前两天公司很多计算机在开机时无法正常进入windows,停顿在显示桌面而未显示桌面图标的阶段。通过查看任务管理器发现是进程%SystemRoot%\9Sy.exe与%SystemRoot%\uninstall\rundl132.exe在做怪。有时可以通过任务管理器结束进程进入windows，有时只能通过注销进入windows。在进入windows后结束%SystemRoot%\9Sy.exe,%SystemRoot%\8Sy.exe,%SystemRoot%\uninstall\rundl132.exe。进程后删除这些文件。windows运行正常。但在重新启动后又出现这种情况。而用瑞星威金专杀工具、金山威金专杀工具、江明威金专杀工具都无法奏效。用瑞星卡卡也无法彻底删除。而瑞星杀毒软件（我目前的版本是19.18）也无法发现此病毒。即使重新安装系统也无法删除病毒。这使我束手无策。
    后来google之后发现这个病毒会感染所有的exe文件，怪不得删除病毒文件重新启动后又会死灰复燃。可以手工解决的办法就是重新安装系统后删除系统以外的所有exe文件，这样要花费很多时间和经历。
    我在对染毒文件和正常文件对比时发现，病毒是通过在正常文件前增加67788字节的病毒代码来感染和传播病毒的。按照这个规律我决定自己制作一个专杀工具来杀除这个病毒，修复被感染的文件。
    专杀工具原代码跟染毒文件请到下面的地址下载:
    http://www.flashado.com/VikingKill.rar
    请不要轻易打开染毒文件。
    因我只会dotnet所以杀毒工具是用Microsoft Visual Studio 2005(c#)编写的，运行专杀工具前必须安装Microsoft .NET Framework 2.0，请到下面的地址下载：
http://www.microsoft.com/downloads/details.aspx?FamilyID=0856EACB-4362-4B0D-8EDD-AAB15C5E04F5&displaylang=zh-cn
    因我的水平有限，请瑞星工作人员尽快升级威金专杀工具于瑞星杀毒软件。
    最后支持瑞星，杀毒软件里面我还是最喜欢瑞星的。

瑞星已可查杀此变种，Worm.Viking.rr
另外，楼主的专杀原代码中的资源文件vikingcharacter，似乎是把此viking变种改名后的结果（所以瑞星同样把它杀了……）。要识别一个病毒，一般只取其关键位置的特征码，与被检测文件比对就够了，实际上不可能把整个病毒样本的代码全部取为特征的。
最后对楼主能自己动手写程序解决病毒表示敬佩，对楼主能共享出源码的行为表现感谢。

该用户帖子内容已被屏蔽

呵呵，又是变种，慢慢研究

谢谢版主

对亚，希望瑞星的工程师早点找到对策吧，我都恨不得把台机跟笔记本来个彻底的格式化了！！！！