瑞星卡卡安全论坛

我用的是专杀呀！
我下载了瑞星的专杀，却连威金的影子都没有发现！
用江民好歹还发现了，可惜都杀不干净！
正所谓：野火烧不尽，春风吹又生 呀！

楼主和我一样吧.中了威金最新的..害惨了.威金专杀也没用.

我下去了，要睡觉了！下线杀毒！
谢谢你的指导！
祝愿用symantec 10.0明天早晨可以彻底搞定！

31楼的兄弟，你搞定了没有？

扫描类型：  手动 扫描
事件：  发现安全风险！
威胁：Infostealer.Lineage
文件：  C:\WINDOWS\system32\dllwm.dll
位置：  隔离
计算机：  CD-2800
用户：  CD-2800\xiaenyu
采用的操作：  隔离 成功
发现的日期： 2002年1月1日  2:34:50

引用:

【情绪点子的贴子】扫描类型：  手动 扫描 事件：  发现安全风险！ 威胁：Infostealer.Lineage 文件：  C:\WINDOWS\system32\dllwm.dll 位置：  隔离 计算机：  CD-2800 用户：  CD-2800\xiaenyu 采用的操作：  隔离 成功 发现的日期： 2002年1月1日  2:34:50 ………………

就一个吗？SYSTEM32里是有几个跟DLL.DLL相似的文件

扫描类型：  手动 扫描
事件：  发现安全风险！
威胁：W32.Looked.AH
文件：  D:\3-实用软件大全\Adobe Acrobat 6.0\Adobe Acrobat 6.0\Adobe Reader 6.0\Asian Language Files\Korean\alf_kor.exe
位置：  隔离
计算机：  CD-2800
用户：  CD-2800\xiaenyu
采用的操作：  隔离 成功
发现的日期： 2002年1月1日  2:43:58

引用:

【情绪点子的贴子】扫描类型：  手动 扫描 事件：  发现安全风险！ 威胁：W32.Looked.AH 文件：  D:\3-实用软件大全\Adobe Acrobat 6.0\Adobe Acrobat 6.0\Adobe Reader 6.0\Asian Language Files\Korean\alf_kor.exe 位置：  隔离 计算机：  CD-2800 用户：  CD-2800\xiaenyu 采用的操作：  隔离 成功 发现的日期： 2002年1月1日  2:43:58 ………………

这就是被威金感染的文件了，但是你的程序就用不了，只需重新安装程序就可以。保证杀完之后不会感染

还没呢...威金专杀试过.瑞星也试过了.实在杀不动.手动杀根本不可能.

引用:

【apyss的贴子】还没呢...威金专杀试过.瑞星也试过了.实在杀不动.手动杀根本不可能. ………………

专杀不一定有用

有这么恐怖吗 我单位也有几个电脑中了，我都用瑞星杀了呀，到现在都好好的

专杀是一点用都没有的

引用:

【終生學習的贴子】 没办法了，对感染病毒文件杀软都对付不了，就只有重新分区来解决了。诺吨是可以解决威金病毒的，为什么你就解决不了呢？你装的是什么版本啊？我是用10.0版本而且要升级病毒库啊。还有麦克菲都是可以解决的，无论你用那个杀软总之对于所有.EXE文件被感染都是要删除的，没办法修复了，_desktop.ini其实是没有发作危机，只是他是病毒所产生的，麦克菲就发现他就删除掉，这个不会感染病毒的，就是LOGO1_.EXE和rundl132.exe才是病毒的源头 ………………

 
估计你是没用过瑞星吧，我杀完了，exe文件恢复得好好的

我 的机子前几天也是中这种病毒了,后来我用那个瑞星的专杀工具 和用批处理文件把_desktop.ini给杀一片,现在我用江明在查,查不到了,但是有出来个TROJAN/PWS.LMIR.BQE,
我都郁闷的要死,还有杀毒过后,我现在网又上不上去了,还有个EXE程序也用不了,不知道是什么回事啊

楼主弄好了么？？？我是23号早上10点多中的这个病毒！！被折磨了两天，我白天弄，我朋友晚上弄。整整两天两夜啊。还是没搞定，机子重装了5遍。实在是没办法了。机子里面有我很重要的文件啊。今天早上把心一横全盘格式化，再重新分区。心痛！！！心想这下应该好了。谁知道一重起机子。还是在D盘和E盘发现了这东西。。。绝望了。

我昨晚上用用江民专杀配合重庆网维ViKing染毒文件清理工具杀毒，安全模式下，把c\d\e\f\g盘杀了2遍，然后用symantec10.0升级到最新数据库（10.24）全面扫描杀毒一边。然后PartitionMagic8_dos下把c盘格式化了。安装了xpsp2，到目前为止，好像没看见病毒再发作了！

每个盘的根目录都有这个，删了就行了

引用:

【終生學習的贴子】 诺吨时有防火墙吗？是跟诺吨9一样的啊只有一个像笔一样的监控啊，你装的是套装吧？不要装套装就行了 ………………

兄弟，发给没有防火墙的Symantec10.0给我吧，发到网上，我下载也行

引用:

【情绪点子的贴子】 兄弟，发给没有防火墙的Symantec10.0给我吧，发到网上，我下载也行 ………………

晕  你昨天网上不是用诺吨10.0来杀毒的吗？

.exe关联修复办法
方法一:
当计算机中了某些关联EXE文件的木马后，杀毒软件将木马清除后，将会出现系统所有的EXE文件无法打开的现象。此时下载本程序，将后缀名改为COM,运行即可。

方法二:
手工修改方法:
打开注册表编辑器把HKEY_CLASSES_ROOT\exefile\shell\open\command里的叫默认值的键值改为"%1" %*
把系统目录下regedit.exe文件复制出来,将后缀名改成.com,运行就可以使用注册表了.

方法三:
如果使用此程序还无法解决,请试用以下方法:
进入控制面版的文件夹选项,选择文件类型,再添加文件类型
.exe,再选高级,选择打开方式为 应用程序 注意可选择打开方式太多,要慢慢地找才能找到应用程序

方法四:
开始>运行 输入assoc .exe=exefile 按回车

工具下载：http://www.pxue.com/attachments/month_0505/PXue_2005529221526_4088.com

用WINDOWS清理助手和冰刃查杀,这2个软件都是查杀系统文件的比较管用.杀完后再用其他工具清理现场.

Worm.Viking.m(威金蠕虫病毒)详细介绍


该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒，病毒运行后将自身伪装成系统正常文件，以迷惑用户，通过修改注册表项使病毒开机时可以自动运行，同时病毒通过线程注入技术绕过防火墙的监视，连接到病毒作者指定的网站下载特定的木马或其它病毒，同时病毒运行后枚举内网的所有可用共享，并尝试通过弱口令方式连接感染目标计算机。
运行过程过感染用户机器上的可执行文件，造成用户机器运行速度变慢，破坏用户机器的可执行文件，给用户安全性构成危害。
病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。

1、病毒运行后将自身复制到Windows文件夹下,文件名为:
　　%SystemRoot%\rundl132.exe

2、运行被感染的文件后，病毒将病毒体复制到为以下文件:
%SystemRoot%\logo_1.exe

3、同时病毒会在病毒文件夹下生成:
病毒目录\vdll.dll

4、病毒从Z盘开始向前搜索所有可用分区中的exe文件，然后感染所有大小27kb-10mb的可执行文件，感染完毕在被感染的文件夹中生成:
_desktop.ini (文件属性:系统、隐藏。)

5、病毒会尝试修改%SysRoot%\system32\drivers\etc\hosts文件。

6、病毒通过添加如下注册表项实现病毒开机自动运行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\rundl132.exe"

7、病毒运行时尝试查找窗体名为:"RavMonClass"的程序，查找到窗体后发送消息关闭该程序。

8、枚举以下杀毒软件进程名，查找到后终止其进程:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe

9、同时病毒尝试利用以下命令终止相关杀病毒软件：
net stop "Kingsoft AntiVirus Service"


10、发送ICMP探测数据"Hello,World"，判断网络状态，网络可用时，
枚举内网所有共享主机，并尝试用弱口令连接\\IPC$、\admin$等共享目录，连接成功后进行网络感染。

11、感染用户机器上的exe文件，但不感染以下文件夹中的文件:
system
system32
windows
Documents and settings
system Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone

12、枚举系统进程，尝试将病毒dll(vdll.dll)选择性注入以下进程名对应的进程:
Explorer
Iexplore
找到符合条件的进程后随机注入以上两个进程中的其中一个。

13、当外网可用时，被注入的dll文件尝试连接以下网站下载并运行相关程序:
http://www.17**.com/gua/zt.txt 保存为:c:\1.txt
http://www.17**.com/gua/wow.txt 保存为:c:\1.txt
http://www.17**.com/gua/mx.txt 保存为:c:\1.txt

http://www.17**.com/gua/zt.exe 保存为:%SystemRoot%\0Sy.exe
http://www.17**.com/gua/wow.exe 保存为:%SystemRoot%\1Sy.exe
http://www.17**.com/gua/mx.exe 保存为:%SystemRoot%\2Sy.exe
注：三个程序都为木马程序

14、病毒会将下载后的"1.txt"的内容添加到以下相关注册表项：


[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]
"ver_down0"="[boot loader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++"
"ver_down1"="[boot loader]
timeout=30
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" ////"
"ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" /////"

金山专杀工具:
http://db.kingsoft.com/download/3/246.shtml
瑞星专杀工具:
http://it.rising.com.cn/Channels/Service/2006-07/1153119832d22607.shtml

引用:

【情绪点子的贴子】.exe关联修复办法 方法一: 当计算机中了某些关联EXE文件的木马后，杀毒软件将木马清除后，将会出现系统所有的EXE文件无法打开的现象。此时下载本程序，将后缀名改为COM,运行即可。 方法二: 手工修改方法: 打开注册表编辑器把HKEY_CLASSES_ROOT\exefile\shell\open\command里的叫默认值的键值改为"%1" %* 把系统目录下regedit.exe文件复制出来,将后缀名改成.com,运行就可以使用注册表了. 方法三: 如果使用此程序还无法解决,请试用以下方法: 进入控制面版的文件夹选项,选择文件类型,再添加文件类型 .exe,再选高级,选择打开方式为 应用程序 注意可选择打开方式太多,要慢慢地找才能找到应用程序 方法四: 开始>运行 输入assoc .exe=exefile 按回车 工具下载：http://www.pxue.com/attachments/month_0505/PXue_2005529221526_4088.com ………………

晕哦 都什么和什么哦 中了威金后被感染的EXE文件 杀毒后都被破坏了 不是关联的问题。。。

我好奇怪哦 请问LZ的重要文件难道都是EXE文件？你都挪到移动硬盘上去
然后把完整的 彻底的把机器搞一便
最后 把资料挪回去不就德了？
你不运行被威金感染的EXE文件 他不会发作的呀 寒记

我的重要文件都是些word文档！

但我保留了一些常用的软件的安装包，实在不行，这个倒可以舍弃！

“你不运行被威金感染的EXE文件 他不会发作的呀”这是真的吗？

简单的三个步骤专杀logo1_.exe病毒


关于 Logo1_.exe
基本介绍
病毒名称 Worm@W32.Looked (中文:威金)
病毒别名 Virus.Win32.Delf.62976 [Kaspersky], W32/HLLP.Philis.j [McAfee],W32.Looked [symantec] 
Net-Worm.Win32.Zorin.a
病毒型态 Worm (网络蠕虫)
病毒发现日期 2004/12/20
影响平台 Windows 95/98/ME , Windows NT/2000/XP/2003
风险评估
散播程度：中
破坏程度：中

主要症状:
1、占用大量网速，使机器使用变得极慢。
2、会捆绑所有的EXE文件，只要一运用应用程序，在winnt下的logo1.exe图标就会相应变成应用程序图标。
3、有时还会时而不时地弹出一些程序框，有时候应用程序一起动就出错，有时候起动了就被强行退出。
4、网吧中只感梁win2k pro版，server版及XP系统都不感染。
5、能绕过所有的还原软件。
   
    详细技术信息： 
病毒运行后，在%Windir%生成  Logo1_.exe  同时会在windws根目录生成一个名为"virDll.dll"的文件。%WinDir%\virDll.dll

该蠕虫会在系统注册表中生成如下键值：
[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]"auto" = "1"
  　
盗取密码
　　病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码，将游戏密码发送到该木马病毒的植入者手中。
　　
阻止以下杀毒软件的运行
　　病毒试图终止包含下列进程的运行，这些多为杀毒软件的进程。 包括卡巴斯基，金山公司的毒霸 ,瑞星等98%的杀毒软件运行。
  国产软件在中毒后都被病毒杀死，是病毒杀掉-杀毒软件。如金山，瑞星等。哪些软件可以认出病毒。但是认出后不久就阵亡了。

通过写入文本信息改变"%System%\drivers\etc\hosts" 文件。这就意味着，当受感染的计算机浏览许多站点时
（包括众多反病毒站点），浏览器就会重定向到66.197.186.149。

病毒感染运行windows操作系统的计算机，并且通过开放的网络资源传播。一旦安装，蠕虫将会感染受感染计算机中的.exe文件。
该蠕虫是一个大小为82K的Windows PE可执行文件。
通过本地网络传播该蠕虫会将自己复制到下面网络资源：
ADMIN$;
IPC$;

症状
蠕虫会感染所有.exe的文件。但是，它不会感染路径中包含下列字符串的文件：
                  \Program Files
                  Common Files
                  ComPlus Applications
                  Documents and Settings
                  NetMeeting
                  Outlook Express
                  Recycled
                  system
                  System Volume Information
                  system32
                  windows
                  Windows Media Player
                  Windows NT
                  WindowsUpdate
                  winnt
蠕虫会从内存中删除下面列出的进程：
                  EGHOST.EXE
                  IPARMOR.EXE
                  KAVPFW.EXE
                  KWatchUI.EXE
                  MAILMON.EXE
                  Ravmon.exe
                  ZoneAlarm
遭此病毒破坏造成大面积的卡机，瘫痪。危害程度可以和世界排名前十的爱情后门变种相比。该病毒可以通过网络传播，传播周期为3分钟。如果是新做的系统处于中了毒的网络环境内，只要那个机器一上网，3分钟内必定中招。中招后你安装　rising SkyNet Symantec McAfee Gate Rfw.exe RavMon.exe 　kill  NAV 等杀毒软件 都无法补救你的系统，病毒文件 Logo1_.exe 为主体病毒，他自动生成病毒发作所需要的的 SWS32.DLL SWS.DLLL KILL.EXE 等文件。这些文件一但衍生。他将迅速感染系统内EXPLORE  等系统核心进程 及所以.exe  的可执行文件，外观典型表现症状为 传奇 ，泡泡堂，等游戏图标变色。 此时系统资源可用率极低，你每重新启动一次，病毒就会发作一次。
  该病毒对于防范意识较弱，还原软件未能及时装到位的网吧十分致命，其网络传播速度十分快捷有效。旧版的杀毒软件无法检测，新版的无法彻底根杀。一但网吧内某台机器中了此病毒，那么该网吧所有未中毒的机器都处于危险状态。由于病毒发作贮留于内存。且通过EXPLORE.exe 进行传播。因此即使是装了还原精灵，还原
卡的机器也同样会被感染。你重新启动后系统可以还原。但是你一但开机还是会被感染。
病毒发作会生成另外病毒 PWSteal.Lemir.Gen 和 trojan.psw.lineage 等等。都是些非常厉害的后门程序。和外挂病毒相似，但是其威力是外挂病毒的50倍以上。在WIN98平台下，该病毒威害比较小。在WIN2000 /XP/2003 平台对于网吧系统是致命的

运行系统极度卡机。你重新启动后你会发现你所有游戏的.EXE 程序全部都感染了
最新杀毒软件杀完后。除了系统可以勉强运行。其他的你也别想运行了。

病毒清理办法
如果在病毒没有发作情况下杀毒是可以完全搞定的。如果发作了也不要杀毒了。直接克盘恢复吧。
一、找到注册表中[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]
"auto" = "1"
删除auto键,默认的不要删除
二、找到
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\windows]
  load键值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot]
  winlogo 项
把WINLOGO 项 后面的C:\WINNT\SWS32.DLL 删掉
接下来把HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/Run 键中  /RunOnce/RunOnceEx
两个中其中有个是也是
C:\WINNT\SWS32.dll
把类似以上的全部删掉 注意不要删除默认的键值（删了的话后果自负）
打开%system%\drivers\etc下的hosts文件.删除"127.0.0.1 localhost"一行后的所有内容.
下载"Worm.Viking专杀工具"在安全模式中进行
下载地址:http://it.rising.com.cn/Channels/Service/2006-07/1153119832d22607.shtml
如果没有以上键值，则直接跳过此步骤
　
三  结束进程
按“Ctrl+Alt+Del”键弹出任务管理器，找到logo1_.exe ,rundl1(是数字1,不是L)32.exe等进程，结束进程，可以借助绿鹰的进程管理软件处理更方便。找到EXPL0RER.EXE进程（注意第5个字母是数字0不是字母O），找到它后选中它并点击“结束进程”以结束掉（如果EXPL0RER.EXE进程再次运行起来需要重做这一步）。

四 装杀毒软件
装完后不要重新启动（切记）直接升级病毒库，升级完后，把C:\winnt  目录下所有带毒文件删除。然后运行杀毒软件开始杀毒。
杀完后。还有几个杀毒软件无法删掉的东西要把名字记下来。因为不同的系统有不同的名字。所以这里说不清楚了。自己记下来。,重新启动后再次杀毒。记的把可疑的进程的结束。否则杀毒软件无法干净杀毒。还有最重要的一点记的把杀毒软件无法清除的病毒设置为删除文件。一般要重复杀毒3-5次才能杀干净。

五。看看杀毒后的系统。
缺少的了很多系统文件。系统处于危险状态。如果你有GHOST 备份。这个时候恢复一下。系统可以干净无损。
如果没有请运行 SFC 命令检查文件系统。具体操作为 运行-输入CMD 命令进入DOS 提示符。-输入SFC /scannow --  提示放入系统光盘。--放进去吧。然后慢慢等。
看看成果。杀毒效果显著。毒杀干净了。但是杀完毒后很多游戏都玩不了。忙了一圈都不知道自己在忙什么。
郁闷吧。然后重新做系统吧。


杀毒及重装系统后的防范
最后可以Winnt中建一个logo1_.exe的文件夹,将其设置为只读且隐藏..这样.当它传播进就不能建立logo1_.exe文件了.也可以再建一个rundl132.exe的文件.并同样设置为只读加隐藏..

引用:

【終生學習的贴子】 晕  你昨天网上不是用诺吨10.0来杀毒的吗？ ………………

我的那个是捆绑了防火墙的，不好用！

引用:

【情绪点子的贴子】 我的那个是捆绑了防火墙的，不好用！ ………………

哦  那你去百度搜索诺吨10.0就行了，你那个是套装，写着套装的就不要，单个的就要

从实用角度 我推荐使用我的方法
从探索和研究角度 可以尝试各种方法
这样可以给别人更多经验

今天逛瑞星论坛，突然发现这个帖子  让我很大的感叹！
因为两周前我的公司局域网（差不多500电脑）也中了这个病毒！
非常厉害!感染所有EXE文件 而且会在局域网主动感染其他电脑！造成网络很慢！开始自己找出了LOGO_1和RUNDL132  2个文件 尝试了很多方法都无法删除 头疼＋电话不断＋无奈  非常痛苦
最新的杀毒软件（金山，诺顿我们用的都是企业版）也无法解决 后来在网上查阅了很多文章，最有效的解决办法就是楼上提到的建立2个相同文件O字节，设置只读，这样就不会被感染了 不过还得用杀毒软件查杀那些被感染得EXE文件
最后还得把WINNT下的两个文件夹删除掉 command和Inter  然后注册表查找“RUNDL132”统统删除
这个病毒还会产生一些**.DLL 文件 我们公司的是 DLL.DLL和Z*.DLL等  也必须删除

威金专杀工具根本不行 真搞不明白 谁弄那么多病毒变种 那几天可真把我忙死了

运行到现在，还没有发现病毒发作
估计我已经搞定了