中过威金病毒的进来！

威金专杀

最近出现了威金病毒，已经导致了数以万计的网吧及PC网络出现严重问题，而我也是深受其害，几乎所有小于10m以下*.exe文件都被感染甚至让这些文件变色，而瑞星，金山等杀毒软件根本就解决不了这些文件关联只能把这些文件删除，要知这种后果有多严重，而这些受关联文件一旦运行，几乎整台机子就告瘫痪，

甚至与这台机子联机的pc都会感染，而这些向logo1.exe，rundl132.exe文件删掉之后重启，又会死灰复燃，搞的你发疯，其他修复*.exe关联工具都没用，

现我找搜索到了一份预防方案．以及解决办法。

解决办法：

首先下载终截者入侵阻止程序，这个网站就有，安装运行，接着你就可以运行*.exe文件了

看到logo1_.exe，rundl132.exe等程序你禁止运行别的允许就ok了最后到从c：\windows\下把logo1_.exe，rundl132.exe文件删掉再到注册表里把相关联文件值删掉就行接着用安全回归就行了重启之后全面杀毒就ok了

办法虽然笨但非常有效

预防方案;

下载[url]/viking.rar[/url]

解压后 把virus文件夹里面的文件复制到c:\windows\下面.放心.这些都是空文件.文件名和病毒名是一样的.但是都是0字节.

然后运行logo1virus.bat 给刚才放到c:\windows\下的那几个文件加上系统.隐藏.只读3个属性.

就这样.就可以预防威金病毒了.也就是说.即使你的机子中了威金病毒.也不可能发作.是100%不可能!

为了双保险.请进行下一步:

开始-运行 输入gpedit.msc

用户配置-管理模板-系统 不要运行指定的windows程序.

启用.然后在下面显示那里把virusname.txt里面的文件名都加上.

logo1.rar里面是病毒.你可以试一下.即使你运行了这个病毒.也不会发作和感染.

废话我就不说了.希望大家好运.瑞星最新报告.目前已有数万人中这个毒.才3天时间. 其中有数千家网吧在2天内中毒.不可忽视.

表说你没见过这个QQ信息

看看啊. 我最近的照片~ 才扫描到QQ象册上的 ^_^ !

[url]/qq%E5%83%8F%E5%86%8C2/

如果你点一下...

表说你不会点.如果你在家.你的电脑只是你一人用么?如果不小心点了一下.那么....

如果你在网吧.网吧其他人点一下的话........

病毒信息:

病毒名称:Worm.Viking.bo Worm.Viking.bp

MACFEE 检测为trojan类木马

事实远不是这样简单...

感染方式:目前为 通过QQ信息感染.当然.不否认有人会利用恶意网页来传播

特征:感染后在C盘windows文件夹内会有logo1_.exe文件.运行后 病毒体为 logo1_.exe kill.exe sws32.dll sws.dll rundl132.dll 等

修改注册表

病毒对注册表进行修改，在 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\IniFileMapping\system.ini\boot]winlogo 项和

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和

[HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/中添加键值=%System%（其中，和为可变的），使得在 下次

系统启动时，病毒可随之自动运行。

中毒后.该病毒能迅速感染explorer.exe 等核心进程.

以及所有的.exe可执行程序...是彻底修改.而不是简单的修改文件关联...具体表现为.游戏图标变色.或变为空白..基本上说.中了这个病毒.就等于你要全部格式化硬盘了。

添加logo1_.exe进程.还有其他几个忘记名字了..

同时释放网游木马.包括 WOW.传奇.江湖.西游.还有....trojan.psw.lineage 表问我这是什么...

你可以说.我装有杀毒软件.很不幸.这个病毒还有一个功能。.就是杀杀毒软件.病毒运行时会干掉以下进程:

rising

SkyNet

Symantec

McAfee

Gate

Rfw.exe

RavMon.exe

kill

NAV

KAV

表告诉我不知道这是什么进程.

你可以说.我装有还原软件.很不幸.该病毒能穿透还原精灵.冰点等数种主流还原软件.经本人测试.连还原卡也没用

:mad: :mad: :mad:

你可以说.我有ghost呢.恢复一下就OK.很不幸,由于是全盘感染.恢复镜象也没用.

对于中毒的朋友.本人只能说节哀顺便.如果实在想补救.有以下办法.

进入安全模式 什么都表点.开始-运行-regedit

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot]

winlogo 项

删掉.C:\WINDOWS\SWS32.DLL

HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/Run 删掉C:\WINDOWS\SWS32.dll 类似的都删掉.还有/RunOnce/RunOnceEx 项里面也检查一下.

为安全记.在注册表里搜索以下值 logo1_.exe logo_1.exe kill.exe sws32.dll sws.dll rundl132.dll 把搜索到的键值全部删掉.

搜索到的那些键值.一定要记得路径.比如c:\windows\sws32.dll c:\windows\logo1_.exe 等.注册表信息删掉后.在c盘把这些东西删掉.

然后在运行里输入msconfig 后面启动项里.把没见过的启动项都取消.

如果是网吧机子.server服务一定要关.因为该病毒会通过***享传播.并试图解开***享机子的用户密码.达到传送文件的目的.

做到这一步.请安装卡巴斯基.查毒.然后把所有染毒对象全部删除. 当然.以卡巴死基的一贯风格.会删除N多系统文件.请使用系统修复功能来修复系统...OVER.

其实以我的意思.中了这个毒.基本上就没有修复的必要了.每重新启动一次机子.病毒体会自身复制得更多.重新装一个系统并不麻烦.麻烦的是要重新装系统后.怎么才能做到不再感染此病毒.这也是我想要说的.经过查阅病毒资料.和自己一惯手动杀毒经验.本人使用以下防毒思路.测试效果良好.

重新装过系统后.(装系统过程请拔掉网线)在c:\windows\下 创建几个新文件.分别命名为

logo1_.exe logo_1.exe sws32.dll sws.dll 等.并把该文件属性设置为只读.

其实病毒祸首就是logo1_.exe 理论上说只创建这一个就可以了。

开始-运行 输入gpedit.msc

本地计算机策略--用户配置--管理模板--系统 双击右面的 不要运行指定的windows程序 选择已启用 点下面的显示那里 里面添加如下文件名 logo1_.exe logo_1.exe kill.exe 至于是否还有其他病毒主体名.大家也多查查。

到这一步.基本上该病毒就无法运行了.

其实防止logo1_.exe运行还有一个办法.就是在启动项里添加一个批处理.该批处理内容为

attrib c:\window\logo1_.exe -r -h

del c:\window\logo1_.exe /y

多复制几行。 把其他要删的文件名加上

就是启动系统时就把这些文件删掉.当然就无法运行了。 ..不过.通常这种办法会失灵.;)

还有一点就是防止点QQ信息里面的链接.开启QQ安全中心.如果想要显示QQ信息里连的链接但是不想点他。 也有办法.

在QQ菜单-设置-安全设置-网络信息安全 把安全级别设置为最高. 下面聊天信息安全里面两个勾都去掉.

表乱进不熟悉的网站.

一句话.良好的上网习惯是最好的杀毒利器.

手都打酸了。希望能对大家所帮助...

PS:偶表达能力差.表打击偶.有什么不明白的地方偶编辑下..

以下是修改过的logo1virus.bat

省了第一步.也就是说.直接运行logo1vires.bat后.去修改组策略.就万无一失了.修改过的logo1virus.bat内容为

---------------------------------------------------

echo > c:\windows\Logo1_.exe

echo > c:\windows\rundl132.exe

echo > c:\windows\0Sy.exe

echo > c:\windows\vDll.dll

echo > c:\windows\1Sy.exe

echo > c:\windows\2Sy.exe

echo > c:\windows\rundll32.exe

echo > c:\windows\3Sy.exe

echo > c:\windows\5Sy.exe

echo > c:\windows\1.com

echo > c:\windows\exerouter.exe

echo > c:\windows\EXP10RER.com

echo > c:\windows\finders.com

echo > c:\windows\Shell.sys

echo > c:\windows\smss.exe

echo > c:\windows\kill.exe

echo > c:\windows\sws.dll

echo > c:\windows\sws32.dll

attrib c:\windows\Logo1_.exe +s +r +h

attrib c:\windows\rundl132.exe +s +r +h

attrib c:\windows\0Sy.exe +s +r +h

attrib c:\windows\vDll.dll +s +r +h

attrib c:\windows\1Sy.exe +s +r +h

attrib c:\windows\2Sy.exe +s +r +h

attrib c:\windows\rundll32.exe +s +r +h

attrib c:\windows\3Sy.exe +s +r +h

attrib c:\windows\5Sy.exe +s +r +h

attrib c:\windows\1.com +s +r +h

attrib c:\windows\exerouter.exe +s +r +h

attrib c:\windows\EXP10RER.com +s +r +h

attrib c:\windows\finders.com +s +r +h

attrib c:\windows\Shell.sys +s +r +h

attrib c:\windows\smss.exe +s +r +h

attrib c:\windows\kill.exe +s +r +h

attrib c:\windows\sws.dll +s +r +h

attrib c:\windows\sws32.dll +s +r +h

-------------------------------------------

刚才整理了一下.修改组策略那里已经被我写成注册表。请把以下内容复制到文本里.修改成reg后缀导入就可.

------------------------------------------------

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\本地User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]

"**delvals."=" "

"1"="0Sy.exe"

"2"="1.com"

"3"="1Sy.exe"

"4"="2Sy.exe"

"5"="3Sy.exe"

"6"="5Sy.exe"

"7"="exerouter.exe"

"8"="EXP10RER.com"

"9"="finders.com"

"10"="finders.com"

"11"="kill.exe"

"12"="Logo1_.exe"

"13"="rundl132.exe"

"14"="rundll32.exe"

"15"="Shell.sys"

"16"="smss.exe"

"17"="smss.exe"

"18"="sws.dll"

"19"="sws32.dll"

"20"="tool.exe"

"21"="tool2005.exe"

"22"="tool2006.exe"

"23"="tools.exe"

"24"="vDll.dll"