用WINDOWS清理助手和冰刃查杀,这2个软件都是查杀系统文件的比较管用.杀完后再用其他工具清理现场.

Worm.Viking.m(威金蠕虫病毒)详细介绍


该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒，病毒运行后将自身伪装成系统正常文件，以迷惑用户，通过修改注册表项使病毒开机时可以自动运行，同时病毒通过线程注入技术绕过防火墙的监视，连接到病毒作者指定的网站下载特定的木马或其它病毒，同时病毒运行后枚举内网的所有可用共享，并尝试通过弱口令方式连接感染目标计算机。
运行过程过感染用户机器上的可执行文件，造成用户机器运行速度变慢，破坏用户机器的可执行文件，给用户安全性构成危害。
病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。

1、病毒运行后将自身复制到Windows文件夹下,文件名为:
　　%SystemRoot%\rundl132.exe

2、运行被感染的文件后，病毒将病毒体复制到为以下文件:
%SystemRoot%\logo_1.exe

3、同时病毒会在病毒文件夹下生成:
病毒目录\vdll.dll

4、病毒从Z盘开始向前搜索所有可用分区中的exe文件，然后感染所有大小27kb-10mb的可执行文件，感染完毕在被感染的文件夹中生成:
_desktop.ini (文件属性:系统、隐藏。)

5、病毒会尝试修改%SysRoot%\system32\drivers\etc\hosts文件。

6、病毒通过添加如下注册表项实现病毒开机自动运行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\rundl132.exe"

7、病毒运行时尝试查找窗体名为:"RavMonClass"的程序，查找到窗体后发送消息关闭该程序。

8、枚举以下杀毒软件进程名，查找到后终止其进程:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe

9、同时病毒尝试利用以下命令终止相关杀病毒软件：
net stop "Kingsoft AntiVirus Service"


10、发送ICMP探测数据"Hello,World"，判断网络状态，网络可用时，
枚举内网所有共享主机，并尝试用弱口令连接\\IPC$、\admin$等共享目录，连接成功后进行网络感染。

11、感染用户机器上的exe文件，但不感染以下文件夹中的文件:
system
system32
windows
Documents and settings
system Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone

12、枚举系统进程，尝试将病毒dll(vdll.dll)选择性注入以下进程名对应的进程:
Explorer
Iexplore
找到符合条件的进程后随机注入以上两个进程中的其中一个。

13、当外网可用时，被注入的dll文件尝试连接以下网站下载并运行相关程序:
http://www.17**.com/gua/zt.txt 保存为:c:\1.txt
http://www.17**.com/gua/wow.txt 保存为:c:\1.txt
http://www.17**.com/gua/mx.txt 保存为:c:\1.txt

http://www.17**.com/gua/zt.exe 保存为:%SystemRoot%\0Sy.exe
http://www.17**.com/gua/wow.exe 保存为:%SystemRoot%\1Sy.exe
http://www.17**.com/gua/mx.exe 保存为:%SystemRoot%\2Sy.exe
注：三个程序都为木马程序

14、病毒会将下载后的"1.txt"的内容添加到以下相关注册表项：


[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]
"ver_down0"="[boot loader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++"
"ver_down1"="[boot loader]
timeout=30
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" ////"
"ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" /////"

金山专杀工具:
http://db.kingsoft.com/download/3/246.shtml
瑞星专杀工具:
http://it.rising.com.cn/Channels/Service/2006-07/1153119832d22607.shtml

引用:

【情绪点子的贴子】.exe关联修复办法 方法一: 当计算机中了某些关联EXE文件的木马后，杀毒软件将木马清除后，将会出现系统所有的EXE文件无法打开的现象。此时下载本程序，将后缀名改为COM,运行即可。 方法二: 手工修改方法: 打开注册表编辑器把HKEY_CLASSES_ROOT\exefile\shell\open\command里的叫默认值的键值改为"%1" %* 把系统目录下regedit.exe文件复制出来,将后缀名改成.com,运行就可以使用注册表了. 方法三: 如果使用此程序还无法解决,请试用以下方法: 进入控制面版的文件夹选项,选择文件类型,再添加文件类型 .exe,再选高级,选择打开方式为 应用程序 注意可选择打开方式太多,要慢慢地找才能找到应用程序 方法四: 开始>运行 输入assoc .exe=exefile 按回车 工具下载：http://www.pxue.com/attachments/month_0505/PXue_2005529221526_4088.com ………………

晕哦 都什么和什么哦 中了威金后被感染的EXE文件 杀毒后都被破坏了 不是关联的问题。。。

我好奇怪哦 请问LZ的重要文件难道都是EXE文件？你都挪到移动硬盘上去
然后把完整的 彻底的把机器搞一便
最后 把资料挪回去不就德了？
你不运行被威金感染的EXE文件 他不会发作的呀 寒记

我的重要文件都是些word文档！

但我保留了一些常用的软件的安装包，实在不行，这个倒可以舍弃！

“你不运行被威金感染的EXE文件 他不会发作的呀”这是真的吗？

简单的三个步骤专杀logo1_.exe病毒


关于 Logo1_.exe
基本介绍
病毒名称 Worm@W32.Looked (中文:威金)
病毒别名 Virus.Win32.Delf.62976 [Kaspersky], W32/HLLP.Philis.j [McAfee],W32.Looked [symantec] 
Net-Worm.Win32.Zorin.a
病毒型态 Worm (网络蠕虫)
病毒发现日期 2004/12/20
影响平台 Windows 95/98/ME , Windows NT/2000/XP/2003
风险评估
散播程度：中
破坏程度：中

主要症状:
1、占用大量网速，使机器使用变得极慢。
2、会捆绑所有的EXE文件，只要一运用应用程序，在winnt下的logo1.exe图标就会相应变成应用程序图标。
3、有时还会时而不时地弹出一些程序框，有时候应用程序一起动就出错，有时候起动了就被强行退出。
4、网吧中只感梁win2k pro版，server版及XP系统都不感染。
5、能绕过所有的还原软件。
   
    详细技术信息： 
病毒运行后，在%Windir%生成  Logo1_.exe  同时会在windws根目录生成一个名为"virDll.dll"的文件。%WinDir%\virDll.dll

该蠕虫会在系统注册表中生成如下键值：
[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]"auto" = "1"
  　
盗取密码
　　病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码，将游戏密码发送到该木马病毒的植入者手中。
　　
阻止以下杀毒软件的运行
　　病毒试图终止包含下列进程的运行，这些多为杀毒软件的进程。 包括卡巴斯基，金山公司的毒霸 ,瑞星等98%的杀毒软件运行。
  国产软件在中毒后都被病毒杀死，是病毒杀掉-杀毒软件。如金山，瑞星等。哪些软件可以认出病毒。但是认出后不久就阵亡了。

通过写入文本信息改变"%System%\drivers\etc\hosts" 文件。这就意味着，当受感染的计算机浏览许多站点时
（包括众多反病毒站点），浏览器就会重定向到66.197.186.149。

病毒感染运行windows操作系统的计算机，并且通过开放的网络资源传播。一旦安装，蠕虫将会感染受感染计算机中的.exe文件。
该蠕虫是一个大小为82K的Windows PE可执行文件。
通过本地网络传播该蠕虫会将自己复制到下面网络资源：
ADMIN$;
IPC$;

症状
蠕虫会感染所有.exe的文件。但是，它不会感染路径中包含下列字符串的文件：
                  \Program Files
                  Common Files
                  ComPlus Applications
                  Documents and Settings
                  NetMeeting
                  Outlook Express
                  Recycled
                  system
                  System Volume Information
                  system32
                  windows
                  Windows Media Player
                  Windows NT
                  WindowsUpdate
                  winnt
蠕虫会从内存中删除下面列出的进程：
                  EGHOST.EXE
                  IPARMOR.EXE
                  KAVPFW.EXE
                  KWatchUI.EXE
                  MAILMON.EXE
                  Ravmon.exe
                  ZoneAlarm
遭此病毒破坏造成大面积的卡机，瘫痪。危害程度可以和世界排名前十的爱情后门变种相比。该病毒可以通过网络传播，传播周期为3分钟。如果是新做的系统处于中了毒的网络环境内，只要那个机器一上网，3分钟内必定中招。中招后你安装　rising SkyNet Symantec McAfee Gate Rfw.exe RavMon.exe 　kill  NAV 等杀毒软件 都无法补救你的系统，病毒文件 Logo1_.exe 为主体病毒，他自动生成病毒发作所需要的的 SWS32.DLL SWS.DLLL KILL.EXE 等文件。这些文件一但衍生。他将迅速感染系统内EXPLORE  等系统核心进程 及所以.exe  的可执行文件，外观典型表现症状为 传奇 ，泡泡堂，等游戏图标变色。 此时系统资源可用率极低，你每重新启动一次，病毒就会发作一次。
  该病毒对于防范意识较弱，还原软件未能及时装到位的网吧十分致命，其网络传播速度十分快捷有效。旧版的杀毒软件无法检测，新版的无法彻底根杀。一但网吧内某台机器中了此病毒，那么该网吧所有未中毒的机器都处于危险状态。由于病毒发作贮留于内存。且通过EXPLORE.exe 进行传播。因此即使是装了还原精灵，还原
卡的机器也同样会被感染。你重新启动后系统可以还原。但是你一但开机还是会被感染。
病毒发作会生成另外病毒 PWSteal.Lemir.Gen 和 trojan.psw.lineage 等等。都是些非常厉害的后门程序。和外挂病毒相似，但是其威力是外挂病毒的50倍以上。在WIN98平台下，该病毒威害比较小。在WIN2000 /XP/2003 平台对于网吧系统是致命的

运行系统极度卡机。你重新启动后你会发现你所有游戏的.EXE 程序全部都感染了
最新杀毒软件杀完后。除了系统可以勉强运行。其他的你也别想运行了。

病毒清理办法
如果在病毒没有发作情况下杀毒是可以完全搞定的。如果发作了也不要杀毒了。直接克盘恢复吧。
一、找到注册表中[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]
"auto" = "1"
删除auto键,默认的不要删除
二、找到
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\windows]
  load键值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot]
  winlogo 项
把WINLOGO 项 后面的C:\WINNT\SWS32.DLL 删掉
接下来把HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/Run 键中  /RunOnce/RunOnceEx
两个中其中有个是也是
C:\WINNT\SWS32.dll
把类似以上的全部删掉 注意不要删除默认的键值（删了的话后果自负）
打开%system%\drivers\etc下的hosts文件.删除"127.0.0.1 localhost"一行后的所有内容.
下载"Worm.Viking专杀工具"在安全模式中进行
下载地址:http://it.rising.com.cn/Channels/Service/2006-07/1153119832d22607.shtml
如果没有以上键值，则直接跳过此步骤
　
三  结束进程
按“Ctrl+Alt+Del”键弹出任务管理器，找到logo1_.exe ,rundl1(是数字1,不是L)32.exe等进程，结束进程，可以借助绿鹰的进程管理软件处理更方便。找到EXPL0RER.EXE进程（注意第5个字母是数字0不是字母O），找到它后选中它并点击“结束进程”以结束掉（如果EXPL0RER.EXE进程再次运行起来需要重做这一步）。

四 装杀毒软件
装完后不要重新启动（切记）直接升级病毒库，升级完后，把C:\winnt  目录下所有带毒文件删除。然后运行杀毒软件开始杀毒。
杀完后。还有几个杀毒软件无法删掉的东西要把名字记下来。因为不同的系统有不同的名字。所以这里说不清楚了。自己记下来。,重新启动后再次杀毒。记的把可疑的进程的结束。否则杀毒软件无法干净杀毒。还有最重要的一点记的把杀毒软件无法清除的病毒设置为删除文件。一般要重复杀毒3-5次才能杀干净。

五。看看杀毒后的系统。
缺少的了很多系统文件。系统处于危险状态。如果你有GHOST 备份。这个时候恢复一下。系统可以干净无损。
如果没有请运行 SFC 命令检查文件系统。具体操作为 运行-输入CMD 命令进入DOS 提示符。-输入SFC /scannow --  提示放入系统光盘。--放进去吧。然后慢慢等。
看看成果。杀毒效果显著。毒杀干净了。但是杀完毒后很多游戏都玩不了。忙了一圈都不知道自己在忙什么。
郁闷吧。然后重新做系统吧。


杀毒及重装系统后的防范
最后可以Winnt中建一个logo1_.exe的文件夹,将其设置为只读且隐藏..这样.当它传播进就不能建立logo1_.exe文件了.也可以再建一个rundl132.exe的文件.并同样设置为只读加隐藏..

引用:

【終生學習的贴子】 晕  你昨天网上不是用诺吨10.0来杀毒的吗？ ………………

我的那个是捆绑了防火墙的，不好用！

引用:

【情绪点子的贴子】 我的那个是捆绑了防火墙的，不好用！ ………………

哦  那你去百度搜索诺吨10.0就行了，你那个是套装，写着套装的就不要，单个的就要

从实用角度 我推荐使用我的方法
从探索和研究角度 可以尝试各种方法
这样可以给别人更多经验

今天逛瑞星论坛，突然发现这个帖子  让我很大的感叹！
因为两周前我的公司局域网（差不多500电脑）也中了这个病毒！
非常厉害!感染所有EXE文件 而且会在局域网主动感染其他电脑！造成网络很慢！开始自己找出了LOGO_1和RUNDL132  2个文件 尝试了很多方法都无法删除 头疼＋电话不断＋无奈  非常痛苦
最新的杀毒软件（金山，诺顿我们用的都是企业版）也无法解决 后来在网上查阅了很多文章，最有效的解决办法就是楼上提到的建立2个相同文件O字节，设置只读，这样就不会被感染了 不过还得用杀毒软件查杀那些被感染得EXE文件
最后还得把WINNT下的两个文件夹删除掉 command和Inter  然后注册表查找“RUNDL132”统统删除
这个病毒还会产生一些**.DLL 文件 我们公司的是 DLL.DLL和Z*.DLL等  也必须删除

威金专杀工具根本不行 真搞不明白 谁弄那么多病毒变种 那几天可真把我忙死了

运行到现在，还没有发现病毒发作
估计我已经搞定了