200分~~~~logo_1.exe和rund123.exe的问题

为什么每天都会扫描到logo_1.exe和rundl123.exe~

威金蠕虫(Worm.Viking)

主要症状:
1、占用大量网速，使机器使用变得极慢。
2、会捆绑所有的EXE文件，只要一运用应用程序，在winnt/windows下的logo1.exe图标就会相应变成应用程序图标。
3、有时还会时而不时地弹出一些程序框，有时候应用程序一起动就出错，有时候起动了就被强行退出。

详细技术信息：

病毒运行后，在%Windir%生成 Logo1_.exe 同时会在windws根目录生成一个名为"virDll.dll"的文件。

%WinDir%\virDll.dll
该蠕虫会在系统注册表中生成如下键值：

[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]
"auto" = "1"

盗取密码

病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码，将游戏密码发送到该木马病毒的植入者手中。

阻止以下杀毒软件的运行

病毒试图终止包含下列进程的运行，这些多为杀毒软件的进程。 包括卡八斯基，金山公司的毒霸。瑞星等。98%的杀毒软件运行。

国产软件在中毒后都被病毒杀死，是病毒杀掉-杀毒软件。如金山，瑞星等。哪些软件可以认出病毒。但是认出后不久就阵亡了。

通过写入文本信息改变"%System%\drivers\etc\hosts" 文件。这就意味着，当受感染的计算机浏览许多站点时（包括众多反病毒站点），浏览器就会重定向到66.197.186.149。

病毒感染运行windows操作系统的计算机，并且通过开放的网络资源传播。一旦安装，蠕虫将会感染受感染计算机中的.exe文件。

网吧遭此病毒破坏造成大面积的卡机，瘫痪。危害程度可以和世界排名前十的爱情后门变种相比。该病毒可以通过网络传播，传播周期为3分钟。如果是新做的系统处于中了毒的网络环境内，只要那个机器一上网，3分钟内必定中招。中招后你安装 rising SkyNet Symantec McAfee Gate Rfw.exe RavMon.exe kill NAV 等杀毒软件 都无法补救你的系统，病毒文件 Logo1_.exe 为主体病毒，他自动生成病毒发作所需要的的 SWS32.DLL SWS.DLLL KILL.EXE 等文件。这些文件一但衍生。他将迅速感染系统内EXPLORE 等系统核心进程 及所以.exe 的可执行文件，外观典型表现症状为 传奇 ，泡泡堂，等游戏图标变色。 此时系统资源可用率极低，你每重新启动一次，病毒就会发作一次。

该病毒对于防范意识较弱，还原软件未能及时装到位的网吧十分致命，其网络传播速度十分快捷有效。旧版的杀毒软件无法检测，新版的无法彻底根杀。一但网吧内某台机器中了此病毒，那么该网吧所有未中毒的机器都处于危险状态。由于病毒发作贮留于内存。且通过EXPLORE.exe 进行传播。因此即使是装了还原精灵，还原卡的机器也同样会被感染。你重新启动后系统可以还原。但是你一但开机还是会被感染。

病毒发作会生成另外病毒 PWSteal.Lemir.Gen 和 trojan.psw.lineage 等等。都是些非常厉害的后门程序。和外挂病毒相似，但是其威力是外挂病毒的50倍以上。在WIN98平台下，该病毒威害比较小。在WIN2000 /XP/2003 平台对于网吧系统是致命的，运行系统极度卡机。你重新启动后你会发现你所有游戏的.EXE 程序全部都感染了，最新杀毒软件杀完后。除了系统可以勉强运行。其他的你也别想运行了。


病毒清理办法

如果在病毒没有发作情况下杀毒是可以完全搞定的。如果发作了也不要杀毒了。直接克盘恢复吧。

一、找到注册表中[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]
"auto" = "1"
删除DownloadWWW主键

二、找到
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot]
winlogo 项
把WINLOGO 项 后面的C:\WINNT\SWS32.DLL 删掉
接下来把[HKEY_LOCAL_MACHINE\SOFTWARE/Microsoft/Windows/CurrentVersion/Run]键中 /RunOnce/RunOnceEx 两个中其中有个是也是

C:\WINNT\SWS32.dll
把类似以上的全部删掉 注意不要删除默认的键值（删了的话后果自负）

如果没有以上键值，则直接跳过此步骤

三 结束进程

按“Ctrl+Alt+Del”键弹出任务管理器，找到logo1_.exe 等进程，结束进程，可以借助绿鹰的进程管理软件处理更方便。找到EXPL0RER.EXE进程（注意第5个字母是数字0不是字母O），找到它后选中它并点击“结束进程”以结束掉（如果EXPL0RER.EXE进程再次运行起来需要重做这一步）。

四 装杀毒软件

装完后不要重新启动（切记）直接升级病毒库，升级完后，把C:\winnt 目录下所有带毒文件删除。然后运行杀毒软件开始杀毒。杀完后。还有几个杀毒软件无法删掉的东西要把名字记下来。因为不同的系统有不同的名字。所以这里说不清楚了。自己记下来。,重新启动后再次杀毒。记的把可疑的进程的结束。否则杀毒软件无法干净杀毒。还有最重要的一点记的把杀毒软件无法清除的病毒设置为删除文件。一般要重复杀毒3-5次才能杀干净。

五 看看杀毒后的系统

缺少的了很多系统文件。系统处于危险状态。如果你有GHOST 备份。这个时候恢复一下。系统可以干净无损。如果没有请运行 SFC 命令检查文件系统。具体操作为 运行-输入CMD 命令进入DOS 提示符。-输入SFC /scannow -- 提示放入系统光盘。--放进去吧。然后慢慢等。看看成果。杀毒效果显著。毒杀干净了。但是杀完毒后很多游戏都玩不了。然后重新做系统吧。谁叫中毒的是网吧的系统

以上操作只是阻断传播，如果怕在使用中感染此病毒，您还需要按照如下操作，这样即使病毒感染，也不能运行主体病毒程序。当然这里说的操作实针对win2000系统的，其他的系统可以参考操作：

运行gpedit.msc 打开组策略依次单击用户配置- 管理模块- 系统-指定不给windows运行的程序点启用 然后 点显示 添加 logo1_.exe 也就是病毒的源文件。

推荐你看看这个帖子，EXE文件也不用重新装了，还可以把变颜色的图标恢复过来，
帖子地址：
http://www.gypin.com/bbs/dispbbs.asp?boardID=16&ID=1626&page=1

（帖子标题）威金、Worm.Viking、logo1_.exe、rundl132.exe、图标变色模糊等病毒症状及手工彻底清除方法完善版！

用咔吧一定能复原,我经常用.
其实病毒不可怕:只要做好这几点,病毒可以不在考虑之内.
1,好习惯:除非下载大文件,否则不挂机,网络能下则下.
2,好习惯:不双击盘符,永远保持警惕状态,认为盘中有自动运行的病毒,从地址栏进入盘.同时显示所有隐藏文件.
3,好习惯:当要上大量不熟悉的网页时,一定防病毒!运行和下载插件脚本时提示.
4,好习惯:记得要用GHOST.将GHOST 作为启动系统项,与WINDOWS齐名.(装一键GHOST)GHOST 时一定确认无严重病毒.
5,不要问某某病毒怎么杀,平时要装杀毒软件,即使不开也要有.经常更新,一旦发现病毒,尽快(与病毒赛跑)用杀毒软件杀,然后全盘扫描.记得不要扫描压缩文件,这是驱除病毒感染的EXE.不能防毒,只能杀,而且是非系统盘的.系统盘中毒只能还原!这个要注意,认清杀毒软件的作用.我用咔吧.
6,好习惯:重要文件用压缩格式存储,不会被感染.不随便运行EXE文件.
7,打补丁,但注意什么补丁不能打,自己搜.同时利用360经常看程序中有没有没有签名的DLL文件.
8,很关键,在WINDOWS下查看陌生文件,搜隐藏文件,系统文件,一般是病毒.尤其是SYSTEM32下隐藏的文件一定是病毒.
9,不要在知道上问*****病毒,******文件名怎么杀,现在重名的病毒太多,就是是那个病毒也不一定能告诉你.要以不变应万变.
10,关于盗版杀毒软件,经常下新的重装吧.只是脱机杀杀旧病毒而已.
11,病毒已经生成DLL文件进驻系统了(只要开一个进程就进驻),所以没有办法.进DOS下杀.
12,不要关机!除非你记住了所有病毒DLL.EXE地址了,要去DOS杀.

如果杀不掉是因为已经驻扎系统内存了.
你用360查看各进程的DLL加载情况.如果发现有那个文件,就终止进程,想一切办法不用那个进程(一般包括EXPLORER)删除文件.有些棘手,对吧?用加载文件的对话矿浏览磁盘删!不行就重起至DOS删,自己查DEL *.* /S /Q的含义.

Viking病毒一直困扰着广大用户，自06年5月被截获以来，受Viking感染的计算机一直居高不下， 该病毒集文件型病毒、 蠕虫病毒、病毒下载器于一身，传播能力强。该病毒会感染用户的exe文件，每次运行exe文件都会运行病毒文件，占用大量系统资源。目前，根据超级巡警团队统计，该病毒已出现460个变种之多。在近一年的时间内，该病毒为什么能杀之不绝？怎样检测是否中毒？发现病毒应该如何去做？本文将帮助你对该病毒进行有效的预防与查杀。
一、病毒相关分析：
病毒标签：
病毒名称：Worm.Win32.Viking
病毒别名：威金，维金
病毒类型：蠕虫
危害级别：5
感染平台：Windows 平台
病毒分析：

1、运行后的文件行为：病毒文件或被感染文件运行后，释放如下文件：%ProgramFiles%\svhost32.exe //不同的变种生成的文件会有所不同，但大多数变种会释放以上文件。
%windir%\logo1_.exe
%windir%\rundl132.exe
%windir%\dll.dll
病毒运行后会遍历各个目录，在各个目录下生成_desktop.ini文件并写入感染病毒的日期；找到exe文件并写入病毒体。被感染文件的图标会发生变化，会不如原来清晰。

2、注册表行为：添加注册表启动项键值确保重启动后被自动加载：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Windows
键名：rundl132.exe
键值："load"="%Windows%\rundl132.exe" //注意不rundll32.exe

3、其他行为：
从相应网站下载木马运行。多为盗取QQ和网游用户名和密码的木马。关闭大多数杀毒软件。尝试访问局域网内\ipc$、\admin$共享感染其它计算机上的exe文件。

二、维金为什么难以彻底清除
因为病毒会感染exe文件，如果仅仅删除了内存中的病毒文件，不对已感染的文件进行修复的话，当用户运行已感染文件的时候，病毒就会立即发作，重新感染exe文件。那么保证系统内没有被感染的文件，就能高枕无忧了吗？ 当然不能了。
因为病毒会访问局域网上的共享目录和有弱口令的机器，从而传播病毒。所以你有共享目录或存在弱口令的话， 而你所在的局域网又有被感染的机器，viking就又回来了。该病毒还会停止大多数的杀毒软件，使用户得不到危险提示，从而延长了病毒存活和传播的时间。

三、怎样辨别是否已感染了维金病毒
如果你的图标有一部分变的模糊了，你可能已经中了viking了。这时，杀毒软件莫名其妙的不工作了， 很多文件夹下
都出现了_desktop.ini文件。
进程中出现Logo_1.exe,rundl132.exe。 这一切表明你已经中了viking或它的变种了， 你的机器的反应速度会越来越慢。如果你在局域网中的话，你周围的机器也有可能会出现与你相似的情况。 这时，杀毒是你唯一的出路。

四、如何恢复已被感染的文件
如果你是个人用户，并没有过修复被病毒感染的文件，那么建议你不要进行手工修复， 只要下载超级巡警或超级巡警提供的专杀，轻松几下点击，你的系统就会完好如初了。对于高级用户，你可以手工修复受损文件，然后用超级巡警对系统进行全面扫描，确保彻底清理。

五、对于预防病毒的建议
打开杀毒软件的实时监控还是必要的。不要随意共享可写的本机目录，共享时要加上密码。要确保机器上不存在含有弱口令的帐号。要及时升级系统及杀毒软件。新拷贝的文件，尤其是exe文件，要进行查毒。
ghost重做后用卡巴，或者瑞星对非系统盘进行扫描（期间就不要再点这些中病毒的文件了，系统盘中这毒实在就没办法了，有几个系统文件感染实在太麻烦了），正常清除病毒即可（一般就EXE文件感染，可以只对这种文件查杀，这样正常使用就没问题了，其余的等有空再说）nod32不能正常清除病毒。

我就试过这三种杀毒软件。
回答者：guzuoyi - 秀才 二级 8-3 19:51

删除不了文件可以用工具强制删除，比如冰刃。

worm.viking是个恶性蠕虫病毒，及文件感染、木马下载器于一身。
事实上，worm.viking是以木马下载为主要目的，文件感染只是它的自我保护手段。
中了worm.viking，一般的办法是格式化c盘后重装系统，然后下载专杀清理其他盘里的病毒。
但如果c盘中有重要信息，不能格式化；或者出现了新变种，专杀无能为力，那又该怎么办呢？
⒈打开我的电脑——》工具——》文件夹选项——》查看。
⒉取消“隐藏受保护的系统文件（推荐）”前的√。
⒊在“隐藏文件和文件夹”下选择“显示所有文件和文件夹”并点击确定。
⒋在c:\autoexec.bat（若没有则创建）下添加以下代码：
rem 代码从这里开始
@echo off
cd\
cd %windir%
attrib -s -h -r dll.dll & del dll.dll
attrib -s -h -r ?dll.dll & del ?dll.dll
attrib -s -h -r logo??.exe & del logo??.exe
attrib -s -h -r cmd.exe & del cmd.exe
attrib -s -h -r rundl*.exe & del rundl*.exe
md dll.dll
md vdll.dll
md logo_1.exe
md logo1_.exe
md cmd exe
md rundl132.exe
cd dll.dll
md a..\
cd..
cd vdll.dll
md a..\
cd..
cd logo_1.exe
md a..\
cd..
cd logo1_.exe
md a..\
cd..
cd cmd.exe
md a..\
cd..
cd rundl132.exe
md a..\
cd..
rem 代码从这里结束
⒌重启
至此，worm.viking已被成功抑制。虽然电脑中仍有worm.viking的影子，但它再也无力发飙了。

下载个威金专杀，首先把备份恢复过来

然后进入安全模式，右键打开我的电脑，用威金专杀杀一下，
然后找个注册表恢复的工具，
如果找不到专杀的话
就打开C：/WINDOWS文件夹内有logo_1.exe和rund123.exe的安装文件

删除掉 就可以了 其他的EXE文件 必须要用专杀 杀过之后才可以继续使用

其实很简单，就是如下：

用卡巴杀，但杀病毒时选择清除，不要删除。否则就同归于尽了。杀完后，下载360。使用360网下载专杀。之后在删掉其他磁盘软件。
最后扫描系统软件，这时注册码也会很多病毒，使用删除。
等到最后，再重启。安完卡巴切记不要马上重启，否则卡巴也被传染上了

---

和林格尔县17736337174： 2019天津外地车辆限行规定 ？
霜怖力深： 一、自2018年4月9日起,工作日(因法定节假日放假调休而调整为上班的星期六、... 将处以200元罚款;2、对于违反禁令标志指示的,处以100元罚款记3分处罚;3、对于...

和林格尔县17736337174： Java 赛车小游戏 - ？
霜怖力深： 主要思想如下:将画布分成N*N的格子,格子有填充和非填充两种状态.绘制小车时,就将那几个格子填充颜色.绘制公路,即在左右两侧交替填充方格,且每次下移一格,来模拟移动效果.参考代码:...

和林格尔县17736337174： 精于LOGO制作进!!高分求助!!事成再追加200分!!？
霜怖力深： 这个做不到,一个图片5K是可以的,但是你的是属于动画,贞节太多,制作完毕大于1M 可以到 55.la 900.la chinaz.com

和林格尔县17736337174： 单位系统中了LOGO1 - .EXE/RUNDL132怎么办? - ？
霜怖力深： 这个是威金蠕虫病毒的典型特征建议你到江民、瑞星的网站上去下载这个病毒的专杀工具查杀一下这些电脑.

和林格尔县17736337174： 如何在EXCEL工作表标签里输入分数的特殊符号?在线等 - ？
霜怖力深： 楼主,我明白您的意思.寻找½、¼、¾的常规输入方法,以便用单个分数符号(½)替代分数文字(1/2). 这个问题本人曾经研究过很长一段时间,而得到的答案是,在excel 2003中只有½、¼、¾能以单个分数符号表示,而其他分数无法...

和林格尔县17736337174： 1/(1+ex)的不定积分怎么算？
霜怖力深： ∫e^x/(1+e^x) dx=∫1/(1+e^x) dex=∫1/(1+e^x) d(e^x+1)=ln(e^x+1)+C C为任意实数 扩展资料 不定积分是在微积分中,一个函数f的不定积分,或原函数,或反导数,是一个导数等于f的函数F,即F′=f.不定积分和定积分间的关系由微积分基本定理确...

和林格尔县17736337174： (200分)qq音乐的图标怎么点亮. - ？
霜怖力深： 连续5天,每天登陆一下就行,若连续15天没登陆,自动就又灭了

和林格尔县17736337174： 我家电脑有盗号木马 是Logo1.exe还有一个是RichDll.dll怎么永久撤除?？
霜怖力深： 其实楼上说的或许是一种方法..我也刚见识了.【McAfee规则杀毒防毒法】 不过我的方法就简单的多..就是安装一个可以更新的杀毒软件..和一个360安全卫士.. 盗号的可以用杀毒的删除..如果连个病毒都不是系统文件..可以用360卫士..在高级里面用强制删除.. 下面还有两个选项..记得都打勾了.

和林格尔县17736337174： 20分 F VVS1 EX EX EX 微弱荧光 GIA国际证书 pt9502.2克.大概多少钱啊?谢谢 - ？
霜怖力深： 颜色 净度 切工 包括证书以及戒托都是不错的,虽说微弱荧光,但是20分的基本不影响价位,唯一缺憾就是钻石较小 大约市场定价在9000左右,最终的售价大约在8000左右 如满意望采纳

和林格尔县17736337174： 电器设备外壳的明显处有清晰的永久性凸纹标志＂EX＂表示什么? - ？
霜怖力深： 防爆声明 ,Ex 符合某种防爆标准,我国的国家标准.