自从这个蠕虫流行以来，因染此毒而重装系统的用户不在少数。因为这个蠕虫感染硬盘各分区的所有可执行文件.exe。
说到这种“头寄生”蠕虫，确实比较麻烦。它在被感染对象.exe的头部写入蠕虫代码。你要杀毒吗？那好——连这个被感染的.exe一齐删除吧。
一般应用程序的.exe，删了也就删了，再重新安装一下，也费不了多大劲。但是，系统的.exe被感染后，那就糟糕了。要么，你找个WINHEX之类的工具，逐一清除被感染文件头部的病毒代码（这不是一般用户能做到的），要么格盘重装系统。当然，如果你有系统GHOST备份，问题相对简单些：找个干净的GHOST.EXE文件，启动到DOS下，替换掉被病毒感染的GHOST.EXE。然后，运行GHOST.EXE，用原来的GHO备份恢复系统即可（系统分区以外的被感染的.exe恐怕只有删除）。
然而，只要你有一个带文件保护的安全工具，且熟悉其设置及应用，“威金”蠕虫便成了一条“死虫”。
以下是我用Tiny（一个带文件保护的防火墙）预防“威金”蠕虫的实战结果：
具体环境是：IBM A31本本；系统是XP；只有C、D两个硬盘分区。2006年来的所有补丁都没打。事先关闭系统中的卡巴斯基、SSM等安全软件（否则无法运行病毒样本）。
接下来，按图1、图2设置好Tiny的“文件保护”，禁止任何程序在C、D分区创建、写入或删除文件。
然后，运行“威金”蠕虫Logo_1.exe。用Tiny的Activity Monitor观察蠕虫的实际感染情况（图3）——所有感染步骤均被阻断！
打开SSM，看看Logo_1.exe的运行状态：它只能在当前用户的临时文件夹中运行（图4）。
再查看%windwos%文件夹，c:\windows\下并无Logo_1.exe和rundl132.exe（其创建过程被Tiny阻截了）。

图1

图2

图3

图4

看看autoruns的日志——干净的！


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run           

+ KAVPersonal50    Kaspersky Anti-Virus GUI Part    Kaspersky Lab    c:\program files\kaspersky lab\kaspersky anti-virus personal pro\kav.exe

+ TP4EX    IBM TrackPoint Accessibility Features    IBM Corporation    c:\windows\system32\tp4ex.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run           

+ AMonitor    eTrust Activity Monitor    Computer Associates International, Inc.    c:\program files\tiny firewall pro\amon.exe

+ IDMan    Internet Download Manager Application (IDM)    Internet Download Manager Corp., Tonec Inc.     c:\program files\internet download manager\idman.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved           

+ Adobe.Acrobat.ContextMenu    Adobe Acrobat Elements    Adobe Systems Inc.    c:\program files\adobe\acrobat 6.0\acrobat elements\contextmenu.dll

+ TuneUp 碎纸机    TuneUp Shredder Shell Extension    TuneUp Software GmbH    c:\program files\tuneup utilities 2006\sdshelex.dll

+ WinRAR shell extension            c:\program files\winrar\rarext.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects           

+ AcroIEHlprObj Class    Adobe Acrobat IE Helper Version 6.0 for ActivieX    Adobe Systems Incorporated    c:\program files\adobe\acrobat 6.0\acrobat\activex\acroiehelper.dll

+ AcroIEToolbarHelper Class            c:\program files\adobe\acrobat 6.0\acrobat\acroiefavclient.dll

+ IDMIEHlprObj Class    IDMIECC Module    Internet Download Manager Corp., Tonec Inc.    c:\program files\internet download manager\idmiecc.dll

HKLM\System\CurrentControlSet\Services           

+ Ati HotKey Poller            c:\windows\system32\ati2evxx.exe

+ kavsvc    Kaspersky Anti-Virus Service    Kaspersky Lab    c:\program files\kaspersky lab\kaspersky anti-virus personal pro\kavsvc.exe

+ QCONSVC            c:\windows\system32\qconsvc.exe

+ UmxAgent    eTrust Event Manager    Computer Associates International, Inc.    c:\program files\tiny firewall pro\umxagent.exe

+ UmxCfg    eTrust Configuration Engine    Computer Associates International, Inc.    c:\program files\common files\pfshared\umxcfg.exe

+ UmxFwHlp    eTrust Firewall User-Mode Helper    Computer Associates International, Inc.    c:\program files\tiny firewall pro\umxfwhlp.exe

+ UmxLU    Live Update Monitor    Tiny Software, Inc.    c:\program files\common files\pfshared\umxlu.exe

+ UmxPol    eTrust FW Policy Manager Service    Computer Associates International, Inc.    c:\program files\common files\pfshared\umxpol.exe

HKLM\System\CurrentControlSet\Services           

+ AgereSoftModem    SoftModem Device Driver    Agere Systems    c:\windows\system32\drivers\agrsm.sys

+ ati2mtag    ATI RAGE 6 Miniport Driver    ATI Technologies Inc.    c:\windows\system32\drivers\ati2mtag.sys

+ E100B    NDIS 5 driver    Intel Corporation    c:\windows\system32\drivers\e100b325.sys

+ EGATHDRV            c:\windows\system32\egathdrv.sys

+ IBMPMDRV    IBM ThinkPad Power Management Driver    IBM Corp.    c:\windows\system32\drivers\ibmpmdrv.sys

+ IBMTPCHK            c:\windows\system32\drivers\ibmbldid.sys

+ Kl1    Kaspersky Anti-Hacker Only Driver    Kaspersky Lab    c:\windows\system32\drivers\kl1.sys

+ Klif    spuper-ptor    Kaspersky Labs    c:\windows\system32\drivers\klif.sys

+ Klmc    Kaspersky Anti-Virus Mail Checker Proxy    Kaspersky Lab    c:\windows\system32\drivers\klmc.sys

+ KmxAgent    eTrust Agent driver    Computer Associates International, Inc.    c:\windows\system32\drivers\kmxagent.sys

+ KmxBiG    eTrust Integrity Guard driver    Computer Associates International, Inc.    c:\windows\system32\drivers\kmxbig.sys

+ KmxCfg    KMX - Configuration Cache    Computer Associates International, Inc.    c:\windows\system32\drivers\kmxcfg.sys

+ KmxFile    eTrust File Guard driver    Computer Associates International, Inc.    c:\windows\system32\drivers\kmxfile.sys

+ KmxFw    eTrust firewall security engine    Computer Associates International, Inc.    c:\windows\system32\drivers\kmxfw.sys

+ KmxIds    TPF: IDS engine plug-in    Computer Associates International, Inc.    c:\windows\system32\drivers\kmxids.sys

+ KmxNdis    eTrust NDIS filter    Computer Associates International, Inc.    c:\windows\system32\drivers\kmxndis.sys

+ KmxSbx    eTrust Registry, Spawning and Devices Guard driver    Computer Associates International, Inc.    c:\windows\system32\drivers\kmxsbx.sys

+ NSCIRDA    NSC Fast Infrared Driver.    National Semiconductor Corporation    c:\windows\system32\drivers\nscirda.sys

+ Ptilink    Direct Parallel Link Driver    Parallel Technologies, Inc.    c:\windows\system32\drivers\ptilink.sys

+ safemon    System Safety Monitor 2.0 extension for Windows security layer    System Safety Limited    c:\windows\system32\drivers\safemon.sys

+ smwdm    SoundMAX Integrated Digital Audio     Analog Devices, Inc.    c:\windows\system32\drivers\smwdm.sys

+ Tp4Track    IBM PS/2 TrackPoint Mouse Filter Driver    IBM Corporation    c:\windows\system32\drivers\tp4track.sys

+ TPPWR    IBM ThinkPad Power Management Device Driver    IBM Corp.    c:\windows\system32\drivers\tppwr.sys

+ TSP    spuper-ptor    Kaspersky Labs    c:\windows\system32\drivers\klif.sys

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls           

+ UmxSbxExw.dll    User mode executive module helper DLL    Computer Associates International, Inc.    c:\windows\system32\umxsbxexw.dll

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify           

+ PFW    UmxWNP    Computer Associates International, Inc.    c:\windows\system32\umxwnp.dll

+ System Safety Monitor    System Safety Winlogon Notification    System Safety Limited    c:\windows\system32\ssmwinlogonex.dll

HKCU\Control Panel\Desktop\Scrnsave.exe           

+ C:\WINDOWS\System32\AMCRYS~1.SCR    Aquarium    SereneScreen    c:\windows\system32\amcrystal-thefish.scr

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors           

+ Adobe PDF Port    Acrobat ? PDF Port    Adobe Systems Incorporated.    c:\windows\system32\adobepdf.dll

这个实验结果提示：熟悉一个安全工具，并可根据实际情况灵活运用，即使遇到像“威金”这样比较BT的蠕虫，你也可从容应对。

可能有人会问：
这样设置Tiny，你自己要安装程序或删除文件时怎么办？
简单：只要按下图操作，临时取消Tiny的windows security即可。装（删）完了，再勾选Tiny的windows security，防护即刻生效。

哪有下载？？？
猫叔说的工具是防火墙呀。。收费不？


呵呵。猫叔的工具真多。

引用:

【独孤豪侠的贴子】哪有下载？？？ 呵呵。猫叔的工具真多。 ...........................

我的tiny是2005年初安装的。下载地址已经忘记了。
记得有人在“12公里安全咨询 » 安全软件注册交流下载区”发过Tiny，你可以去找找。
http://www.12km.com/forumdisplay.php?fid=4&page=1

提醒：使用时要小心。需要紧急卸载Tiny时，可以到卡卡的“安全软件讨论区”搜索我发的帖子。

看不懂~~~~