瑞星卡卡安全论坛

首先申明：
１、我是瑞星的正版、网络版用户；
２、我的服务器在国庆期间和外网一直连通，更新病毒也显示，病毒库是最新更新的。
３、客户端的防火墙是自启动的，操作人员不懂如何关闭。
诊状：
１０月７日，我值班，发现值班室里防火墙（绿雨伞）不见了，感觉情况不秒，到机房看服务器，该客户端标记为绿雨伞，正常。
回客户端，上外网，不通，连内通，不通，感觉就是完了。
按Ctrl+Alt+Del，发现多了很多进程，包括Rundl132.exe和Logo_1.exe，由于先前没接触过威金病毒，所以知道自己中了毒，但迷信瑞星的能力，所以觉得是普通的毒，也没太在意。
10月8日，正式上班后，先后是４台机器汇报不正常（估计还有很多另外机器也感染上了），此时，几台机器的瑞星实时监控都已自动关闭，但服务器端显示一切正常。
在IP地址方面，如果设置的是自动获取IP地址，则分配不到，网卡用默认IP地址；如果指定了IP地址，可以防问内网，外网和内网应用程序刚不能，Ping内网能Ping通，Ping外网的网关（数字段表示）也能，Ping外网的地址（字母段表示），则不通。

下面是大家最有兴趣的。
１、从网上紧急求助，卡卡社区里有人说Qrundl132.exe有效，于是下载了一个，４台机器上全杀了，奇怪的是，一台机器确实恢复正常了，另三台机器刚反复发作，不能杀干净。
２、从网上下载了很多威金专杀工具，Qrundl132.exe上面说了，金山专杀工具能查出毒，但不能清光，瑞星专杀工具最令人杀望，什么毒都没查出来。除了用Qrundl132.exe恢复正常的，另三台还瘫着。
３、想想以前的经验，对其中一台机器格了C盘，系统重装。装好系统后，装瑞星并更新到最新的病毒库。不一会，病毒再发作，而用了最新病毒库的瑞星监控没反应。按情况分析，要全盘格了，于是对其中一台电脑从低格做起，全部重装。
４、再向朋友求助，朋友告诉我，用麦卡菲和诺顿最新病毒库能杀出来。
５、上网下载了麦卡菲和最新病毒库，按装在未低格过的二台机器上，正常模式启动，用麦卡菲杀毒，一台机器杀守毒启动后，恢复正常。另一台既便转到安全模式下杀完毒后还是不上内外网。
６、低格后重装系统的机器完成，用麦卡菲杀不光的机器，也只能做个GHOST去恢复了。

结论：
１、这次的威金确实厉害，躲过了大多数病毒防护软件。
2、病毒会自动破坏Windiws自动更新和IPSEC服务，使机器不能自动分配到IP地址，即使指定了，由于IPSEC服务停止，也不能有效防问内外网。
３、麦卡菲于9月３０日就做出了更新，能查出并杀掉该病毒，而瑞星和金山则令人失望（后来我从染毒机器备份数据时发现，瑞星能查出该病毒，只是对已感染该病毒的机器则一点反应都没有）。据说诺顿也行，我还没来得及试。至少，瑞星至今还没有一个完整的解决方案。
４、唉，使用瑞星４年了，这次真的让人失望。
５、总结一下处理办法：
一、用Qrundl132.exe清一下，清得掉就万事大吉；
二、用麦卡菲９月３０日病毒库杀，杀光了也万事大吉；
三、格掉C盘，再用麦卡菲９月３０日病毒库杀，杀光了也万事大吉,只是很多软件得重装了。
四、不用讲，上面３个步骤清不掉，那恭喜你中奖了，和我一样，最好从低格做起。

有问题，请跟贴，也欢迎提出更好的解决办法.

好像没人顶，是大家都解决了还是忙着解决去了还是都没碰到过这个病毒？

我是不觉得瑞星那不对了..

威金 所有杀软都是那样..

要么直接删除文件 要么 清除 俩种.. 即使清除了 也有可能无法使用..

我的机子也中了呀，没有人理我，我把瑞星升级了，在安全模式底下杀，现在好像没有了呀！是不是得恭喜我哟！哈哈

该用户帖子内容已被屏蔽

二樓的是版主大人，心裏怕怕哦。
不是說瑞星有哪不是，是說瑞星對病毒好像遲純很多，人家麥卡菲9月30日的病毒庫就能殺出來，瑞星到10月7日還顯示正常（剛才忘了說了，感染的4台機器中，只有一台小雨傘被自動關了，另外三台一切正常，只是用Ctrl+Alt+Del看，多幾個病毒進程，才發現的）。

路过

前几天碰巧在朋友机器上发现了Worm.Viking，2台路由连接的机器，杀软、防火墙都未装。
进程中有rundl132.exe与logo_1.exe、vpcrm.exe
各分区生成_desktop.exe、sxs.exe

由于未装杀软，开始也不知道是这个WORM，杀杀反复；断网、使用瑞星Worm.Viking专杀，Windows Update,搞定。

有些病毒杀不掉
知道手动杀毒了

不过还是把东西都做好备份了好
再好的杀毒也没有病毒出来的快

偶记得威金前几年是叫维京的，Viking就是该翻译成维京的。Viking就是古代欧洲的挪威维京海盗。

偶米发觉哪个杀软能干掉Viking及其变种的.

你的中了不只是一个毒..安全模式下杀.启动项修复.
杀毒后不能上网的问题用超级兔子里面有个WINSOCK2修复的.
重启就OK了.

现在我们的网内也是全是这个毒.太烦了.

我前2天也中拉威金(貌似最近比较流行)~~
Worm.Viking.dn 症状和楼主差不多~
但是用瑞星根本查不到~`
于是我在诺盾的在线查毒查到有16个EXE被感染(瑞星幸免)~~
昨天更新拉18.48.02版之后~
就能杀拉~~
而且和诺盾在线查毒扫到的文件是一样的~
也是那16个~~~
连文件都完整的保留下来拉~~
一个都没删~~
现在还没发现复发~


所以~~
威金并不是不能杀~~
只不过可能楼主中的不在病毒库~

如果楼主的瑞星没被感染的话~
我建议采取常规的手动查杀~~
等待瑞星更新病毒库~``
配合超级兔子清理王~
发现恶意软件(logo1 mofile等)就删~~~
这样兔子可以帮你删除c;\windows目录中的logo1_.exe和rundl132.exe等病毒文件~
并且记得恢复注册表(删除load中的C:\WINDOWS\rundl132.exe)
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]<load><C:\WINDOWS\rundl132.exe
至于_deskdop.ini可以用del c:\_desktop.ini /f/s/q/a批处理命令在命令提示符下逐盘删除(把c改成其他盘符)
还要建议你去诺盾或卡巴的在线查毒扫一遍~~
扫到拉的话~~
记住被感染的文件以及路径~~
千万不要运行这些文件~
一旦运行拉又要重复以上步骤~
这样做基本可以保证病毒处于潜伏状态~~~
还要提醒楼主~~
这期间尽量避免连接网络~
连拉局域网的话也要断开~
避免感染其他机器~

我公司的很多内网机器也感染了rundl132.exe和logo_1.exe，它的传染能力很强，所有的硬盘盘符的文件里有它存在，用瑞星查出是worm.viking.dr，我用瑞星2007可以杀干净，关闭了启动项的rundl132.exe和explor里的启动项目就无事了，这个病毒感染速度很快，所有的盘符里都有它存在。