新一代操作系统vista专区

[软件简介]
    反木马病毒专家2007是一款专业的反木马、反病毒软件。本产品集传统的病毒库技术与新一代的主动防御与一体， 通过扫描、检测、监测等技术手段对木马病毒进行查杀，为系统提供全方位保护。　　    软件2003年发布以来，经历了大量的实践使用测试，到目前为此已知可清除国内外 各种木马、病毒达九万余种。是保护您系统安全的必备软件。
    [主要功能概述]
　　·检查查杀 以注册表为入口，通过扫描的方式对快速查杀各类活动病毒木马及其它恶意程序，查杀速度快 、准确度高。
　　·实时监控 软件后台运行时，实昨监控制系统自动启用，发现木马、病毒时自动报警。
    ·Rootkit查杀 Rootkit已成为新一代木马的发展方向，目前，国内同类产品中，包括所谓的大杀毒软件 。只有本软件可以真正检测和清除Rootkit。
    ·进程防火墙 本产品又一个功能功能强大的模块，可以在任意程序运行前进行拦截，从根本上防止了不法程序的侵入。也使用程序成为一个攻守皆备的整体，进一步提升了软件性能。
　　·可疑文件扫描：扫描系统所有文件，通过智能分析，检测并报告出可能是病毒木马的文件。
　　·可疑文件识别：与软件官方网站数据库相连，对扫描出的可疑文件进行在线识别。
    点此查看详细软件说明...

注册方法有两种：

1＞自动注册方法：
　先运行注册表文件（为了省去你手工输入的麻烦）然后运行内存机，就会弹出你正确的注册号的了！

2＞手工输入注册方法：
　运行原程序在注册号框内输入注册号（输入注册号位数一定要求是 30 位任意数字或字母不然无法弹出正确的注册号，主要输入的格式如下： 如：XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

点击下载=>[山东网通]
点击下载=>[浙江电信]
点击下载=>[河南网通]
点击下载=>[河南电信]

软件简介：
    CHENOE Anit-Virus Tools(简称：C-AV)以恢复被病毒破坏的文件和剿杀该类病毒为主的专业杀毒免费软件，对部分木马型病毒的查杀也颇有成效。 具有很强的针对性和灵活性，能够最快在获得新病毒样本10分钟后对病毒特征库进行升级，配合“在线升级”功能可以非常有效的提高实效性。因此，本软件的最大特点是病毒特征库即时更新，用最短的时间做出最快的反应。 如果配合PlanTasks程序可发挥更大威力。

特点:非常有效的清除当前非常流行的<威金病毒>!

CHENOE Anit-Virus Tools主站:进入以下主站即可下载免费的专业的免费杀毒软件
http://www.chenoe.com/AntiVirus/

软件特点：

		精湛的扫描引擎     高速的扫描、精湛的引擎，可以大量节约您查杀过程所等待的宝贵时间。
		周到的目标选择     用户可以根据意愿来自由选择扫描目标，即使扫描过程中程序发生意外，也不会有前功尽弃的懊恼。
		方便的在线升级     无论是软件主程序还是病毒特征库，只要有最新版本发布，用户端都可以在线更新。省去了每次升级每次下载的麻烦，从而让用户可以在最短的时间内得到对病毒最强的控制权。
		强劲的访问审核     “安装保护”后可以最大程度上阻止局域网中通过弱密码入侵型病毒的传播。
		严谨的动态防护     程序启动后即进入动态防护状态，使防毒工作由被动变主动。

软件截图：
       

该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒，病毒运行后将自身伪装成系统正常文件，以迷惑用户，通过修改注册表项使病毒开机时可以自动运行，同时病毒通过线程注入技术绕过防火墙的监视，连接到病毒作者指定的网站下载特定的木马或其它病毒，同时病毒运行后枚举内网的所有可用共享，并尝试通过弱口令方式连接感染目标计算机。
运行过程过感染用户机器上的可执行文件，造成用户机器运行速度变慢，破坏用户机器的可执行文件，给用户安全性构成危害。
病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。

1、病毒运行后将自身复制到Windows文件夹下,文件名为:
%SystemRoot%\rundl132.exe

2、运行被感染的文件后，病毒将病毒体复制到为以下文件:
%SystemRoot%\logo_1.exe

3、同时病毒会在病毒文件夹下生成:
病毒目录\vdll.dll

4、病毒从Z盘开始向前搜索所有可用分区中的exe文件，然后感染所有大小27kb-10mb的可执行文件，感染完毕在被感染的文件夹中生成:
_desktop.ini (文件属性:系统、隐藏。)

5、病毒会尝试修改%SysRoot%\system32\drivers\etc\hosts文件。

6、病毒通过添加如下注册表项实现病毒开机自动运行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\rundl132.exe"

7、病毒运行时尝试查找窗体名为:"RavMonClass"的程序，查找到窗体后发送消息关闭该程序。

8、枚举以下杀毒软件进程名，查找到后终止其进程:
Ravmon.exe
Eghost.exe
Mailmon.exe
K***PFW.EXE
IPARMOR.EXE
Ravmond.exe

9、同时病毒尝试利用以下命令终止相关杀病毒软件：
net stop "Kingsoft AntiVirus Service"

10、发送ICMP探测数据"Hello,World"，判断网络状态，网络可用时，
枚举内网所有共享主机，并尝试用弱口令连接\\IPC$、\admin$等共享目录，连接成功后进行网络感染。

11、感染用户机器上的exe文件，但不感染以下文件夹中的文件:
system
system32
windows
Documents and settings
system Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone

12、枚举系统进程，尝试将病毒dll(vdll.dll)选择性注入以下进程名对应的进程:
Explorer
Iexplore
找到符合条件的进程后随机注入以上两个进程中的其中一个。

13、当外网可用时，被注入的dll文件尝试连接以下网站下载并运行相关程序:
http://www.17**.com/gua/zt.txt 保存为:c:\1.txt
http://www.17**.com/gua/wow.txt 保存为:c:\1.txt
http://www.17**.com/gua/mx.txt 保存为:c:\1.txt
http://www.17**.com/gua/zt.exe 保存为:%SystemRoot%\0Sy.exe
http://www.17**.com/gua/wow.exe 保存为:%SystemRoot%\1Sy.exe
http://www.17**.com/gua/mx.exe 保存为:%SystemRoot%\2Sy.exe
注：三个程序都为木马程序

14、病毒会将下载后的"1.txt"的内容添加到以下相关注册表项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]
"ver_down0"="[boot loader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++"
"ver_down1"="[boot loader]
timeout=30
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" ////"
"ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" /////"

如果有以上特征，那么恭喜您，呵呵，您中了威金病毒！

解决办法！

如果在病毒没有发作情况下杀毒是可以完全搞定的。如果发作了也不要杀毒了。直接克盘恢复吧。
一、找到注册表中[hkey_local_machinesoftwaresoftdownloadwww]
auto = 1
删除downloadwww主键
二、找到
[hkey_local_machine/software/microsoft/windows nt/currentversion/inifilemapping/system.ini/boot]
winlogo 项
把winlogo 项 后面的c:winntsws32.dll 删掉
接下来把hkey_local_machine]software/microsoft/windows/currentversi 键中 /runonce/runonceex
两个中其中有个是也是
c:winntsws32.dll
把类似以上的全部删掉注意不要删除默认的键值（删了的话后果自负）
如果没有以上键值，则直接跳过此步骤

在C盘winnt根目录里找到logo1_.exe,vdll.dll和rundl132.exe（注意rundl----132.exe,后面一个是一，以前都让他混过去了）删除，注册表中也要删除rundl132.exe相关的内容。

三 结束进程
按“ctrl+alt+del”键弹出任务管理器，找到logo1_.exe 等进程，结束进程，可以借助绿鹰的进程管理软件处
理更方便。找到expl0rer.exe进程（注意第5个字母是数字0不是字母o），找到它后选中它并点击“结束进程”
以结束掉（如果expl0rer.exe进程再次运行起来需要重做这一步）。

四 http://db.kingsoft.com/download/3/246.shtml这个是金山的

http://down1.tech.sina.com.cn/download/down_contents/1151769600/28441.shtml这个是瑞星的

请下载viking病毒专杀！这里提示您，该专杀软件只能提取清除普通文件里的病毒，但是在压缩文件里的病毒还在，最好还是购买瑞星正式版！

五 建立一个记事本添入以下内容

@echo off
echo 正在清除文件，请稍等......
del c:\_desktop.ini /f/s/q/a
del d:\_desktop.ini /f/s/q/a
del e:\_desktop.ini /f/s/q/a
del f:\_desktop.ini /f/s/q/a
del g:\_desktop.ini /f/s/q/a
echo 清除完毕！
exit

盘符请自行更改！然后把*.txt后缀改成bat批处理文件！然后执行！ok !

六 防止再次感染
运行 gpedit.msc 打开组策略
依次单击用户配置- 管理模块- 系统-指定不给windows运行的程序点启用然后 点显示 添加 logo1_exe 也就是病毒的源文件 。
============================================
消灭维金！终极战略！
不幸的中了维金病毒，被害了几天，本人苦苦研究了2天之后终于将维金病毒给彻

底消灭！小兴奋一下。
各种杀毒软件和网络上的专杀工具根本无法根治维金病毒，而各种方法也介绍得

过于简单，下面我就为大家介绍一套将杀毒软件与手动治疗于一体的软件将维金

给彻底消灭！

1.中毒之后断网马上重启电脑，重启之后如果电脑有先进的杀毒软件（推荐使用

卡巴斯基，我尝试了三款杀毒软件，最后发现只有卡巴能检测出大量病毒，其他

的只能查得出一点点，而且还杀不掉，到处都有破解的卡巴下载，不麻烦，只要

注意不要下载到病毒就OK了）则使用杀毒（记住此期间不要联网，不然病毒会自

动下载木马的），如果电脑里面没有先进的杀毒软件，就联网之后快快下载一个

破解版的卡巴（建议顺带下载一个安全卫士，一个维金瑞星专杀）然后升级再断

网，一定要快！维金复制得特别快，你的速越快，越容易消灭他。

2.杀毒软件准备好之后就开始杀毒，你会发现电脑有很多病毒和木马，而且一次

卡巴根本消灭不了，但是维金病毒有一点很厉害！你的卡巴只能使用一次，第二

次维金就会克制你的卡巴使它不能打开了（所以这次一定要把查到的全部杀了）

，如果在第一步中准备了安全卫士和专杀工具的在卡巴杀完之后将电脑转换到安

全模式（开机时按F8就可以进入了），在用上面两个工具杀杀（这两个不是太有

用，不过多少也能消灭一点）。

3.上面步骤完成以后初期工作就基本完成，接下来进入手动杀毒：病毒是在

windows目录下生成dll.dll,logo1_.exe,rundl132.exe这三个文件。
而dll.dll注入explorer.exe是由logo1_.exe来完成。病毒会在开机自动执行中加

入rundl132.exe 首先打开我的电脑！选工具——文件夹选项——查看（快捷键按

ALT+T再按O）中的"隐藏受保护的操作系统文件(推荐)"的勾取消,把"显示所有文

件和文件夹"选中！
【1】.按CTRL+ALT+DEL在任务管理器中把rundl132.exe,logo1_.exe结束掉(没有

的话,不用操作),删除C盘内的logo1_.exel和rundl132.exe(不知道在哪里的,可以

打开我的电脑按CTRL+F然后搜索rundl132.exe,logo1_.exe)
【2】.因为DLL.dll模块被写入到explorer中,所以删除不掉.不过能有办法删除,

打开任务管理把进程中的explorer.exe结束掉，接着桌面变消失了，不怕！选中

任务管理器的“文件（F）”——“新任务（运行。。）（N）”然后运行

explorer.exe桌面就又出来了！接着把在C:盘下的DLL.dll删除掉(按CTRL+F查找

它,然后删除)
【3】.在运行中输入regedit查找注册表键值：

[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]将其删除,然后按CTRL+F查找

注册表键值rundl132.exe及在这项中的所有键值将其删除
【4】.打开我的电脑按CTRL+F然后搜索_desktop.ini,把找到的所有_desktop.ini

删除(删除后图标还显示在那里,别管它,关掉后在查一次看看是否还有)

4.将上面的步骤统统完成之后，病毒就已经不能再复制了，接下来就是删掉原有

的卡巴，然后再重新将卡巴装一次，重启，杀毒（这时就只需将剩下的木马给消

灭掉就可以了），杀完毒之后再重启，在我的电脑里搜索看有没有_desktop.ini

的文件，如果没有的话就恭喜你病毒全部消灭，如果还有的话就重复以上步骤直

至病毒全部消灭。
5.防止再次感染 运行 gpedit.msc 打开组策略
依次单击用户配置- 管理模块- 系统-指定不给windows运行的程序点启用然后 点显示 添加 logo1_exe 也就是病毒的源文件 。
祝愿大家早日脱离维金的苦海！
===========================================
关键词: Worm_Viking  维金病毒 exe文件 感染 rund132.exe  logo_1.exe 1sy.exe 2sy.exe  0sy.exe 杀毒软件 文件监控失效 rundl132.exe  Worm.Logo.b病毒 “logo”蠕虫病毒 qq病毒

病毒症状:

1:传播方式和变种

该蠕虫同时具有文件型病毒、蠕虫、木马等类型的特点，进入计算机用户的系统之后，会从网上不断地下载多个木马、QQ尾巴病毒等恶意程序安装到受感染的计算机系统中，严重地会造成计算机系统完全崩溃而无法使用。该蠕虫主要利用共享目录、系统弱口令或是文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式等方式进行传播的。

近日该病毒的变种(Worm_Viking.BO)已经出现，该变种进入计算机用户的系统之后，会通过网络下载一些针对网络类游戏的木马程序并安装，试图窃取网络游戏的帐号、密码和装备。同时，该变种还会下载并安装一个QQ尾巴病毒，再利用受感染计算机系统中的聊天工具QQ不断地向外发送垃圾信息，并借机进行传播。

例如:发布以下信息:
           看看啊. 我最近的照片~ 才扫描到QQ象册上的 ^_^ ! http://www.search_2.shtml.cgi-client-entry.photo.39pic.com/qq%xxxxxxE5%86%8C2/"
大家看到以后千万别点,会产生灾难性后果,值得注意的是,这个具有穿透性传染力的病毒可以抵御还原卡和还原软件的防护.

Worm.Logo.b病毒(可能是最维金病毒的早期版本,也有可能是不同杀毒软件的命名不同而已)
“logo”蠕虫病毒,该病毒通过IPC共享进行传播,会感染系统中的可执行文件.病毒还会从网上下载木马,从而窃取感染机器上的敏感信息.此木马可以在局域网中传播,能穿透冰点还原精灵的等还原软件.自动在QQ上发传播.而且病毒针对全盘,用Ghost恢复C盘是没用的.

2.主要症状: (详细症状见 http://vi.duba.net/index.shtml?CODE=02&virusid=38415&action=viewgraph)

 exe文件感染---病毒从Z盘开始向前搜索所有可用分区中的exe文件，然后感染所有大小27kb-10mb的可执行文件，感染完毕在被感染的文件夹中生成:_desktop.ini (文件属性:系统、隐藏。),但是在C盘某些系统目录和特定目录如:Microsoft Office或者msn目录的exe文件不感染.

关闭主流杀毒软件程序

生成文件和生成进程:

1、病毒运行后将自身复制到Windows文件夹下,文件名为:
　　%SystemRoot%\rundl132.exe

2、运行被感染的文件后，病毒将病毒体复制到为以下文件:
%SystemRoot%\logo_1.exe

3、同时病毒会在病毒文件夹下生成:
病毒目录\vdll.dll,并注入到Explorer  或者Iexplore 进程

感染局域网,并从特定网址下载木马,发布qq消息,引诱他人中毒::

盗取魔兽、传奇帐号，灰鸽子开后门使系统完全受黑客控制，QQRobber病毒等

木马程序就是1sy.exe 2sy.exe  0sy.exe,还会下载一个 1.txt文件

修改注册表和启动项

1.病毒通过添加如下注册表项实现病毒开机自动运行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\rundl132.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"

2 将下载后的"1.txt"的内容添加到相关注册表项

 可穿透所有还原软件和硬件(对网吧管理者简直是恶梦)

由于病毒发作贮留于内存。且通过explore.exe 进行传播。因此即使是装了还原精灵，还原卡的机器也同样会被感染。你重新启动后系统可以还原。但是你一但开机还是会被感染。例如:

4587cool 网友在问题中提到:"我装的是还原精灵6.1 我朋友装的是冰点全都中招了！

所以现在还原精灵 和 冰点 装了都没用的 "

摇曳·叶落网友在问题中也反映还原精灵无法解决

中国林网友在问题中提到他安装了硬盘还原卡(小哨兵的),从回答来看,应该也是被穿透了.

所以更不用说 windows的系统还原点了...

修改%SysRoot%\system32\drivers\etc\hosts

查杀方法

如果是一般病毒,我们杀毒的通用步骤见<Downloader病毒的清除转载自qmqu.com>一文中的通用杀毒步骤

但对于维金病毒,我们在开始安全模式下杀毒之前除了要注意通用步骤中的第一步关闭系统还原\清除启动项和第二步 删除internet零时文件外 , 我们还要做这个工作:

把你的杀毒软件升级到最新版本,假若你没有安装杀毒软件的话,那就装一个,(杀毒软件下载)记得装完后不要重新启动（切记），直接升级病毒库，升级完后，把c:\winnt 目录下所有带毒文件删除. 然后再进无网络连接的安全模式下杀毒(进安全模式方法),这个时候杀毒工具的可以有以下选择,我来做个比较:

1:用更新到最新病毒库(至少是9.26日后的)的卡巴斯基或者norton查杀:百度网友flywingzero 在http://zhidao.baidu.com/question/12636003.html中提到: 现时瑞星和金山的专杀工具，似乎对那些已经被感染了的EXE文件是没效果的，如果用升级过的瑞星去杀的话，是可以发现病毒，不过也会把那些EXE文件也删掉。我公司也中了这个毒，瑞星、金山等专杀根本没用，扫完后还在恭喜你没中毒。可喜的是，卡巴斯基6.0经过昨天26号的更新以后，已经可以全部杀除电脑上的viking了，重点是，可以清除被感染文件里的病毒，而不是删除。

个人觉得这个方法比较稳妥,因为不损伤exe文件

卡巴斯基的专杀下载:   不过目前没有viking病毒的专杀 ,只有其他病毒的专杀

2.用瑞星或者金山的专杀(下载: http://qmqu.com/frame/frameset-antivirus.html)或者用它们的最新版本杀:

目前有网友 landingkite 反映用最新版瑞星杀毒后,到目前瑞星还没有报毒.(网友原文)但也有不少网友反映专杀完全没用.

个人分析可能是因为: 瑞星杀毒后没有完全杀掉或者是自己被病毒干掉文件监控功能,所以不报毒,当然也不排除瑞星成功解决病毒的可能,也说不定 landingkite 网友在用瑞星杀完毒后发现自己的exe文件全部玩完......;  专杀完全没用可能是因为杀毒方法不对(未在安全模式下杀)或者是病毒变种太多.

你到卡巴斯基的主页上可以搜索下viking(点我搜索viking),可以搜到50多个变种,所以说专杀不能保证总是有效.

而且由于瑞星或者毒霸现在还没有网友反映可以在无损exe文件的前提下杀毒,所以还是要谨慎.

杀完后，还有几个杀毒软件无法删掉的东西要把名字记下来。因为不同的系统有不同的名字。所以这里说不清楚了。自己记下来，重新启动后再次杀毒。记的把可疑的进程的结束。否则杀毒软件无法干净杀毒。还有最重要的一点记的把杀毒软件无法清除的病毒设置为删除文件。很有可能要重复杀毒3-5次才能杀干净。

需要注意的:

该病毒主要是通过弱口令、局域网共享、运行被感染exe文件等途径来进行传播的，所以需要打好系统补丁、关闭共享、对Administrator权限的密码进行强化等等，也可以说，关于此类病毒，防比治更重要！另外,建议做系统的时候把默认共享关闭。关闭ipc$ admin$，关闭554，关闭icmp路由等等手段. 一个好的防火墙(推荐zonealarm,下载)也是很有必要的.

另外,  手动查杀比较麻烦:(1、关闭rundl132.exe的进程，并删除
C:\WINDOWS\rundl132.exe

2、搜索找到并删除vidll.dll
可以通过SSM自动启动来禁用vidll.dll，重新启动后删除vidll.dll
或停止其插入的进程，再删除该dll文件,如果它插入了explorer.exe这个进程，那么
打开任务管理器（ALT+CTRL+Delete），结束掉explorer.exe这个进程，删除vidll.dll文件
然后用任务管理器上面的标签文件＝＝＝新建任务＝＝＝浏览，找到并运行
C:\WINDOWS\Explorer.exe  (注:有些变种的进程是 expl0rer.exe, 注意第5个字母是数字0而不是字母o,也需要关闭)

3、删除其在注册表中创建的信息及其他病毒文件_desktop.ini、logo_1.exe

找到注册表中[hkey_local_machine/software/soft/downloadwww]
auto = 1     删除downloadwww主键
找到[hkey_local_machine/software/microsoft/windowsnt/currentversion/inifilemappingsystem.iniboot]
winlogo项，把winlogo项后面的c:\winnt\sws32.dll删掉。
接下来把hkey_local_machine/software/microsoft/windows/currentversion/runonce/runonceex
两个中其中有个也是c:\winnt\sws32.dll。把类似以上的全部删掉，注意不要删除默认的键值。如果没有以上键值，则直接跳过此步骤。

4、修复被更改的hosts文件，hosts文件用记事本打开
C:\WINDOWS\system32\drivers\etc\hosts),大家借鉴下就可以了.

大家比较关心的问题: 能否恢复被感染的exe文件

个人看法:1. 你如果在卡巴斯基升级后能够不损伤exe文件杀毒,这是最完美的情况了

                2.如果在此之前你已经用过瑞星或者毒霸杀的话,估计恢复起来就比较难了,因为它们是把感染了的exe删掉了..

就目前看来,手动恢复起来难度较大.   不过网上流传了一些恢复方法,但没有测试过,大家有兴趣可以看看,