求救威金病毒的完美解决方案。
病毒类型:NetWorm网络蠕虫
病毒名称:Worm.Viking(瑞星), Worm.Win32.Viking.aa, bb(卡巴斯基), w32.Looked.p(诺顿);
统称威金。如下资料转载自水木社区!!
1、手动清除
发信人: ILOVEAPPLE(大海),信区: Virus
标题: Re:有没有中过viking维金的,请问卡巴6对此有效否?
发信站:水木社区(Sat Sep 23 15:33:43 2006),站内
可以这样:
先删除dll.dll(删除方法见置底)、log_1.exe、rundl123.exe等文件,或在安全模式下清除。
主要是dll.dll,这个文件会让windows的explorer.exe调用(这个传播方法较历害)。
然后根据病毒感染exe的特征,你可以用搜索查找所有的的*.exe文件,然后浏览一下文件,利用卡巴实时检测功能把查毒,清除(也可设置卡巴查杀配置,不过好几个选项,。。。);最后执行如下命令清除病毒遗留文件:
如下命令可以全选用记事本保存成一个 killViking.bat文件。
也可以一条一条的手动输入,开始菜单运行输入CMD回车,然后执行下面的每一条,按回车执行。
带echo, pause的可以忽略。
echo off
del%Windir%\ MH_FILE\ MH_DLL.dll
del%Windir%\MickNew\MickNew.dll
del%Windir%\TODAYZTKING\TODAYZTKING.DLL
del%Windir%\1.txt
del%Windir%\0Sy.exe
del%Windir%\1Sy.exe
del%Windir%\2Sy.exe
del%Windir%\rundl132.exe
del%Windir%\vDll.dll
del%Windir%\Dll.dll
del%Windir%\log_1.exe
del%Windir%\rundl123.exe
echo正在清除_desktop.ini文件,请稍等......
del c:\_desktop.ini/f/s/q/a
del d:\_desktop.ini/f/s/q/a
del e:\_desktop.ini/f/s/q/a
echo清除完毕!
pause
2、发信人: itrose(说不清楚),信区: Virus
标题: viking威金dll.dll变种暂时解决方案
发信站:水木社区(Tue Sep 12 18:59:31 2006),站内
威金某变种,病毒文件:
c:\windows\rundl132.exe
c:\windows\dll.dll
在该文件夹下还可能有realplayer.exe excel.exe qq.exe等并不该出现的文件
此变种尚无专杀,我摸索出一种方法,目前看有效,请大家参考.
卸载WINRAR,QQ,OFFICE,realplayer等知名软件,安全模式下删除上面提到的病毒文件.
3、被威金感染后的应用程序,一般都需要重装了。
4、总结
发信人: sihecun(如果有来生),信区: Virus
标题: Worm.Viking变种疯狂席卷国内互联网
发信站:水木社区(Thu Jun 8 22:39:08 2006),站内
附件是瑞星的专杀(20060606)
国内老牌的感染型蠕虫Worm.Viking变种正在国内快速传播中,金山、瑞星等国内反病毒厂商都对变种做了应急处理,小陌提醒广大国内用户紧快升级手中的杀毒软件来防范此家族的变种。
Viking家族的变种会感染pe文件,给中招用户带来不小麻烦,同时还具有网络感染、下载网络木马等其他功能。中招用户的典型特征为电脑中出现logo_1.exe、rundl132.exe文件。
同时该家族的Worm.Viking.i(瑞星Worm.Viking.bp)变种还通过qq尾巴传播,qq尾巴的形式:
h**p://www.qq.search_2.shtml.cgi-client-entry.photo.39pic/qq%E5%83%8F%E5%86%8C2/
以下是金山的报告:
金山:Worm.Viking.m
病毒分析
病毒被激活后,释放以下文件:
%SystemRoot%\rundl132.exe
%SystemRoot%\logo_1.exe
病毒目录\vdll.dll
添加以下启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="%SystemRoot%\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="%SystemRoot%\rundl132.exe"
感染所有分区下大小27KB-10MB的可执行文件(但不感染系统文件夹和programe files文件夹下的文件),并在被感染的文件夹中生成_desktop.ini。文件如果发现这个东西的话,恭喜恭喜,估计十有八九已遭遇不幸了,并且感染后会造成一些网友说的“EXE文件图标花了”
通过不安全的共享网络传播,网络可用时,枚举内网所有共享主机,并尝试用弱口令连接\IPC$、\admin$等共享目录,连接成功后进行网络感染。
结束一些国内的反病毒软件进程,如毒霸,瑞星,木马客星等。
vdll.dll注入Explorer或者Iexplore进程,当外网可用时,下载其他木马程序(如前段时间比较BT的红底黑色龙头图案的WINLOGON)。
将拿到的几个样本文件看了下,其中rundl132.exe为病毒文件,VThunder为感染后的文件,Thunder为原文件。
winhex将这3个文件打开,发现感染方式为“头寄生”,VThunder文件头被插入了rundl132的代码。
rundl132.exe
VThunder.exe
Thunder.exe
offset删除至00069E6后另存为,即可还原到原来的thunder了。
在这里提醒大家,对这个病毒防范胜于查杀。目前,包括毒霸在内的部分杀软可以较好的处理感染后的EXE文件,但部分杀软采取的方法却是直接删除(如卡巴斯基),这可不是件好事。因此,小空建议你,及时升级你的杀软,并打开实时监控;安装一款防火墙;关闭不必要的网络共享;通过在线更新等给系统打好补丁;给管理员帐户加上足够强壮的密码;对于来历不名的文件不要随意运行。
※来源:·水木社区 newsmth.net·[FROM: 221.221.27.*]
5、其他专杀
(1)瑞星的提取工具
(2)金山毒霸的专杀
(3)强烈推荐的专杀 by nslog
流行感染EXE文件清除提取修复工具(威金、千橡等)
即.exe执行的时候生成一个同名的xxx~.exe,可以完美修复所有.exe可执行文件版本更新为1.6
下载地址:
目前版本: v1.6
使用办法:选择目录或者文件夹扫描便可。没有什么好说的。
威金病毒专杀工具
面对威金病毒的困扰,瑞星升级至最新版可以清除,但建议先手动删除病毒文件,然后进行全面扫描。对于变种病毒可能抑制主流杀毒软件启动的情况,民间版CHENOE Anti-Virus Tools(魏滔序版本)是一个推荐选择。这款不到一兆的软件在系统运行缓慢时也能轻松运行,特别适合受病毒感染的用户。
维金病毒的活跃度持续上升,我们重新编写的专杀工具加入了最新的病毒特征码。如果你的电脑被感染,可下载使用该工具,它的功能包括清除exe中的病毒并还原文件,区别于网上直接删除exe的多数工具,它还具备Viking免疫功能。只需直接运行,若遇到无法关闭的进程,重启电脑后再继续查杀通常能解决问题,直到病毒数量为0。
如果遇到_desktop.ini文件的生成问题,一个批处理命令能帮助你快速清除,如del d:\_desktop.ini/f/s/q/a。这个命令能强制删除所有目录下的_desktop.ini文件,避免手动操作的繁琐。在查杀Viking病毒后,使用此命令可清理系统残留的_desktop.ini文件。
通过开始菜单进入命令提示符,按照上述步骤操作,先删除D盘的_desktop.ini,然后扩展到其他盘符。完成这些步骤后,你的计算机应已完全消除威金病毒的影响。如果你觉得这些信息有用,不妨试试看。
扩展资料
近期有一个名为“威金蠕虫变种DR(Worm.Viking.dr)”的病毒正在互联网上肆虐。该病毒集文件型病毒、蠕虫病毒、病毒下载器于一身,传播能力非常强。该病毒会破坏用户的一些软件,造成它们无法使用。“威金蠕虫”是一个能在WIN9X/NT/2000/XP系统上运行的蠕虫病毒,通过感染文件、局域网以及其他病毒下载传播。该病毒还会自动在后台下载并运行“QQ通行证”等其他病毒,窃取用户QQ及网络游戏的账号和密码并发送给黑客。由于该病毒在编写上存在一些问题,可造成一些用户的软件被破坏,无法使用。
