救命阿,被病毒折磨的要死,高手进来阿,

救命啊!我快被这个病毒折磨疯了!!!!!~

你去下载个绿鹰PC万能精灵，它会自动检测你的系统进程，好东西哦！我就是用绿鹰PC杀掉Trojan的。。一启动就自动检测到这个病毒，直接杀掉。。而且清理感染的文件！

卡巴斯基(杀毒的)+eTrust Personal Firewall（防火墙）+ewido（杀木马的）=全球最顶级安全防护

瑞星不管用的，很多它都查不出来。

Eiens 经理 四级(2073) | 我的贡献 | 我的消息(0/14) | 我的空间 | 百度首页 | 退出
新闻 网页 贴吧 知道 MP3 图片 百科 帮助

百度百科 > 浏览词条 编辑词条 发表评论 历史版本 打印 添加到搜藏

威金威金蠕虫感染Windows可执行文件，并会查找局域网中所有的共享计算机，尝试猜解它们的密码，试图感染这些计算机。该病毒还会自动在后台下载并运行“西游木马”等，窃取网络游戏玩家的账号和密码并发送给黑客。同时，该病毒还会下载一个QQ病毒，自动向用户的QQ好友发送内容为“看看啊。我最近的照片～才扫描到QQ相册上的!”的消息并附带一个网址，其他用户点击消息中的网址就可能被病毒感染。

专家建议:

不要随便登录通过QQ、MSN等即时通信工具发来的网站地址，登录前要向对方确认，如果对方没有回复则极有可能是病毒自动发送的。另外，平时一定要将杀毒软件的监控功能打开，以防范此类病毒。威金Worm.Viking病毒分析及处理

现象：
1.中毒后所有.exe执行文件均发生异常；
2.中毒后系统分区生成很多垃圾文件；
3.中毒后网络共享打印机生成“远程下层文档”异常队列；
4.中毒后网络共享打印机自动打印内容为一行日期的空白页面；
5.在所有文件夹下生成纯文件_desktop.ini，内容为一行日期；
6.生成病毒文件
a) Program Files\svhost32.exe
b) Program Files\micorsoft\svhost32.exe
c) Windows\explorer.exe
d) windows\logo1_exe
e) windows\rundll32.exe
f) windows\rundl132.exe
g) windows\intel\rundl132.exe
h) windows\dll.dll
受影响的系统：
Windows 95, 98, ME, NT, 2000, XP_SP2和Server 2003_SP1
传播途径：
扫描administrator和guest帐号口令为空的计算机，并通过共享迅速传播。
病毒查杀：
采用Mcafee + Ewido + Logkill组合查杀；并手工免疫。
Mcafee霏凡下载：点击这里下载
Ewido霏凡下载：点击这里下载
Logkill本地下载： 该文件只允许会员下载! 登录 | 注册
处理步骤：
1.禁用系统还原，并删除相关备份文件；
2.在安全模式下，使用已更新的Mcafee和Ewido扫描并查杀全盘；
3.对被破坏的exe文件，使用Logkill尝试修复；
4.为administrator和guest帐号设置非弱口令。

威金Worm.Viking病毒查杀及手工免疫

（以下描述可能对有经验的读者略显烦琐，请选择跳过或略读。）

第一步：安装Ewido v4.0.172
1.解压缩Ewido v4.0.172 绿色汉化版.rar；
2.执行并安装ewidoantispyware400172.exe；
3.执行并汉化ewidoantispyware400172yywj_v2_kaci.exe；
4.激活并注册，注册码70EW-TH17Q1-PM-C01-S1W2QD-MEM-NUYY
请参考“使用说明.txt”。

第二步：升级Ewido v4.0.172
打开Ewido主程序，选择第二个标签“更新”，点击“开始更新”，待更新完成。

第三步：使用Ewido扫描系统
打开Ewido主程序，选择第三个标签“扫描器”，进行“完整系统扫描”，待扫描完成。

第四步：进行威金病毒手工免疫

1.使系统显示隐藏文件
打开“我的电脑”； 依次打开菜单“工具”->“文件夹选项”；然后在弹出的“文件夹选项”对话框中切换到“查看”页； 去掉“隐藏受保护的操作系统文件(推荐)"前面的对钩，让它变为不选状态； 在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项； 去掉“隐藏已知文件类型的扩展名”前面的对钩，也让它变为不选状态。最后“确定”完成即可。
2. 制作病毒免疫文件
A.进入C:\WINDOWS目录，新建3个文件"logo1_.exe"、"rundl132.exe"、"vdll.dll"；
B.依次右键单击新创建的文件，选择“属性”，进入“安全”标签页；
C.点击“高级”选项；
D.在“高级安全设置”中取消“从父项继承那些可以应用到子对象的权限项目，包括那些在此明确定义的项目”；
E.在弹出的对话框中选择“删除”；
F.在返回的窗口中部单击“添加”按键；
G.在“输入对象名称来选择”文本框中输入 everyone，确定；
H.赋予全部拒绝权限；
I.按照上述方法再次添加“SYSTEM”，并赋予全部拒绝权限；
J.确定完成即可。
K.按照上述方法将"logo1_.exe"、"rundl132.exe"、"vdll.dll"三个新建文件全部赋予everyone和SYSTEM的拒绝权限；
L.完成免疫。

相关技术分析
（以下部分摘自趋势科技病毒知识库）

到达、植入及自启动技术

在运行时，病毒会在 Windows文件夹中生成一个 PE_LOOKED.BF-O的拷贝 RUNDL132.EXE，然后将其运行。病毒同样会生成一个 .DLL文件，然后将其注入到 IEXPLORER.EXE进程中。趋势将这个 .DLL文件检测为 TROJ_LOOKED.BF。这个木马负责实现传播感染文件的目的。
在Windows 98和ME系统中，为使自身可以在每次系统启动时自动运行，病毒添加如下的注册表项目：
引用内容
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
Current Version\Run
Load = "%Windows%\rundl132.exe"

(注意： %Windows% 是Windows文件夹，通常就是C:\Windows或C:\WINNT。)
在基于Windows NT（Windows NT, 2000, XP和Server 2003）的系统中，为使自身可以在每次系统启动时自动运行，病毒修改如下的注册表项目：

引用内容
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\
CurrentVersion\Windows
Load = "%Windows%\rundl132.exe"

(注意: 该键值默认值为 Load = "".)
作为自启动的一部分，病毒创建如下注册表键值：

引用内容
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW
Auto = "1"

通过网络共享进行传播
这个文件感染型病毒可以通过网络共享进行传播。病毒会使用用户名为 administrator 和 guest，口令为空的账户信息，尝试登录如下网络共享，成功登录后会在共享中生成自身拷贝。
ADMIN$ 、IPC$
文件感染
该病毒会搜索C到Z盘中的所有EXE文件，找到文件后将病毒代码前缀至文件中。但是，病毒会避免感染含有如下字符串的文件：
ComPlus Applications
Documents and Settings
InstallShield Installation Information
Messenger
Microsoft Frontpage
Microsoft Office
Movie Maker
MSN Gaming Zone
NetMeeting
Outlook Express
Recycled
system
System Volume Information
system32
windows
Windows Media Player
WindowsUpdate
winnt
进程终止
该病毒会寻找如下与安全有关的如下进程，找到后会将其终止：
MCSHIELD.EXE、REGSVC.EXE
病毒还会终止名为 Kingsoft Antivirus 的服务。
其他细节
该病毒会在其遍历过的每个文件夹中生成一个名为“ _DESKTOP.INI”的非恶意纯文本文件。这个文本文件中包含病毒感染日期。

---------------------------------------------------------------------------------------------------------------------------------------------
如何恢复被威金感染的exe文件

首先我们使用杀毒软件以及专杀工具查杀威金病毒，但千万要注意的是，对于感染的.exe文件不要选择删除，隔离即可。

然后，在Windows目录下建立一个空文件，文件名为logo1_.exe，文件属性设置成“只读、隐藏、系统属性”。按照此方法，还需建立rundl123.exe、logo_1.exe以及Sy0.exe~Sy9.exe等文件。

接着，拔掉网线，断开网络，暂时关闭病毒防护。还原被隔离的.exe文件，点击运行。这时被感染的.exe文件就会脱壳，logo1_.exe以及rundl123.exe等会被释放。用最新的专杀对这个.exe文件检测一遍，然后把它放入RAR压缩包里。在RAR中的.exe文件不会感染，在RAR中运行这个程序也没问题。

注意，在使用超级兔子等软件时一定不能清理自己创建的那几个文件。否则，病毒将再次开始活动。

最后，再次全面查杀，保证内部无毒。

此方法，只推荐给专业人士参考，不要轻易操作，以免发生严重后果
编辑词条
开放分类：
病毒、蠕虫

贡献者：
hf022、wanghan2505
本词条在以下词条中被提及：
worm.viking.if、Win32/Viking.BL

关于本词条的评论（共2条）：

· A.进入C:\WINDOWS目录，新建3个文件"logo1_.exe"、"rundl132.exe"、"vdll.dll"； B.依次右键单击新创建的文件，选择“属性”，进入“安全”标签页； 我怎么没有看到有 “安全”标签页 啊？？？ 能古 06-26 11:03

·嗬嗬 长见识了 caojiageng876 10-20 13:28
对本词条发表评论：

最多不超过1000字

返回页首

©2007 Baidu

“威金”病毒主要通过网络共享传播，病毒会感染电脑中所有的.EXE可执行文件，传播速度十分迅速。“威金”病毒运行后，修改注册表自启动项，以使自己随系统一起运行，向系统文件目录下生成以下病毒文件：
Program Files\svhost32.exe
Program Files\micorsoft\svhost32.exe
windows\explorer.exe
windows\logo1_exe
windows\rundll32.exe
windows\rundl132.exe
windows\intel\rundl132.exe
windows\dll.dll

病毒新变种还会自动从网站下载“天堂杀手”以及“QQ大盗（QQpass）”等10余种木马病毒，企图盗取包括天堂、征途、梦幻西游、传奇等多种流行网游以及QQ的帐号、密码。

从你的描述中可以知道，你机器里的这个病毒是一而再，再而三地发作了。
也不要去想什么用杀毒软件啊、专杀工具啊清除了。
彻底重装一次系统吧：

1.将硬盘上所有分区都删除然后全部格式化一次；（新硬盘就不用这样，直接分区就可以了）
安装的系统最好选择Windows XP sp2版以上，安装时最好将磁盘格式为NTFS格式，因为它在安全性的设置上是比较全面的。
2.系统安装好后，装好各种驱动（驱动的安装顺序最好按照下面的顺序：主板驱动－较新版本的DirectX－最新的显卡驱动－最新的声卡驱动－网卡驱动－其它设备的驱动－各种应用程序）并设置好；
3.用网上的一些教程（可以用别的电脑上网来查看这些设定）来关闭系统的一些不安全因素。比如默认的共享、ftp上传后门、服务中的远程注册表服务等等。
4.用｜流氓软件清理助手｜到安全模式下去扫描清理下系统里的流氓软件，用Upiea的“插件免疫”功能为你的系统进行免疫的操作；用TweakUI这个软件取消系统对所有盘符的“自动播放”功能。
5.安装杀软和防火墙；
6.上网。在第一时间里升级杀软和防火墙的病毒。
7.结束后。挂到Windows Update上去打齐补丁或者用360安全卫士的“修复系统漏洞”功能来打齐补丁。完了下网。
8.Ghost。并最好将镜像文件刻录到光盘上保存。
9.在资源管理器里点击：工具－文件夹选项，在“查看－高级设置”项目下取消“使用简单文件共享（推荐）”前的勾。然后在系统盘下右击“Program Files”、“Windows”及其“Windows/system32”文件夹，选择“属性－安全”，在“组或用户名称”下为用户设置如下权限：
Administrator和SYSTEM组：“读取和运行”、“列出文件夹目录”、“读取”；其它的所有用户，取消一切权限。
10.安装一个监控类的软件，SSM或WinPatrol。安装一个木马查杀类软件。安装IceSword。

以后上网，实时开启杀软和防火墙和WinPatrol。木马查杀类的软件可以定时升级，定期扫描查杀。不必实时开启。有病毒入侵时，一般性的杀软和防火墙会防护，真有通过一些特殊方法绕过杀软和防火墙的，它要开通服务，运行自己的进程的话，实时监控软件会有提示用户的。如果不是在安装程序时出现这样的提示，那么多半是不良的东西。直接用杀软查杀，如果清除不了，则可以用IceSword这个软件直接定位这些文件，删除这些文件。

logo1_.exe
这个我中过. 等下我给你翻翻.
威金病毒，恭喜你中招了，不过不用害怕，没什么了不起的．偶杀完后，故意下载病毒体做研究！！！

1、重起按F8进安全模式 (不用进也可以，不进安全模式有些文件删不掉）

2、推荐使用“江民威金病毒专杀”再运行-regedit-编辑-搜索-logo1_.exe和rundl132.exe重复几次手动删除。

3、打开我的电脑 -- 工具 -- 文件夹选项 -- 查看 -- 勾上“显示系统文件夹的内容”，勾掉“隐藏受保护的操作系统文件”，下面选择“显示所有文件和文件夹”，确定。

4、删除以下三个文件夹内的所有文件：
c:\\windows\\temp\\
C:\\Documents and Settings\\Administrator\\Local Settings\\Temp
C:\\Documents and Settings\\Administrator\\Local Settings\\Temporary Internet Files

5、打开c:\\windows\\ 按照修改时间排列文件，把最近中毒这段时间产生的文件全部删掉（这个要稍微小心点，看时间如果离的很远的，那应该是系统文件，如果是你中毒那天开始产生的，又是什么exe文件之类的，那就删），包括.log日志文件！

6、打开c:\\windows\\system32\\，做同6一样的操作，还有就是将病毒名文件删除，就在这两个文件夹内，你要是找不到，就将病毒名打上查找！

一定要注意，要软件和手动删除相配合，光是软件是不行的。
参考资料：http://www.jiangmin.com/download/VikingKiller.exe

估计是中了AV终结者了,此病毒专门破坏杀毒软件,同时网页打不开。
要确定是否中了此病毒，建议你看看打开除系统盘外的其他盘是否会出现窗口先关闭再跳出来的情况，在到任务管理器中看看有没有heuristic，还有一个从未看见过的f开头的进程。建议你装一个AVG Anti-Spyware 7.5（能杀掉很多不知名的病毒）。或金山毒霸的DubaTool_AV_Killer2，在它的网站上有，免费的。
注意:不能用U盘.会 传播的.到QQ529675030.我给你.
http://hi.baidu.com/houseflying/blog/category/%CD%F8%C2%E7%BF%C6%BC%BC.
那只有用AVG Anti-Spyware 7.5，我给你。qq773578506

瑞星推出的威金病毒(logo1_.exe,logo_1.exe,rundl132.exe)专杀:
http://it.rising.com.cn/service/technology/RavVikiing.htm

---

卫东区19238489524： 中了远程病毒后,应该怎么办啊?急需高手进来!？
荣剑三磷： 怕毛,中了后先拨网线,然后开始进程以下步骤 (必要时要下载木马客星再去查杀一次)轻的:在普通模式下用杀毒软件杀2偏.看下还有剩余而决定杀第3次.杀完后记得用优化大师 清理掉 注册表的垃圾文件,册除开机启动的病毒文件....

卫东区19238489524： 我家电脑中毒了!!! 急死了 高手进 - ？
荣剑三磷： 1、 用乐果兑水放在水盆里,把主机放在水盆里泡十分钟,晾干就行了2、什么都不用,你可以一个月不开机,把病毒饿死在里面. 光饿死还不够,万一病毒太饿了爬出来感染别人的电脑怎么办!不光要不开机饿死它还要拿个袋子把电脑密封起...

卫东区19238489524： 求救:被u盘病毒administration.vbs折磨死了？
荣剑三磷： [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] []把这个删了Administrator.vbs 还有注册表的上的键值卡巴全盘扫描

卫东区19238489524： 电脑中毒拉!高手救命啊!？
荣剑三磷： 你好楼主 这是高危的系统漏洞了 办法是 在开机时候 点一下一键还原系统 如果没有的话 就重做系统了 很方便的 20分钟之内哦 谢谢采纳

卫东区19238489524： 电脑高手们,救命啊.我的电脑中强病毒了...？
荣剑三磷：可以这样试试! 重启按F8进入带网络连接的安全模式 先下载360系统急救箱保存到D盘! 使用360系统急救箱进行查杀 这样就查杀的比较彻底了! 然后启动360杀毒 360安全卫士的木马云查杀功能查杀清除残留 优化下系统 把不要的开机启动关掉! 清理下恶性插件 和系统垃圾!在重启一下!就可以了

卫东区19238489524： 我电脑中了严重的病毒高手救命啊....哥哥们？
荣剑三磷： 在安全模式下删除以下文件 C:\WINDOWS\Cursors\Boom.vbs C:\WINDOWS\Fonts\Fonts.exe C:\WINDOWS\Fonts\tskmgr.exe C:\WINDOWS\Help\microsoft.hlp C:\WINDOWS\Media\rndll32.pif C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com ...

卫东区19238489524： 被病毒折磨疯了,求高手救命!!!？
荣剑三磷： 我没见你提到卡巴啊!!我用的是360配合卡巴一直没中过毒..你用360打开下``里面有下载卡巴的连接``用卡巴!

卫东区19238489524： 电脑高手救命啊我中了电脑病毒？
荣剑三磷： autorun应该是u盘病毒,我现在已经不帮人远程杀毒了,你拿一个病毒样本发给我,我测试后给你解决办法吧.我的邮箱是w6w8@vip.qq.com

卫东区19238489524： 怪病折磨,请求高手解决.现金重谢. - ？
荣剑三磷： 向下牵拉感,没有外伤,那就很可能是神经受压迫造成的,找一个医生不...

卫东区19238489524： 电脑进病毒了怎么办?高手进？
荣剑三磷： 基本上可以认为是被病毒所害了. 建议,重新安装系统.当然可以做G版的系统, 为保留需要的文件.