维金病毒的处理及防范措施

病毒信息:
病毒名称:Worm.Viking.bo Worm.Viking.bp
MACFEE 检测为trojan类木马
事实远不是这样简单...

感染方式:目前为 通过QQ信息感染.当然.不否认有人会利用恶意网页来传播

特征:感染后在C盘windows文件夹内会有logo1_.exe文件.运行后 病毒体为 logo1_.exe kill.exe sws32.dll sws.dll rundl132.dll 等
修改注册表
病毒对注册表进行修改，在 [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionIniFileMappingsystem.iniboot]winlogo 项和
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和
[HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/中添加键值=%System%（其中，和为可变的），使得在 下次
       系统启动时，病毒可随之自动运行。

中毒后.该病毒能迅速感染explorer.exe 等核心进程.
以及所有的.exe可执行程序...是彻底修改.而不是简单的修改文件关联...具体表现为.游戏图标变色.或变为空白..基本上说.中了这个病毒.就等于你要全部格式化硬盘了。
添加logo1_.exe进程.还有其他几个忘记名字了..

同时释放网游木马.包括 WOW.传奇.江湖.西游.还有....trojan.psw.lineage    表问我这是什么...

你可以说.我装有杀毒软件.很不幸.这个病毒还有一个功能。.就是杀杀毒软件.病毒运行时会干掉以下进程:
          rising
　　SkyNet
　   Symantec
　　McAfee
   　Gate     

        Rfw.exe
　　RavMon.exe
　　kill
　　NAV
       KAV
表告诉我不知道这是什么进程.

你可以说.我装有还原软件.很不幸.该病毒能穿透还原精灵.冰点等数种主流还原软件.经本人测试.连还原卡也没用

:mad: :mad: :mad:

你可以说.我有ghost呢.恢复一下就OK.很不幸,由于是全盘感染.恢复镜象也没用.


对于中毒的朋友.本人只能说节哀顺便.如果实在想补救.有以下办法.


进入安全模式 什么都表点.开始-运行-regedit
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionIniFileMappingsystem.iniboot]
winlogo 项
删掉.C:WINDOWSSWS32.DLL

  

HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/Run  删掉C:WINDOWSSWS32.dll 类似的都删掉.还有/RunOnce/RunOnceEx 项里面也检查一下.
为安全记.在注册表里搜索以下值 logo1_.exe logo_1.exe kill.exe sws32.dll sws.dll rundl132.dll 把搜索到的键值全部删掉.

搜索到的那些键值.一定要记得路径.比如c:windowssws32.dll c:windowslogo1_.exe 等.注册表信息删掉后.在c盘把这些东西删掉.

然后在运行里输入msconfig 后面启动项里.把没见过的启动项都取消.

如果是网吧机子.server服务一定要关.因为该病毒会通过共享传播.并试图解开共享机子的用户密码.达到传送文件的目的.

做到这一步.请安装卡巴斯基.查毒.然后把所有染毒对象全部删除. 当然.以卡巴死基的一贯风格.会删除N多系统文件.请使用系统修复功能来修复系统...OVER.



其实以我的意思.中了这个毒.基本上就没有修复的必要了.每重新启动一次机子.病毒体会自身复制得更多.重新装一个系统并不麻烦.麻烦的是要重新装系统后.怎么才能做到不再感染此病毒.这也是我想要说的.经过查阅病毒资料.和自己一惯手动杀毒经验.本人使用以下防毒思路.测试效果良好.

  


重新装过系统后.(装系统过程请拔掉网线)在c:windows下 创建几个新文件.分别命名为
logo1_.exe logo_1.exe sws32.dll sws.dll 等.并把该文件属性设置为只读.
其实病毒祸首就是logo1_.exe 理论上说只创建这一个就可以了。

  

开始-运行 输入gpedit.msc
本地计算机策略--用户配置--管理模板--系统 双击右面的 不要运行指定的windows程序 选择已启用 点下面的显示那里 里面添加如下文件名 logo1_.exe logo_1.exe kill.exe 至于是否还有其他病毒主体名.大家也多查查。



  

到这一步.基本上该病毒就无法运行了.
其实防止logo1_.exe运行还有一个办法.就是在启动项里添加一个批处理.该批处理内容为


attrib c:windowlogo1_.exe  -r -h
del c:windowlogo1_.exe /y
多复制几行。 把其他要删的文件名加上




  

就是启动系统时就把这些文件删掉.当然就无法运行了。 ..不过.通常这种办法会失灵.;)

还有一点就是防止点QQ信息里面的链接.开启QQ安全中心.如果想要显示QQ信息里连的链接但是不想点他。 也有办法.

在QQ菜单-设置-安全设置-网络信息安全 把安全级别设置为最高. 下面聊天信息安全里面两个勾都去掉.
表乱进不熟悉的网站.


一句话.良好的上网习惯是最好的杀毒利器.


手都打酸了。希望能对大家所帮助...

PS:偶表达能力差.表打击偶.有什么不明白的地方偶编辑下..

以下是修改过的logo1virus.bat

省了第一步.也就是说.直接运行logo1vires.bat后.去修改组策略.就万无一失了.修改过的logo1virus.bat内容为

---------------------------------------------------

echo  > c:windowsLogo1_.exe
echo  > c:windowsrundl132.exe
echo  > c:windowsSy.exe
echo  > c:windowsvDll.dll
echo  > c:windows1Sy.exe
echo  > c:windows2Sy.exe
echo  > c:windowsrundll32.exe
echo  > c:windows3Sy.exe
echo  > c:windows5Sy.exe
echo  > c:windows1.com
echo  > c:windowsexerouter.exe
echo  > c:windowsEXP10RER.com
echo  > c:windowsfinders.com
echo  > c:windowsShell.sys
echo  > c:windowssmss.exe
echo  > c:windowskill.exe
echo  > c:windowssws.dll
echo  > c:windowssws32.dll

attrib c:windowsLogo1_.exe +s +r +h
attrib c:windowsrundl132.exe +s +r +h
attrib c:windowsSy.exe +s +r +h
attrib c:windowsvDll.dll +s +r +h
attrib c:windows1Sy.exe +s +r +h
attrib c:windows2Sy.exe +s +r +h
attrib c:windowsrundll32.exe +s +r +h
attrib c:windows3Sy.exe +s +r +h
attrib c:windows5Sy.exe +s +r +h
attrib c:windows1.com +s +r +h
attrib c:windowsexerouter.exe +s +r +h
attrib c:windowsEXP10RER.com +s +r +h
attrib c:windowsfinders.com +s +r +h
attrib c:windowsShell.sys +s +r +h
attrib c:windowssmss.exe +s +r +h
attrib c:windowskill.exe +s +r +h
attrib c:windowssws.dll +s +r +h
attrib c:windowssws32.dll +s +r +h

-------------------------------------------

刚才整理了一下.修改组策略那里已经被我写成注册表。请把以下内容复制到文本里.修改成reg后缀导入就可.

------------------------------------------------

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionGroup Policy Objects本地UserSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerDisallowRun]
"**delvals."=" "
"1"="0Sy.exe"
"2"="1.com"
"3"="1Sy.exe"
"4"="2Sy.exe"
"5"="3Sy.exe"
"6"="5Sy.exe"
"7"="exerouter.exe"
"8"="EXP10RER.com"
"9"="finders.com"
"10"="finders.com"
"11"="kill.exe"
"12"="Logo1_.exe"
"13"="rundl132.exe"
"14"="rundll32.exe"
"15"="Shell.sys"
"16"="smss.exe"
"17"="smss.exe"
"18"="sws.dll"
"19"="sws32.dll"
"20"="tool.exe"
"21"="tool2005.exe"
"22"="tool2006.exe"
"23"="tools.exe"
"24"="vDll.dll" 蓝色生涯，阔阔独爱~~！

支持一下 哈哈！很详细！

我狂顶，真是厉害

我也支持下

顶！！！！！！！！！！！！！！！！！！

顶一下

楼主很厉害呀..呵呵...编程学的不错,,我们这搞维修的也需要多学习一下这方面的知识...

中毒太深，现在它的变种太多了，杀不完

厉害啊！

历害,佩服,真是高手,,,,,!!!

如果中了这病毒后，重装系统还会自动关机．这是什么回事呀？

我有没有专杀的威金的软件啊

多谢啊  很详细啊