viking.ix
威金变种。染毒后,在系统目录下释放病毒文件: C:windowslogo1_exe C:windows
undl132.exe
C:windowsdll.dll 修改注册表,实现开机自启。自动从黑客指定站点下载“天堂杀手”以及“QQ大盗(QQpass)”等10余种木马病毒,盗取包括天堂、征途、梦幻西游、传奇等多种流行网络游戏玩家密码以及QQ的用户名和密码。还会在每个文件夹下生成_desktop.ini文件。该毒最大的“优点”就是会自动查找你硬盘上的一些EXE文件。(附加:这种worm类病毒曾在DOS下是很让人头疼的事,曾是一个dir就感染了整个目录。)这样一来,即使你清掉内存中的病毒也于事无补,因为你总要运行电脑上的exe文件。但是对容量超过100MB的EXE文件不进行感染。染毒后的EXE文件只要运行就会自动释放logo1_exe 、rundl132.exe、dll.dll 至%Windir%中,%Windir%默认为C:Windows或者C:Winnt。 同时染毒文件图标恢复正常。
威金病毒表现:
1. 某些杀毒软件的实时监控无法启动(例如:瑞星的实时监控中心)
2. 部分图标变得模糊
3. 进程里面出现例如 Logo_1.exe , 0Sy.exe等莫名其妙的东西
4. C盘隐藏文件出现 _desktop.ini(隐藏文件)
5. 磁盘的autorun被修改,以至于双击磁盘盘符时提示出错
步骤一:
1.在安全模式下结束以下进程: logo1_.exe rundl132.exe(注意第六个为数字1而不是L) explorer.exe(清除内存和病毒生成的文件后,又观察了病毒的运行结果,发现病毒是在windows目录下生成vdll.dll,logo1_.exe,dl132.exe这三个文件。又经过实验,vdll.dll注入exeplorer.exe是由logo1_.exe来完成。病毒会在开机自动执行中加入rundl132.exe) 另外有类似OS.exe的进程也一并结束掉~~!
2.到windows目录删除"logo1_.exe"、"rundl132.exe"、"vdll.dll"文件!(注意这些进程都是隐藏的,需要把系统设置为“显示隐藏文件”,设置的方法:打开“我的电脑”; 依次打开菜单“工具/文件夹选项”;然后在弹出的“文件夹选项”对话框中切换到“查看”页; 去掉“隐藏受保护的操作系统文件(推荐)”前面的对钩,让它变为不选状态; 在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项; 去掉“隐藏已知文件类型的扩展名”前面的对钩,也让它变为不选状态;最后点击“确定”。 )
3.运行 gpedit.msc 打开组策略,依次单击用户配置- 管理模块- 系统-指定不给windows运行的程序, 点启用 然后 点显示 添加 logo1_exe 也就是病毒的源文件
4.找到并删除%Windir%下的Logo1_.exe、rundl132.exe、vDll.dll文件,其中vDll.dll可能在其他目录中,%Windir%默认为C:Windows或者C:Winnt。
打开注册表,索引到HKEY_LOCAL_MACHINESoftwareSoftDownloadWWW,删除auto键值;
打开注册表,索引到HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWIndows,删除load键值;
打开%system%driversetc下hosts文件,删除“127.0.0.1 localhost”一行后所有内容;
5.在windows目录下新建文件:"logo1_.exe"、"rundl132.exe"、"vdll.dll"并把属性设为“只读”,这样病毒也就无法运行了 现在你的电脑基本上说可以对该病毒免疫了,即使中了该病毒,它也发作不了啦!最后这一点不怎么好办那些应用程序都被感染了病毒,如果中了病毒,下次重启后,就会弹出来“rundl132.exe不是有效的应 用程序”和“无法加载注册表中c;windows
undl132.exe”的对话框 要么删除所有被感染的应用程序,然后从其它地方复制没感染病毒的过来,要么就是在搜索里用“*.exe”找出所有的exe文件,然后每个运行一下:L最后从注册表里找出“rundl132.exe”的启动项,删掉就OK了
步骤二:
先按照步骤一在安全模式下清除%Windir%中的病毒原文件,并进行初级免疫,然后利用专杀工具如江民的威金专杀,奇诺的Anti-Virus Tools 2007对染毒文件进行杀毒彻底清除病毒根源。