威金专杀，威金病毒专杀

很多朋友对于威金专杀和威金病毒专杀不太懂，今天就由小编来为大家分享，希望可以帮助到大家，下面一起来看看吧！

威金(Worm.Viking)病毒特点-专杀及_desktop.ini删除

您好

1，威金病毒就是一种感染性特别强的盗号木马，尤其是针对于梦幻西游等游戏的帐号有很大的威胁。

2，建议您可以到腾讯电脑管家官网下载一个电脑管家。

3，然后使用电脑管家——杀毒——全盘查杀就可以了，不必去下载其他专杀工具

4，电脑管家拥有全国最大的云病毒库和虚拟执行技术，可以通过云鉴定检测出木马病毒，并彻底从您的电脑中将其根除。

如果还有其他疑问和问题，欢迎再次来电脑管家企业平台进行提问，我们将尽全力为您解答疑难

如何处理威金病毒(急)

一、该病毒特点:

名称：威金(Worm.Viking)

处理时间：2006-06-01威胁级别：★★

病毒类型：蠕虫影响系统：Win9x/ME,Win2000/NT,WinXP,Win2003

病毒行为:

该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒，病毒运行后将自身伪装成系统正常文件，以迷惑用户，通过修改注册表项使病毒开机时可以自动运行，同时病毒通过线程注入技术绕过防火墙的监视，连接到病毒作者指定的网站下载特定的木马或其它病毒，同时病毒运行后枚举内网的所有可用共享，并尝试通过弱口令方式连接感染目标计算机。

运行过程过感染用户机器上的可执行文件，造成用户机器运行速度变慢，破坏用户机器的可执行文件，给用户安全性构成危害。

病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。

1、病毒运行后将自身复制到Windows文件夹下,文件名为:

%SystemRoot%\rundl132.exe

2、运行被感染的文件后，病毒将病毒体复制到为以下文件:

%SystemRoot%\logo_1.exe

3、同时病毒会在病毒文件夹下生成:

病毒目录\vdll.dll

4、病毒从Z盘开始向前搜索所有可用分区中的exe文件，然后感染所有大小27kb-10mb的可执行文件，感染完毕在被感染的文件夹中生成:

_desktop.ini(文件属性:系统、隐藏。)

5、病毒会尝试修改%SysRoot%\system32\drivers\etc\hosts文件。

6、病毒通过添加如下注册表项实现病毒开机自动运行:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"load"="C:\\WINNT\\rundl132.exe"

[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows]

"load"="C:\\WINNT\\rundl132.exe"

7、病毒运行时尝试查找窗体名为:"RavMonClass"的程序，查找到窗体后发送消息关闭该程序。

8、枚举以下杀毒软件进程名，查找到后终止其进程:

Ravmon.exe

Eghost.exe

Mailmon.exe

KAVPFW.EXE

IPARMOR.EXE

Ravmond.exe

9、同时病毒尝试利用以下命令终止相关杀病毒软件：

netstop"KingsoftAntiVirusService"

10、发送ICMP探测数据"Hello,World"，判断网络状态，网络可用时，

枚举内网所有共享主机，并尝试用弱口令连接\\IPC$、\admin$等共享目录，连接成功后进行网络感染。

11、感染用户机器上的exe文件，但不感染以下文件夹中的文件:

system

system32

windows

documentsandsettings

systemVolumeInformation

Recycled

winnt

ProgramFiles

WindowsNT

WindowsUpdate

WindowsMediaPlayer

OutlookExpress

InternetExplorer

ComPlusApplications

NetMeeting

CommonFiles

Messenger

MicrosoftOffice

InstallShieldInstallationInformation

MSN

MicrosoftFrontpage

MovieMaker

MSNGamingZone

12、枚举系统进程，尝试将病毒dll(vdll.dll)选择性注入以下进程名对应的进程:

Explorer

Iexplore

找到符合条件的进程后随机注入以上两个进程中的其中一个。

13、当外网可用时，被注入的dll文件尝试连接以下网站下载并运行相关程序:

http://www.17**.com/gua/zt.txt保存为:c:\1.txt

http://www.17**.com/gua/wow.txt保存为:c:\1.txt

http://www.17**.com/gua/mx.txt保存为:c:\1.txt

http://www.17**.com/gua/zt.exe保存为:%SystemRoot%Sy.exe

http://www.17**.com/gua/wow.exe保存为:%SystemRoot%\1Sy.exe

http://www.17**.com/gua/mx.exe保存为:%SystemRoot%\2Sy.exe

注：三个程序都为木马程序

14、病毒会将下载后的"1.txt"的内容添加到以下相关注册表项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]

"auto"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]

"ver_down0"="[bootloader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++"

"ver_down1"="[bootloader]

timeout=30

[operatingsystems]

multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"MicrosoftWindowsXPProfessional\"////"

"ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS

[operatingsystems]

multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"MicrosoftWindowsXPProfessional\"/////"

二、专杀工具

http://it.rising.com.cn/service/technology/RavVikiing.htm

三、删除_desktop.ini

该病毒会在每个文件夹中生成一个名为_desktop.ini的文件，一个个去删除，显然太费劲，（我的机器的操作系统因安装在NTFS格式下，所以系统盘下的文件夹中没有这个文件，另外盘下的文件夹无一幸免），因此在这里介绍给大家一个批处理命令deld:\_desktop.ini/f/s/q/a，该命令的作用是：

强制删除d盘下所有目录内（包括d盘本身）的_desktop.ini文件并且不提示是否删除

/f强制删除只读文件

/q指定静音状态。不提示您确认删除。

/s从当前目录及其所有子目录中删除指定文件。显示正在被删除的文件名。

/a的意思是按照属性来删除了

这个命令的作用是在杀掉viking病毒之后清理系统内残留的_desktop.ini文件用的

使用方法是开始--所有程序--附件--命令提示符，键入上述命令（也可复制粘贴），首先删除D盘中的_desktop.ini，然后依此删除另外盘中的_desktop.ini。

至此，该病毒对机器造成的影响全部消除。

觉得有用的朋友们拿去试试吧

以下是我自己处理的方法：

(1)先下载好瑞星威金病毒专杀工具；

http://it.rising.com.cn/service/technology/RavVikiing.htm

(2)断开网络；

(3)处理C盘：能系统还原的就系统还原，这样节省时间，不行的就重装系统；

(4)再在安全模式下用刚才下的专杀工具清除掉C盘以外的其它盘的病毒；

(5)用全盘搜索功能（记得在高级选项里把搜索隐藏文件的选项勾上），搜索名为“_desktop.ini”的文件，搜索好后，凡是符合要求的全部删除；

(6)清除完后重启机器即可。

我的电脑中毒了,logo_1,exe威金专杀杀不了,怎么办

防止VIKING病毒攻击的一个方法(rundl132.exe,logo_1.exe,~.exe)

手工清除病毒，注册表之后，被感染的EXE文件依然无法清除。一旦运行被感染的exe文件，病毒再次发作。网上流传的建立假病毒文件设为系统属性免疫方法无效，杀毒软件，专杀工具更无效。（除非你杀完毒，删除你硬盘上的所有小于10M的exe

文件）

彻底解决方式，运行windows的自动更新，安装2006年9月17日的更新补丁：windows

xp

KB917537安全更新。所有问题彻底解决。

Windows

2000:

http://download.microsoft.com/download/f/c/7/fc71d0c6-9346-4a61-b0a4-a1cf7045690a/Windows2000-KB917537-x86-CHS.EXE

Windows

XP:

http://download.microsoft.com/download/6/2/2/62259943-9b98-4521-bc18-7139cc5e877f/WindowsXP-KB917537-x86-CHS.exe

------------------------------------------------------------------------------------

症状:

注册表加载

windows\rundl132.exe,

删除后自动恢复.

进程中有logo_1.exe

执行EXE文件时,自动生成~exe文件,比如安装setup.exe时,自动复制setup~.exe文件.

图标变大变灰。

附专杀工具(为网友自己编写而成.)

点击下载此文件

最近被一个名为VIKING的毒骚扰了两次，该毒最大的“优点”就是会自动查找你硬盘上的一些EXE文件(好像是随机的)附加。(这种worm类病毒曾在DOS下是很让人头疼的事，曾是一个dir就感染了整个目录。)这样一来，即使你清掉内存中的病毒也于事无补，因为你总要运行电脑上的exe文件。

清除内存和病毒生成的文件后，又观察了病毒的运行结果，发现病毒是在windows目录下生成vdll.dll,logo1_.exe,rundl132.exe这三个文件。

又经过实验，vdll.dll注入exeplorer.exe是由logo1_.exe来完成。病毒会在开机自动执行中加入rundl132.exe

病毒也是程序，只要不给它执行的空间，它就很乖了。

WINDOWS对内存中的程序文件都有保护机制，利用这个特点，可以抢在病毒之前，先执行两个你开机必执行的程序，这样病毒就无法产下自己的孩子了。

我的方法:

一、清除病毒文件和内存中的vdll.dll，可以用DOS平台，也可以用ICESWORD，具体方法就不说了。

二、保证开机只运行必要的几个进程。

三、无敌小闹钟(我的一个开机必运行的程序)改名为logo1_.exe放在windows目录下，并立刻执行，然后在注册表中加入开机执行它。

四、把windows\system32下的ctfmon.exe，复制到windows目录下，并改名为rundl132.exe，并立即执行。

大功告成!!!病毒的两个孩子名字logo1_.exe，rundl132.exe由于被你抢先占用了，它们只好死好娘肚子里，哇哈哈哈。(是不是太残忍，如果你不忍心，就让它们出来吧)

这病毒会让你的某些EXE不能正常运行，如果某个软件不能正常运行，你重新安装就是了，病毒再没有机会发作了,

如果你还想了解更多这方面的信息，记得收藏关注本站。

本文链接：https://bk.89qw.com/a-991680