows\sws32.dll +s +r +h

-------------------------------------------

刚才整理了一下.修改组策略那里已经被我写成注册表。请把以下内容复制到文本里.修改成reg后缀导入就可.

------------------------------------------------

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\本地User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]
"**delvals."=" "
"1"="0Sy.exe"
"2"="1.com"
"3"="1Sy.exe"
"4"="2Sy.exe"
"5"="3Sy.exe"
"6"="5Sy.exe"
"7"="exerouter.exe"
"8"="EXP10RER.com"
"9"="finders.com"
"10"="finders.com"
"11"="kill.exe"
"12"="Logo1_.exe"
"13"="rundl132.exe"
"14"="rundll32.exe"
"15"="Shell.sys"
"16"="smss.exe"
"17"="smss.exe"
"18"="sws.dll"
"19"="sws32.dll"
"20"="tool.exe"
"21"="tool2005.exe"
"22"="tool2006.exe"
"23"="tools.exe"
"24"="vDll.dll"

一言难尽啊我被这个病毒可害苦了！！！，我中毒算是比较深的了，所有27kb-10mb的可执行文件全部感染，我是把硬盘都重新分区，重做的系统。本人亲身感受该病毒的实际威力，表面特征开机后运行什么程序都很慢，开我的电脑需要过两三分钟，所有27kb-10mb的.exe图标全变花花。

我试过很多杀毒软件，包括瑞星专杀，金山专杀根本查不出有毒，应该是该病毒的变种，并且它可以中止杀毒软件程序，禁止杀毒软件开机自动运行，所有杀毒软件只要一次性没杀干净，第二次就不好用（不是杀毒软件杀它，是它杀杀毒软件）如果被感染，格式化是不好用的，不信你可以试试，在DOS里format d:再进系统看看文件还在不？这是因为该病毒把引导区信息都破坏了，再进fdisk看看你b项的硬盘格式还是FAT32不？我的是8，苍天啊。（我中毒比较深）即使你把系统c:格式化重做，那么进系统，只要打开别的盘符病毒照样回来。因为病毒在别的盘符下设置了一个钩子，系统文件。

网上的一位仁兄写了这样的一段话：
病毒是在windows目录下生成dll.dll,logo1_.exe,rundl132.exe这三个文件。
而dll.dll注入explorer.exe是由logo1_.exe来完成。病毒会在开机自动执行中加入rundl132.exe 首先打开我的电脑！选工具——文件夹选项——查看（快捷键按ALT+T再按O）中的"隐藏受保护的操作系统文件(推荐)"的勾取消,把"显示所有文件和文件夹"选中！
1.按CTRL+ALT+DEL在任务管理器中把rundl132.exe,logo1_.exe结束掉(没有的话,不用操作),删除C盘内的logo1_.exel和rundl132.exe(不知道在哪里的,可以打开我的电脑按CTRL+F然后搜索rundl132.exe,logo1_.exe)
2.因为DLL.dll模块被写入到explorer中,所以删除不掉.不过能有办法删除,打开任务管理把进程中的explorer.exe结束掉，接着桌面变消失了，不怕！选中任务管理器的“文件（F）”——“新任务（运行。。）（N）”然后运行explorer.exe桌面就又出来了！接着把在C:盘下的DLL.dll删除掉(按CTRL+F查找它,然后删除)
3.在运行中输入regedit查找注册表键值：[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]将其删除,然后按CTRL+F查找注册表键值rundl132.exe及在这项中的所有键值将其删除
4.打开我的电脑按CTRL+F然后搜索_desktop.ini,把找到的所有_desktop.ini删除(删除后图标还显示在那里,别管它,关掉后在查一次看看是否还有)
楼上的朋友说在命令提示符里输入的del c:\_desktop.ini /a/f/s/q 这个方法挺好。

如果用GHOST重做系统的朋友，并且在GHOST以前c:装过杀毒软件的朋友那么祝贺你，当你打开c:外其它盘符的时候，杀毒软件会提示你有文件正向c:考入文件，此时点杀毒，再其它盘符里的病毒钩子自然被杀掉，然后依次格式化其它盘。剩下的就直接分区装系统吧，不要奢望能留下你那好不容易得到的软件，因为它们已经象生化微机里的那样变异啦
既然楼主已经清楚了病毒，那么我想还是重点讨论一下如何防治威金不被重新感染吧。打开工具－文件夹选项－隐藏文件的扩展名的钩点掉
1、在windows目录下新建记事本：“logo1_.exe”、：“logo1.exe”、“rundl132.exe”、“vdll.dll””、“vidll.dll””、“dll.dll”并把属性设为“只读”，这样病毒也就无法运行了。经我观察发现，病毒如果发现WINDOWS下有一个和它重名并只读文件，那么病毒会自己改名，所以要多建几个。
2、运行 gpedit.msc 打开组策略,依次单击用户配置- 管理模块- 系统-指定不给windows运行的程序,点启用 然后 点显示 添加 “logo1_.exe”、“logo1.exe”、““rundl132.exe“ 也就是病毒的源文件，确定。这样是禁止病毒运行
3、经常观察c:WINDOWS是否有类似logo.exe的文件出现，并及时打开WINDOWS资源管理器，中止该进程，并删除。（这个文件会随机使用你系统软件的图标来迷惑用户，经常变化）
4、经常观察注册表（在运行中输入regedit）查找注册表键值：[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]是否存在，有并将其删除。然后按CTRL+F查找注册表键值rundl132.exe及在这项中的所有键值将其删除。
一半情况下只要发现及时并做好预防，该病毒还是可以得到有效控制的。
最后告诉大家一个小方法来备份文件，把重要的文件全部打成一个压缩文件，并把这个压缩文件的后缀.rar改成.dgsdfgbhhsfs(rar)就是乱七八糟的后缀，这样病毒就没发识别了，用的时候再改过来解压即可。
以上是本人受过威金病毒严重侵害后的心得，望对各位仁兄有所帮助，最后祝愿大家远离病毒，欢乐上网。

我昨天刚刚修好了两台中过威金病毒的电脑.我用的是江民威金病毒专杀工具.非常好用,只用了10MIN就把80G的硬盘杀完,因为他只杀这一个病毒,所以查的非常的快.我极力推荐你用这个软件.GOOD LUCK!
以下是江民的介绍:
近日，江民反病毒中心监测到，“威金”病毒(Worm/Viking)的多个新变种在互联网上活动较为频繁，已有多家企业用户报告感染了该病毒并导致整个局域网受到不同程度的破坏。据江民全国病毒疫情监控系统数据显示，该病毒目前已有188个变种，从2005年5月19日首次出现至今，已经感染了15万余台计算机。

江民反病毒专家分析，“威金”病毒主要通过网络共享传播，病毒会感染电脑中所有的.EXE可执行文件，传播速度十分迅速。“威金”病毒运行后，修改注册表自启动项，以使自己随系统一起运行，向系统文件目录下生成以下病毒文件：

Program Files\svhost32.exe
Program Files\micorsoft\svhost32.exe
windows\explorer.exe
windows\logo1_exe
windows\rundll32.exe
windows\rundl132.exe
windows\intel\rundl132.exe
windows\dll.dll

病毒新变种还会自动从网站下载“天堂杀手”以及“QQ大盗（QQpass）”等10余种木马病毒，企图盗取包括天堂、征途、梦幻西游、传奇等多种流行网游以及QQ的帐号、密码。

针对该病毒以及最新变种，江民杀毒软件已及时升级病毒库，用户可以使用最新版杀毒软件对电脑进行全盘查杀，即可消除病毒威胁。江民反病毒专家特别提醒，对于局域网用户，在杀毒时务必断开网络，以免病毒在局域网流窜，导致病毒屡杀不绝的现象。单机用户应检查自己的电脑是否存在共享（可使用江民杀毒软件木马一扫光中“共享管理”功能查看），在全盘杀毒后及时关闭所有共享设置，以免再遭病毒侵扰。为进有效地清除威金病毒，江民反病毒中心还研发了威金病毒专杀工具，未安装杀毒软件的用户可以免费下载使用，彻底抵御“威金”病毒。
江民威金病毒专杀工具下载地址：http://kvup.jiangmin.com/download/VikingKiller.rar

瑞星病毒疫情监测网监测发现，一个多功能混合型病毒正在互联网上快速传播，该病毒被命名为“威金蠕虫变种BO（Worm.Viking.bo）”病毒。瑞星反病毒专家介绍说，该病毒同时具有文件型病毒、蠕虫病毒、病毒下载器等类病毒的特点，进入用户的电脑之后，它会从网上疯狂下载多个木马、QQ尾巴等安装在中毒电脑中，窃取用户的网络游戏密码，严重时造成系统完全崩溃。

瑞星病毒疫情监测网监测提供的数据表明，截至5日14点，共有9600余名个人用户和10余家企业用户被该病毒感染。病毒会扫描局域网中的所有共享计算机，尝试猜解它们的密码，并试图感染这些计算机。病毒的传播、扫描、网络下载等会消耗大量资源，局域网中只要有一台机器中毒，就可能造成全网运行不正常，甚至造成网络堵塞。中毒后，必须采用具备全局管理功能的网络版杀毒软件才能彻底清除。

根据瑞星技术部门的分析，“威金蠕虫变种BO”进入用户的电脑之后，会通过网络下载“西游木马”、“江湖木马”、“密西病毒”以及“魔兽木马”等程序并安装，试图窃取上述网络游戏的帐号、密码和装备。同时，该病毒还会下载并安装一个QQ尾巴病毒，再利用中毒电脑的QQ疯狂发送垃圾信息，并借机进行传播。

瑞星反病毒专家表示，近期混合型多功能病毒十分猖獗，它们会从网上下载多个病毒、流氓软件，实时更新对抗反病毒软件的查杀，因此一旦中毒很难清除。从目前的形式来看，该病毒的传播速度没有明显减弱的迹象。因此，用户应该采取以下措施对其进行防范：

企业用户应该对整个网络进行安全漏洞排查，可以登陆瑞星网站www.rising.com.cn，免费下载瑞星杀毒软件2006网络版，使用其中的“增强型全网漏洞管理”功能进行全网扫描，排除安全隐患；个人用户应该使用瑞星杀毒软件2006版的“漏洞扫描”功能，给自己的电脑打上补丁，上网时应启用所有的实时监控功能，并使用个人防火墙。

看过这么多答案，觉得却有可圈可点之处，但觉得有些操作不可行，有的太复杂，而我太懒，没有办法！^_^。我边唠叨边说我的杀毒办法,比较简单，但全是我一字一字写的啊，字字有血泪。必须要严格按我的步骤来哦，不得轻易做其他操作。如果你需要杀软的离线升级包或进程手术刀这样的工具可以和我QQ（236571501）联系，我会发到你邮箱。不破楼兰终不还！呵呵！还有,我不知道你的计算机水平,所以比较详细!

一、扩军备战。

1、要处理的的对象：

A、病毒文件（要删除）：win2k操作系统系统目录为winnt
c:\windows\logo_1.exe
c:\windows\rundl132.exe
c:\windows\dll.dll（也可能是c:\windows\vdll.dll)
大量存在各文件夹下的_desktop.ini

B、许多被感染的exe文件，使用最新引擎和病毒库的杀软消灭，瑞星2006和kv2006都能有效清除而不需删除。

C、注册表相关启动对象要删除，仅仅可以使用开始|运行|msconfig命令实现（注册表里面的操作我看网友们的介绍也比较详细了，挣分还是要讲究技巧的）。

特别申明：不要相信专杀工具，在彻底清除前，不要轻易运行任何exe文件。

二、全面战争：

1、再次备战，呵呵：
新建4个txt文本文档，并分别改名为
logo1_.exe,rundl132.exe,vdll.dll,dll.dll，在cmd界面下将他们设置为系统和只读属性，

命令为attirb 文件名.扩展名 +s +r，

他们大小都是0字节。将杀毒软件升级到最新。

2、肉搏战！！
方式1（麻烦）：
A、进入带命令行的安全模式，使用
del 路径\文件
的格式删除c:\windows下我提到的病毒文件。
B、使用
copy 源路径\文件 目标路径
的命令格式将我们伪造的文件替换病毒文件，（病毒说道：好毒一招，名曰：偷天换日）。
C、使用系统的搜索功能找出硬盘上所有的_desktop.ini文件并全部删除，使用最新病毒库的杀毒软件（瑞星2006或kv2006）清除所有硬盘上exe文件上的病毒。晕！如何打开杀软或使用搜索功能，可以使用杀软主执行文件的路径打开程序或键入explorer，在桌面环境下使用杀软或搜索功能。
D、使用msconfig删除启动项（最好用regedit），使用杀软全盘杀毒。
方式2（不麻烦，所提到的命令的使用同方式1）：
A、不进入安全模式，打开cmd
B、使用进程手术刀(因为任务管理器权限不够终止不到,还有有的机器运行的进程是logo1_.exe,有的机器的进程是rundl132.exe在运行)终止explorer（dll.dll和vdll.dll的注入进程)、logo1_.exe、rundl132.exe，前面网友说的用任务管理器终止进程是行不通D。
C、使用del命令删除四个病毒文件，并用我伪造的文件替换，然后打开c:\windows\explorer.exe使用搜索功能找出全部的_desktop.ini并删除。
D、使用msconfig删除启动项（最好用regedit），使用杀软全盘杀毒。
ok，到此搞定。恭喜你，你已经消灭病毒，并拥有病毒免疫功能。（当然，你也可以将你的开机必须启动的文件，比如有的网友开机要启动无敌小闹钟啊，改名为病毒文件名修改为只读系统也行）

---

甘泉县18450631352： 中了威金的毒!到底怎么办! - ？
木翰派得： 呵呵~我前段时间也中了 不过我用咔吧全盘杀毒就搞定了~在网上搜索到这有的解决方法 楼主可以试试Logo1_.exe病毒感染所有EXE文件清除方法最早发现电脑中Logo1_.exe病毒是因为运行桌面上的TTPlayer快捷方式图标变模糊,打开任务管理...

甘泉县18450631352： 中了威金后是不是没有一点办法了?(超急!!!)前天我中了威金,所 ？
木翰派得： 杀威金病毒主要就是不能用.exe程序杀,想安全助理推荐的AVG,一上 你的电脑就会马上被感染了,使得AVG不能杀毒了. Viking威金专杀 威金全盘修复工具 用专杀查...

甘泉县18450631352： 中了威金病毒怎么办啊? - ？
木翰派得： 很麻烦,安美的处理也有遗憾.目前最完美的处理:用威金杀虫剂处理http://www.qijia.net/viking.rar之后再用杀毒软件全面查杀一遍.

甘泉县18450631352： 电脑中了威金病毒要怎么查杀 - ？
木翰派得： 电脑中病毒后要及时处理,可使用杀毒软件,类似腾讯电脑管家等来查杀.腾讯电脑管家采用给腾讯云查杀技术的,可以强行查杀最新的木马程序的,让电脑远离病毒的威胁,还可以实时保护你的电脑对上网的网页、系统文件、U盘、浏览器等都多的保护的,有的病毒还篡改电脑文件,都是可以保护你的电脑不受威胁还你一个干净的上网环境 具体步骤:1、普通查杀,打开腾讯电脑管家——病毒查杀2、安全模式下查杀,可重启计算机按f8,屏幕显示winxp系统启动选项菜单,按下键移动到“带命令提示符的安全模式”,回车;找到电脑里面的杀毒软件杀毒就可以.

甘泉县18450631352： 求救,中了威金病毒怎么办?？
木翰派得： 这个老病毒,江民,金山,卡巴,瑞星,360全有专杀工具的. 只是你的电脑太多,你要是网管的话,工作量可不低啊!一台一台的去杀,呵呵,同情你哦! 不过也没有其它的好的办法啊. 要是网吧的话,有专门的网吧管理程序可以集中管理集中杀毒的. 但问题是你没有网吧的专门管理程序,而且也是收费的. 你们单位当初没有装还原卡或隔离卡吗?省小钱费大事阿!

甘泉县18450631352： 我中了威金病毒,快来帮忙啊 - ？
木翰派得： 近期威金肆虐,影响之大不亚于当年的CIH,于是被迫亲自出马研究解决方案.根据其特征,可以理解为“病毒+木马+蠕虫+局域网攻击+系统漏洞传播”.中毒特征: 硬盘中出现大量的_desktop.ini,进程中含有svhost32.exe、logo1_.exe,机器速度爆慢,QQ密码被改,网游帐号被偷; CPU占用率100%;经常蓝屏 传播方式: 染毒系统所有的exe(即病毒特征);在后台下载木马,偷QQ号,网游帐号,部分变种还偷网银密码(即木马特性);通过扫描网络共享进程传播,还能破解简单密码,如有可写权限即感染网络中的电脑;通过系统自动运行传播,只要一插感染的U盘(所有usb disk设备),系统即立刻感染威金.

甘泉县18450631352： 恨死威金病毒了!!!!!!!？
木翰派得： 我的电脑前几天也中了威金病毒, 进程里老出现logo1_.exe和rundl132.exe, 可执行文件的图标大部分变白 折腾了两天以后, 终于有点收获: 一、抑制威金的方法 威金很猖狂, 大部分的杀毒软件甚至系统还原都拿它没辙, 不过有个简单的方...

甘泉县18450631352： 威金的手动清除方法中了威金病毒源是logo1 - .exerundl ？
木翰派得： 1.一般来讲,三个工具全面查杀后应该就没问题了(病毒库必须是最新的): AVG Anti-virus查毒、AVG Anti-Spyware查木马、360查恶意软件(修复系统漏洞) 工具到这里找: 都是免费的、正版的、自动升级的 平时只开AVG Anti-virus 360和AVG Anti-Spyware偶尔一用 2.使用这些工具也可以查杀:

甘泉县18450631352： 我中了威金怎么办??? - ？
木翰派得： “维金”病毒(又称“威金”病毒)为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒,病毒运行后将自身伪装成系统正常文件,以迷惑用户,通过修改注册表项使病毒开机时可以自动运行,同时病毒通...

甘泉县18450631352： 我中 威金 了 怎么半啊 速度 谢谢？
木翰派得： 还原系统,然后不要开C盘以外的文件,特别是程序文件.因为威金把自己捆绑在所有可能的EXE文件里面,只要你还原或重装系统后打开D、E、F盘的程序,你又重新中毒. 上网,下载威金专杀,查杀,如果还是不放心,下多一个卡巴斯基,全盘查杀,这样做,是最好的!!请相信我,因为我以前也中过威金,我用了一天的时间拯救了我80%的程序,如果不懂,可以再提问.不用怕,这个威金已经很老了,没什么大不了的,最多把 你硬盘里面所有EXE文件都删除了!