我的电脑中了病毒
作者&投稿:厨人幸 (若有异议请与网页底部的电邮联系)
这就是传说中的VIKING(威金蠕虫病毒)该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒,病毒运行后将自身伪装成系统正常文件,以迷惑用户,通过修改注册表项使病毒开机时可以自动运行,同时病毒通过线程注入技术绕过防火墙的监视,连接到病毒作者指定的网站下载特定的木马或其它病毒,同时病毒运行后枚举内网的所有可用共享,并尝试通过弱口令方式连接感染目标计算机。
运行过程过感染用户机器上的可执行文件,造成用户机器运行速度变慢,破坏用户机器的可执行文件,给用户安全性构成危害。
病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。
1、病毒运行后将自身复制到Windows文件夹下,文件名为:
%SystemRoot%\rundl132.exe
2、运行被感染的文件后,病毒将病毒体复制到为以下文件:
%SystemRoot%\logo_1.exe
3、同时病毒会在病毒文件夹下生成:
病毒目录\vdll.dll
4、病毒从Z盘开始向前搜索所有可用分区中的exe文件,然后感染所有大小27kb-10mb的可执行文件,感染完毕在被感染的文件夹中生成:
_desktop.ini (文件属性:系统、隐藏。)
5、病毒会尝试修改%SysRoot%\system32\drivers\etc\hosts文件。
6、病毒通过添加如下注册表项实现病毒开机自动运行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\rundl132.exe"
7、病毒运行时尝试查找窗体名为:"RavMonClass"的程序,查找到窗体后发送消息关闭该程序。
8、枚举以下杀毒软件进程名,查找到后终止其进程:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe
9、同时病毒尝试利用以下命令终止相关杀病毒软件:
net stop "Kingsoft AntiVirus Service"
10、发送ICMP探测数据"Hello,World",判断网络状态,网络可用时,
枚举内网所有共享主机,并尝试用弱口令连接\\IPC$、\admin$等共享目录,连接成功后进行网络感染。
11、感染用户机器上的exe文件,但不感染以下文件夹中的文件:
system
system32
windows
Documents and settings
system Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone
12、枚举系统进程,尝试将病毒dll(vdll.dll)选择性注入以下进程名对应的进程:
Explorer
Iexplore
找到符合条件的进程后随机注入以上两个进程中的其中一个。
13、当外网可用时,被注入的dll文件尝试连接以下网站下载并运行相关程序:
http://www.17**.com/gua/zt.txt 保存为:c:\1.txt
http://www.17**.com/gua/wow.txt 保存为:c:\1.txt
http://www.17**.com/gua/mx.txt 保存为:c:\1.txt
http://www.17**.com/gua/zt.exe 保存为:%SystemRoot%\0Sy.exe
http://www.17**.com/gua/wow.exe 保存为:%SystemRoot%\1Sy.exe
http://www.17**.com/gua/mx.exe 保存为:%SystemRoot%\2Sy.exe
注:三个程序都为木马程序
14、病毒会将下载后的"1.txt"的内容添加到以下相关注册表项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]
"ver_down0"="[boot loader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++"
"ver_down1"="[boot loader]
timeout=30
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" ////"
"ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" /////"
---------------------------------我是分割线--------------------------
那么知道他是VIKING了 你就自己去网上搜索解决办法吧 据我所知解决办法不下10多种 上百篇文章。
但是 我想说的是:我前段时间中这个毒了,他们说的办法我几乎都试过了除了比较麻烦的。最后我一气之下把电脑格式化了 一了百了。 你可以把你电脑里的重要文件放到一个盘里比如E盘 但是注意的是这些文件绝对不能是EXE之类的文件(哥们,能保留点电影MP 照片就行了 或者文档)然后打开工具栏显示所有隐藏文件 把每个E盘里的文件夹内的隐藏文件都删除了。然后把其他盘格式化再重装系统就OK了 记住要断网。装完以后第一件事去下载卡巴斯基6.0版本可以预防但是根治不了。
注意事项:保留照片MP3电影之类的到一张盘 这个盘里的所有文件夹包括子文件夹全部把里面的陌生东西删除(显示隐藏文件模式下)
其他盘全部格式化。重装系统时断网。
你中了维金病毒,目前几大杀毒软件厂家的控制能力还不是太成熟,你的操作系统应该是2000,你可以按照以下步骤做
1、删掉注册表中所有的rundl132.exe和svhost32.exe
2、删掉系统目录下的rundl132.exe和svhost32.exe,
3、把下面的拷贝成 “维金.bat”再运行
4、再在安全模式下用诺顿10杀一遍即可恢复系统安全
5、对于文件的恢复,我现在还没有成功过。
reg delete HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run /v {9D0351F9-8E49-4ed1-BBCE-0795F5B9F240} /f
reg delete "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v load /f
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run /v {9D0351F9-8E49-4ed1-BBCE-0795F5B9F240} /f
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Reliability /v ShutdownStateSnapshot /f
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v zt /f
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v ms /f
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v fzg /f
reg delete HKEY_USERS\S-1-5-21-2605889240-4013433242-1396700885-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run /v {9D0351F9-8E49-4ed1-BBCE-0795F5B9F240} /f
reg delete "HKEY_USERS\S-1-5-21-2605889240-4013433242-1396700885-500\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v load /f
md %systemroot%\1.com
cacls %systemroot%\1.com /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\sws32.dll
cacls %systemroot%\sws32.dll /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\kill.exe
cacls %systemroot%\kill.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\EXP10RER.com
cacls %systemroot%\10RER.com /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\finders.com
cacls %systemroot%\finders.com /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\Shell.sys
cacls %systemroot%\Shell.sys /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\Logo_.exe
cacls %systemroot%\0Sy.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\Logo_.exe
cacls %systemroot%\0Sy.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\1Sy.exe
cacls %systemroot%\1Sy.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\2Sy.exe
cacls %systemroot%\2Sy.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\3Sy.exe
cacls %systemroot%\3Sy.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\4Sy.exe
cacls %systemroot%\4Sy.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\5Sy.exe
cacls %systemroot%\5Sy.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\6Sy.exe
cacls %systemroot%\6Sy.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\7Sy.exe
cacls %systemroot%\7Sy.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\8Sy.exe
cacls %systemroot%\8Sy.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\9Sy.exe
cacls %systemroot%\9Sy.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\exerouter.exe
cacls %systemroot%\exerouter.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\Logo1_.exe
cacls %systemroot%\Logo1_.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\rundl132.exe
cacls %systemroot%\rundl132.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\rundll32.exe
cacls %systemroot%\rundll32.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\smss.exe
cacls %systemroot%\smss.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\vDll.dll
cacls %systemroot%\vDll.dll /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\Dll.dll
cacls %systemroot%\Dll.dll /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md "C:\Program Files\svhost32.exe"
cacls "C:\Program Files\svhost32.exe" /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md "C:\Program Files\Intel\rundll32.exe"
cacls "C:\Program Files\Intel\rundll32.exe" /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md "C:\Program Files\Intel\svhost32.exe"
cacls "C:\Program Files\Intel\svhost32.exe" /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md "C:\Program Files\Microsoft\svhost32.exe"
cacls "C:\Program Files\Microsoft\svhost32.exe" /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\system32\richnotify.exe
cacls %systemroot%\system32\richnotify.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\system32\reshtm.dll
cacls %systemroot%\system32\reshtm.dll /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\system32\resPro.dll
cacls %systemroot%\system32\resPro.dll /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\stdie.dll
cacls %systemroot%\stdie.dll /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
del c:\_desktop.ini /f/s/q/a
del d:\_desktop.ini /f/s/q/a
del e:\_desktop.ini /f/s/q/a
del f:\_desktop.ini /f/s/q/a
del g:\_desktop.ini /f/s/q/a
del h:\_desktop.ini /f/s/q/a
del i:\_desktop.ini /f/s/q/a
del j:\_desktop.ini /f/s/q/a
del k:\_desktop.ini /f/s/q/a
del l:\_desktop.ini /f/s/q/a
del m:\_desktop.ini /f/s/q/a
del n:\_desktop.ini /f/s/q/a
del o:\_desktop.ini /f/s/q/a
del p:\_desktop.ini /f/s/q/a
del q:\_desktop.ini /f/s/q/a
del r:\_desktop.ini /f/s/q/a
del s:\_desktop.ini /f/s/q/a
del t:\_desktop.ini /f/s/q/a
del u:\_desktop.ini /f/s/q/a
del v:\_desktop.ini /f/s/q/a
del w:\_desktop.ini /f/s/q/a
del x:\_desktop.ini /f/s/q/a
del y:\_desktop.ini /f/s/q/a
del z:\_desktop.ini /f/s/q/a
_desktop.ini这个说明你中的是威金。。。。。
威金传播途径光,带病毒木马蠕虫性质,很不好解决。。。你用专杀工具试试。
我已解决了,现在说出我的方法来给大家分享,用瑞星+江民专杀+瑞星专杀
+卡巴
先在下面的工作用的办公电脑都都装上了卡巴6.0要去官方哪里下载的有保证,可以不用升级到最新毒库一样有效(还要找个授权文件来注册他现在网上这文件非常易找)
<卡巴在这里的角色不是用来杀毒是用来抵挡病毒的再次入侵,因为卡巴杀毒后机上的重要文件一般都掉失了,所有程序都不能用了>
后用江民杀专杀+瑞星专杀(江民一个就可以了不过为了安全两个一起来)专杀工具可以在不伤原文件的情况下抽毒来杀掉
这样这台机马上连到内网就不会再中毒了,就这样一台一台的清,不影响公司的正常工作
(因为我公司里以WIN98为主,专杀工具只有瑞星一个可以在WIN98里面运行,我选用卡巴是因为不用升级病毒库,我公司办公电脑都是不可以上网的)
最后就到公司里的6台服务器了,好可惜的是卡巴是不支持装到服务器上的,就在绝望时我发现到了瑞星,(注明的是我已前办公电脑都是用瑞星的在网上下载回来的可是机都中毒连瑞星自己也牺牲了)有一台电脑装的瑞星,以其他的瑞星不一样哪怕直接把毒考到机上一样没事,查一下他的监控历史,从9月份他就开始检测局域网里有毒了并一直保护着这台机.我马上把他制作安装包用到服务器上,OK服务器上马上受到保护了.因为之前用过杀毒软件杀毒后连机都开不了我就不敢试用这个瑞星杀毒还是用回专杀工具杀(因为服务器出了什么事我也不想活了)
事后经过研究发现这个(瑞星)的确和其他的<瑞星>不一样
1在他操作介面上左上角不是显示不是瑞星杀毒软件下载版,而是直接的 瑞星杀毒软件 这几个字
2在启动栏里的名字和其它地方标的也是这样少了 下载版 这几个字,除了这几个字不一样外就没发现其他不一样了
就以断定这是另一个版本,怀疑是单机版 官方没得下载的,这说明现在官方网上的下载版瑞星是功能不全的,要买正版才有用,难怪现在网上出了这么多破解版瑞星都不去打击一下,原来下载版只是一个替死鬼,幸好还有少部分地方还是有原装碟版的瑞星下载,
现在局域网开始没事了
你中了logo1_.exe(威金蠕虫)病毒,不过现在好解决了!
注意:在进行下列操作前把你的电脑的共享全部关掉
1、把进程里面的logo1_.exe、rundl132.exe(注意rundl132.exe的第6个是
数字“1”,不是字母“l”)
2、把电脑的启动项rundl132.exe关掉
3、把c:\windows下的logo1_.exe、rundl132.exe的文件删掉
4、用金山或瑞星威金蠕虫专杀工具杀毒
5、杀完毒后重新启动,再安装瑞星(电脑托盘下的“小绿伞”撑开了才算
成功,否则还要用金山或瑞星威金蠕虫专杀工具杀毒),把瑞星升级到
最新版本后进行杀毒(最好是在安全模式下杀毒,杀毒过程中也不要用
电脑了),杀毒两次以上,只到没毒为止。
如果你的电脑是在局域网内使用,记住千万不要开共享!!!
我们局域网内也中过这中病毒,以上是我清除这种病毒的方法,其实也很
简单,没有网上说的那么复杂。在此我推荐你使用瑞星杀毒,卡巴虽然好,但是它会把被感染的文件删掉,这样你的很多应用程序就不能用了,但是瑞星就是直接清除病毒,实在不能清除的,它才会删除文件。
希望你早日清除这种病毒!
试试杀毒,不行只有格式化了.
这就是传说中的VIKING(威金蠕虫病毒)该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒,病毒运行后将自身伪装成系统正常文件,以迷惑用户,通过修改注册表项使病毒开机时可以自动运行,同时病毒通过线程注入技术绕过防火墙的监视,连接到病毒作者指定的网站下载特定的木马或其它病毒,同时病毒运行后枚举内网的所有可用共享,并尝试通过弱口令方式连接感染目标计算机。
运行过程过感染用户机器上的可执行文件,造成用户机器运行速度变慢,破坏用户机器的可执行文件,给用户安全性构成危害。
病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。
电脑中了木马病毒会怎样~
运行过程过感染用户机器上的可执行文件,造成用户机器运行速度变慢,破坏用户机器的可执行文件,给用户安全性构成危害。
病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。
1、病毒运行后将自身复制到Windows文件夹下,文件名为:
%SystemRoot%\rundl132.exe
2、运行被感染的文件后,病毒将病毒体复制到为以下文件:
%SystemRoot%\logo_1.exe
3、同时病毒会在病毒文件夹下生成:
病毒目录\vdll.dll
4、病毒从Z盘开始向前搜索所有可用分区中的exe文件,然后感染所有大小27kb-10mb的可执行文件,感染完毕在被感染的文件夹中生成:
_desktop.ini (文件属性:系统、隐藏。)
5、病毒会尝试修改%SysRoot%\system32\drivers\etc\hosts文件。
6、病毒通过添加如下注册表项实现病毒开机自动运行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\rundl132.exe"
7、病毒运行时尝试查找窗体名为:"RavMonClass"的程序,查找到窗体后发送消息关闭该程序。
8、枚举以下杀毒软件进程名,查找到后终止其进程:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe
9、同时病毒尝试利用以下命令终止相关杀病毒软件:
net stop "Kingsoft AntiVirus Service"
10、发送ICMP探测数据"Hello,World",判断网络状态,网络可用时,
枚举内网所有共享主机,并尝试用弱口令连接\\IPC$、\admin$等共享目录,连接成功后进行网络感染。
11、感染用户机器上的exe文件,但不感染以下文件夹中的文件:
system
system32
windows
Documents and settings
system Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone
12、枚举系统进程,尝试将病毒dll(vdll.dll)选择性注入以下进程名对应的进程:
Explorer
Iexplore
找到符合条件的进程后随机注入以上两个进程中的其中一个。
13、当外网可用时,被注入的dll文件尝试连接以下网站下载并运行相关程序:
http://www.17**.com/gua/zt.txt 保存为:c:\1.txt
http://www.17**.com/gua/wow.txt 保存为:c:\1.txt
http://www.17**.com/gua/mx.txt 保存为:c:\1.txt
http://www.17**.com/gua/zt.exe 保存为:%SystemRoot%\0Sy.exe
http://www.17**.com/gua/wow.exe 保存为:%SystemRoot%\1Sy.exe
http://www.17**.com/gua/mx.exe 保存为:%SystemRoot%\2Sy.exe
注:三个程序都为木马程序
14、病毒会将下载后的"1.txt"的内容添加到以下相关注册表项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]
"ver_down0"="[boot loader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++"
"ver_down1"="[boot loader]
timeout=30
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" ////"
"ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" /////"
---------------------------------我是分割线--------------------------
那么知道他是VIKING了 你就自己去网上搜索解决办法吧 据我所知解决办法不下10多种 上百篇文章。
但是 我想说的是:我前段时间中这个毒了,他们说的办法我几乎都试过了除了比较麻烦的。最后我一气之下把电脑格式化了 一了百了。 你可以把你电脑里的重要文件放到一个盘里比如E盘 但是注意的是这些文件绝对不能是EXE之类的文件(哥们,能保留点电影MP 照片就行了 或者文档)然后打开工具栏显示所有隐藏文件 把每个E盘里的文件夹内的隐藏文件都删除了。然后把其他盘格式化再重装系统就OK了 记住要断网。装完以后第一件事去下载卡巴斯基6.0版本可以预防但是根治不了。
注意事项:保留照片MP3电影之类的到一张盘 这个盘里的所有文件夹包括子文件夹全部把里面的陌生东西删除(显示隐藏文件模式下)
其他盘全部格式化。重装系统时断网。
你中了维金病毒,目前几大杀毒软件厂家的控制能力还不是太成熟,你的操作系统应该是2000,你可以按照以下步骤做
1、删掉注册表中所有的rundl132.exe和svhost32.exe
2、删掉系统目录下的rundl132.exe和svhost32.exe,
3、把下面的拷贝成 “维金.bat”再运行
4、再在安全模式下用诺顿10杀一遍即可恢复系统安全
5、对于文件的恢复,我现在还没有成功过。
reg delete HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run /v {9D0351F9-8E49-4ed1-BBCE-0795F5B9F240} /f
reg delete "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v load /f
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run /v {9D0351F9-8E49-4ed1-BBCE-0795F5B9F240} /f
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Reliability /v ShutdownStateSnapshot /f
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v zt /f
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v ms /f
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v fzg /f
reg delete HKEY_USERS\S-1-5-21-2605889240-4013433242-1396700885-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run /v {9D0351F9-8E49-4ed1-BBCE-0795F5B9F240} /f
reg delete "HKEY_USERS\S-1-5-21-2605889240-4013433242-1396700885-500\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v load /f
md %systemroot%\1.com
cacls %systemroot%\1.com /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\sws32.dll
cacls %systemroot%\sws32.dll /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\kill.exe
cacls %systemroot%\kill.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\EXP10RER.com
cacls %systemroot%\10RER.com /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\finders.com
cacls %systemroot%\finders.com /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\Shell.sys
cacls %systemroot%\Shell.sys /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\Logo_.exe
cacls %systemroot%\0Sy.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\Logo_.exe
cacls %systemroot%\0Sy.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\1Sy.exe
cacls %systemroot%\1Sy.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\2Sy.exe
cacls %systemroot%\2Sy.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\3Sy.exe
cacls %systemroot%\3Sy.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\4Sy.exe
cacls %systemroot%\4Sy.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\5Sy.exe
cacls %systemroot%\5Sy.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\6Sy.exe
cacls %systemroot%\6Sy.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\7Sy.exe
cacls %systemroot%\7Sy.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\8Sy.exe
cacls %systemroot%\8Sy.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\9Sy.exe
cacls %systemroot%\9Sy.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\exerouter.exe
cacls %systemroot%\exerouter.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\Logo1_.exe
cacls %systemroot%\Logo1_.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\rundl132.exe
cacls %systemroot%\rundl132.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\rundll32.exe
cacls %systemroot%\rundll32.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\smss.exe
cacls %systemroot%\smss.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\vDll.dll
cacls %systemroot%\vDll.dll /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\Dll.dll
cacls %systemroot%\Dll.dll /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md "C:\Program Files\svhost32.exe"
cacls "C:\Program Files\svhost32.exe" /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md "C:\Program Files\Intel\rundll32.exe"
cacls "C:\Program Files\Intel\rundll32.exe" /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md "C:\Program Files\Intel\svhost32.exe"
cacls "C:\Program Files\Intel\svhost32.exe" /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md "C:\Program Files\Microsoft\svhost32.exe"
cacls "C:\Program Files\Microsoft\svhost32.exe" /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\system32\richnotify.exe
cacls %systemroot%\system32\richnotify.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\system32\reshtm.dll
cacls %systemroot%\system32\reshtm.dll /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\system32\resPro.dll
cacls %systemroot%\system32\resPro.dll /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\stdie.dll
cacls %systemroot%\stdie.dll /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
del c:\_desktop.ini /f/s/q/a
del d:\_desktop.ini /f/s/q/a
del e:\_desktop.ini /f/s/q/a
del f:\_desktop.ini /f/s/q/a
del g:\_desktop.ini /f/s/q/a
del h:\_desktop.ini /f/s/q/a
del i:\_desktop.ini /f/s/q/a
del j:\_desktop.ini /f/s/q/a
del k:\_desktop.ini /f/s/q/a
del l:\_desktop.ini /f/s/q/a
del m:\_desktop.ini /f/s/q/a
del n:\_desktop.ini /f/s/q/a
del o:\_desktop.ini /f/s/q/a
del p:\_desktop.ini /f/s/q/a
del q:\_desktop.ini /f/s/q/a
del r:\_desktop.ini /f/s/q/a
del s:\_desktop.ini /f/s/q/a
del t:\_desktop.ini /f/s/q/a
del u:\_desktop.ini /f/s/q/a
del v:\_desktop.ini /f/s/q/a
del w:\_desktop.ini /f/s/q/a
del x:\_desktop.ini /f/s/q/a
del y:\_desktop.ini /f/s/q/a
del z:\_desktop.ini /f/s/q/a
_desktop.ini这个说明你中的是威金。。。。。
威金传播途径光,带病毒木马蠕虫性质,很不好解决。。。你用专杀工具试试。
我已解决了,现在说出我的方法来给大家分享,用瑞星+江民专杀+瑞星专杀
+卡巴
先在下面的工作用的办公电脑都都装上了卡巴6.0要去官方哪里下载的有保证,可以不用升级到最新毒库一样有效(还要找个授权文件来注册他现在网上这文件非常易找)
<卡巴在这里的角色不是用来杀毒是用来抵挡病毒的再次入侵,因为卡巴杀毒后机上的重要文件一般都掉失了,所有程序都不能用了>
后用江民杀专杀+瑞星专杀(江民一个就可以了不过为了安全两个一起来)专杀工具可以在不伤原文件的情况下抽毒来杀掉
这样这台机马上连到内网就不会再中毒了,就这样一台一台的清,不影响公司的正常工作
(因为我公司里以WIN98为主,专杀工具只有瑞星一个可以在WIN98里面运行,我选用卡巴是因为不用升级病毒库,我公司办公电脑都是不可以上网的)
最后就到公司里的6台服务器了,好可惜的是卡巴是不支持装到服务器上的,就在绝望时我发现到了瑞星,(注明的是我已前办公电脑都是用瑞星的在网上下载回来的可是机都中毒连瑞星自己也牺牲了)有一台电脑装的瑞星,以其他的瑞星不一样哪怕直接把毒考到机上一样没事,查一下他的监控历史,从9月份他就开始检测局域网里有毒了并一直保护着这台机.我马上把他制作安装包用到服务器上,OK服务器上马上受到保护了.因为之前用过杀毒软件杀毒后连机都开不了我就不敢试用这个瑞星杀毒还是用回专杀工具杀(因为服务器出了什么事我也不想活了)
事后经过研究发现这个(瑞星)的确和其他的<瑞星>不一样
1在他操作介面上左上角不是显示不是瑞星杀毒软件下载版,而是直接的 瑞星杀毒软件 这几个字
2在启动栏里的名字和其它地方标的也是这样少了 下载版 这几个字,除了这几个字不一样外就没发现其他不一样了
就以断定这是另一个版本,怀疑是单机版 官方没得下载的,这说明现在官方网上的下载版瑞星是功能不全的,要买正版才有用,难怪现在网上出了这么多破解版瑞星都不去打击一下,原来下载版只是一个替死鬼,幸好还有少部分地方还是有原装碟版的瑞星下载,
现在局域网开始没事了
你中了logo1_.exe(威金蠕虫)病毒,不过现在好解决了!
注意:在进行下列操作前把你的电脑的共享全部关掉
1、把进程里面的logo1_.exe、rundl132.exe(注意rundl132.exe的第6个是
数字“1”,不是字母“l”)
2、把电脑的启动项rundl132.exe关掉
3、把c:\windows下的logo1_.exe、rundl132.exe的文件删掉
4、用金山或瑞星威金蠕虫专杀工具杀毒
5、杀完毒后重新启动,再安装瑞星(电脑托盘下的“小绿伞”撑开了才算
成功,否则还要用金山或瑞星威金蠕虫专杀工具杀毒),把瑞星升级到
最新版本后进行杀毒(最好是在安全模式下杀毒,杀毒过程中也不要用
电脑了),杀毒两次以上,只到没毒为止。
如果你的电脑是在局域网内使用,记住千万不要开共享!!!
我们局域网内也中过这中病毒,以上是我清除这种病毒的方法,其实也很
简单,没有网上说的那么复杂。在此我推荐你使用瑞星杀毒,卡巴虽然好,但是它会把被感染的文件删掉,这样你的很多应用程序就不能用了,但是瑞星就是直接清除病毒,实在不能清除的,它才会删除文件。
希望你早日清除这种病毒!
试试杀毒,不行只有格式化了.
这就是传说中的VIKING(威金蠕虫病毒)该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒,病毒运行后将自身伪装成系统正常文件,以迷惑用户,通过修改注册表项使病毒开机时可以自动运行,同时病毒通过线程注入技术绕过防火墙的监视,连接到病毒作者指定的网站下载特定的木马或其它病毒,同时病毒运行后枚举内网的所有可用共享,并尝试通过弱口令方式连接感染目标计算机。
运行过程过感染用户机器上的可执行文件,造成用户机器运行速度变慢,破坏用户机器的可执行文件,给用户安全性构成危害。
病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。
电脑中了木马病毒会怎样~
1) 电脑运行速度变慢;
2)电脑中的敏感信息被盗——如网上银行账号和密码、个人资料、公司敏感机密信息等;
3)QQ账号和密码可能被盗,Q币被倒卖;
4)网络游戏账号和密码被盗,装备被倒卖;
5)如果电脑上有摄像头,木马可以控制摄像头对你进行录像;
6)可以让你的电脑作为肉鸡,作为黑客攻击的跳板;
7)最严重的电脑病毒还有可能破坏电脑硬件,使电脑瘫痪,如CIH病毒。
哥们这样的情况建议你从别的电脑上复制过个360系统急救箱,用360系统急救箱(它不用安装,解压后就可使用)在带网络安全模式下查杀试试,它是在各类传统杀毒软件查杀无效或电脑感染木马,导致杀毒软件无法安装或启动时清理病毒的最好工具;它能够强力清除木马和可疑程序,并修复被感染的系统文件,抑制木马再生,恢复杀软的正常运行。
电脑中病毒的原因
答:计算机操作系统和软件中的漏洞可能被黑客利用,通过恶意软件来感染你的计算机。如果你没有及时更新操作系统、应用程序和安全补丁,你的计算机就容易受到攻击。️可移动存储设备插入感染病毒的可移动存储设备(如USB闪存驱动器、外部硬盘等)也是病毒传播的一种常见途径。如果这些设备中包含恶意软件,当你将其插入计算机时...
电脑病毒如何处理
答:电脑病毒是电脑用户经常遇到的问题之一,本文将介绍如何处理电脑病毒。全盘查杀可以试试能不能进行杀毒,优先升级到最新版本然后全盘查杀。重新安装瑞星可以重新安装瑞星,看问题是否会解决。樂无法查杀病毒怎么办如果无法查杀病毒,冲洗安装也不行,被病毒破坏的话,就比较麻烦了,这个问题确实比较棘手,因不同的病毒...
电脑病毒的危害及处理方法
答:裂病毒的危害电脑病毒对电脑的危害是很大的,因为病毒是有破坏性的。比如说电脑中了电脑病毒后,会导致电脑文件打不开甚至自动重启等。️使用电脑管家杀毒所以电脑出现了病毒,一定要及使用电脑管家去杀毒才行。 抢首赞 评论 分享 举报 为你推荐:特别推荐 电动车多次降价,品质是否有保障? 什么是“网络厕所”?
电脑中病毒了怎么办
答:电脑中病毒了怎么办 方法一:使用杀毒软件杀死病毒 现在,我们通常使用杀毒软件来检查并杀死病毒。基本上,可以消除99%的病毒。如果遇到顽固病毒,则需要通过以下两种方法解决它们。方法二:进入安全模式防病毒 安全模式是计算机在系统下运行的最小模式。它不包括加载第三方软件。1、win + R快捷键打开运行...
局域网中电脑中了ARP欺骗病毒导致断网的解决方法
答:局域网中有一台电脑中了ARP欺骗病毒,疯狂供给路由器导致断网,以下是解决方法。裂ARP欺骗病毒首先,需要查杀电脑中的ARP欺骗病毒,可以使用杀毒软件进行查杀。电压稳定其次,需要保证电压稳定,可以使用稳压器等设备进行电压稳定。路由器设置如果以上两种方法都无法解决问题,可以尝试检查路由器设置是否有问题,例如关掉...
电脑中了病毒怎么处理?
答:为了避免再次感染virus.win32病毒,需要加强电脑的安全防护。这包括:定期更新操作系统和应用程序的补丁,修复漏洞;不随意打开未知来源的邮件和链接,避免病毒感染;安装可靠的杀毒软件,进行实时监控和扫描;定期备份重要数据,防止数据丢失。总之,电脑中了virus.win32病毒后,应该及时采取措施进行清除和防护,...
电脑中了病毒怎么办?
答:将电脑重置即可,具体的重置方法为:1、打开电脑的开始菜单,找到电脑设置选项,并点击打开。2、在打开的设置界面中,点击更新和安全选项。3、在跳转的界面中,找到重置此电脑选项,并点击开始选项。4、在跳转的界面中,选择删除所有内容即可。
怎样彻底清除电脑病毒
答:可借助强力杀毒工具,如果数据不慎丢失,建议借助专业的数据恢复工具进行数据恢复操作。具体操作步骤如下:电脑端点击这里免费下载>>>嗨格式数据恢复大师 步骤1:首先,您需要打开数据恢复软件,并选择恢复模式。步骤2:接着,选择扫描对象,例如U盘,并点击“开始扫描”按钮。步骤3:等待扫描结束后,您可以...
电脑被木马病毒入侵?两招帮你解决问题
答:电脑被木马病毒入侵,让人十分头疼。这里有两招帮你解决这个问题,让你远离木马的烦恼。进入安全模式第一步,重启电脑,然后立刻按下F8键,进入安全模式。在这个模式下,你可以进行全盘杀毒,把这些讨厌的木马清除掉。重装系统第二步,如果第一步不能解决问题,那可能是木马病毒已经破坏了你的系统文件。这时候,你就...
电脑中了病毒怎么办?
答:5.找到“媒体功能”,点开,去掉windows media center 前面的对号,然后点击确定。6.然后切换到初始用户,这个时候应用程序就可以正常打开了,如果想删除刚创建的账户,这个时候也可以删除了,没有任何影响的。注意事项 【1】出现这种情况并不是中了病毒,也不是其他问题,网上有很多人的解答,但是让人...
