病毒症状
1、任务管理器中会出现一个或多个C75B641E.exe 的进程(名称好像随机器不同而不同)
2.系统盘下会有一个C75B641E.exe文件,无法删除,删除后2,3秒后又生成一个文件
3.各盘下的autorun.inf文件异常
4.系统在工具-》文件夹选项->查看,中设置了显示隐藏文件后,系统中仍然无法显示系统中的隐藏文件,必须修改注册表
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\下的checkvalue 为1,有时改过一会,该值又变为0
5、病毒会删除机器上的镜像文件
6、注册表中有值为 E:\Program Files\Common Files\Microsoft Shared\MSINFO\C75B641E.dll 的项
该dll文件删除后,一会又恢复
7、注册表中有有autorun的健,下有command的健,值为E:\C75B641E.exe
8.注册表中,kasperskylab\kvp6\profiles\behavior_blocking\profiles\pdm\settings\appsmonitoring_list\下多个健下有trustedImag下均有
E:\Program Files\Common Files\Microsoft Shared\MSInfo\C75B641E.dll的键值
9、有许多值为debugger为 E:\Program Files\Common Files\Microsoft Shared\MSINFO\C75B641E.dat的注册表项
10.几乎所有杀毒软件都无法启动,中毒后所有杀毒软件都被关闭
11、计算机管理-》服务和应用程序,可以看到有名为6FDB29FC,描述为4A7EA76F和
名称为E848E2E1,描述为C9A44F2c的服务,禁用后症状依旧,且杀毒软件的服务无法启动。
12、系统无法进入安全模式,要么蓝屏,要么重启
13、导入一个能够进入安全模式的注册表项后,在安全模式下,以上症状几乎都存在
14.会连接非法网站。
15.格式化从C盘,重装系统后,病毒依然存在
16.通过拔插了移动硬盘感染病毒
首先感谢各位的帮助.
<br><br>提供的方法都试过了,但是还是不行.
<br><br>从机器的中毒后的症状上看,感觉是中了viking病毒或者viking的变种,但是用各种专杀工具在安全模式下都查不出来.
<br><br>在这问一下,还有没有其他跟viking类似的病毒?
<br>
<br>"我们的江湖",你好 ,谢谢你答案,你所提供的软件在正常模式下双击后无反映,在安全模式下提示"程序初始化失败",不知道是什么原因?
现在在任务管理器中已经找不到病毒进程,但是病毒程序还在运行
识别电脑的病毒:
1、系统病毒
系统病毒的前缀为:Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播。如CIH病毒。
2、蠕虫病毒
蠕虫病毒的前缀是:Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件) 等。
3、木马病毒、黑客病毒
木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack 。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马 Trojan.QQ3344 ,还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60 。这里补充一点,病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password”的缩写)一些黑客程序如:网络枭雄(Hack.Nether.Client)等。
4、脚本病毒
脚本病毒的前缀是:Script。脚本病毒的公有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(Script.Redlof)——可不是我们的老大代码兄哦^_^。脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。
5、宏病毒
其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro,第二前缀是:Word、Word97、Excel、Excel97(也许还有别的)其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀,格式是:Macro.Word97;凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀,格式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀,格式是:Macro.Excel97;凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀,格式是:Macro.Excel,依此类推。该类病毒的公有特性是能感染OFFICE系列文档,然后通过OFFICE通用模板进行传播,如:著名的美丽莎(Macro.Melissa)。
6、后门病毒
后门病毒的前缀是:Backdoor。该类病毒的公有特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。如54很多朋友遇到过的IRC后门Backdoor.IRCBot 。
7、病毒种植程序病毒
这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。如:冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。
8.破坏性程序病毒
破坏性程序病毒的前缀是:Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。如:格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。
9.玩笑病毒
玩笑病毒的前缀是:Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。如:女鬼(Joke.Girlghost)病毒。
10.捆绑机病毒
捆绑机病毒的前缀是:Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。如:捆绑QQ(Binder.QQPass.QQBin)、系统杀手(Binder.killsys)等。以上为比较常见的病毒前缀,有时候我们还会看到一些其他的,但比较少见,这里简单提一下:
DoS:会针对某台主机或者服务器进行DoS攻击;
Exploit:会自动通过溢出对方或者自己的系统漏洞来传播自身,或者他本身就是一个用于Hacking的溢出工具;
HackTool:黑客工具,也许本身并不破坏你的机子,但是会被别人加以利用来用你做替身去破坏别人。
你可以在查出某个病毒以后通过以上所说的方法来初步判断所中病毒的基本情况,达到知己知彼的效果。在杀毒无法自动查杀,打算采用手工方式的时候这些信息会给你很大的帮助。
1、系统病毒
系统病毒的前缀为:Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播。如CIH病毒。
2、蠕虫病毒
蠕虫病毒的前缀是:Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件) 等。
3、木马病毒、黑客病毒
木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack 。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马 Trojan.QQ3344 ,还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60 。这里补充一点,病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password”的缩写)一些黑客程序如:网络枭雄(Hack.Nether.Client)等。
4、脚本病毒
脚本病毒的前缀是:Script。脚本病毒的公有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(Script.Redlof)——可不是我们的老大代码兄哦^_^。脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。
5、宏病毒
其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro,第二前缀是:Word、Word97、Excel、Excel97(也许还有别的)其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀,格式是:Macro.Word97;凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀,格式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀,格式是:Macro.Excel97;凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀,格式是:Macro.Excel,依此类推。该类病毒的公有特性是能感染OFFICE系列文档,然后通过OFFICE通用模板进行传播,如:著名的美丽莎(Macro.Melissa)。
6、后门病毒
后门病毒的前缀是:Backdoor。该类病毒的公有特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。如54很多朋友遇到过的IRC后门Backdoor.IRCBot 。
7、病毒种植程序病毒
这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。如:冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。
8.破坏性程序病毒
破坏性程序病毒的前缀是:Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。如:格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。
9.玩笑病毒
玩笑病毒的前缀是:Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。如:女鬼(Joke.Girlghost)病毒。
10.捆绑机病毒
捆绑机病毒的前缀是:Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。如:捆绑QQ(Binder.QQPass.QQBin)、系统杀手(Binder.killsys)等。以上为比较常见的病毒前缀,有时候我们还会看到一些其他的,但比较少见,这里简单提一下:
DoS:会针对某台主机或者服务器进行DoS攻击;
Exploit:会自动通过溢出对方或者自己的系统漏洞来传播自身,或者他本身就是一个用于Hacking的溢出工具;
HackTool:黑客工具,也许本身并不破坏你的机子,但是会被别人加以利用来用你做替身去破坏别人。
你可以在查出某个病毒以后通过以上所说的方法来初步判断所中病毒的基本情况,达到知己知彼的效果。在杀毒无法自动查杀,打算采用手工方式的时候这些信息会给你很大的帮助。
温馨提示:答案为网友推荐,仅供参考
第1个回答 2007-05-15
如果是中了威金病毒,请参照如下办法:
威金Worm.viking资料(w32.Looked.p)&最新有效专杀工具!!2006年10月20日 星期五 13:05病毒类型:NetWorm 网络蠕虫
病毒名称:Worm.Viking(瑞星) , Worm.Win32.Viking.aa , bb(卡巴斯基), w32.Looked.p (诺顿) ;
统称威金。 如下资料转载自水木社区 !!
1、手动清除
发信人: ILOVEAPPLE (大海), 信区: Virus
标 题: Re: 有没有中过viking维金的,请问卡巴6对此有效否?
发信站: 水木社区 (Sat Sep 23 15:33:43 2006), 站内
可以这样:
先删除dll.dll(删除方法见置底)、log_1.exe、rundl123.exe等文件,或在安全模式下清除。
主要是dll.dll,这个文件会让windows的explorer.exe调用(这个传播方法较历害)。
然后根据病毒感染exe的特征,你可以用搜索查找所有的的*.exe文件,然后浏览一下文件,利用卡巴实时检测功能把查毒,清除(也可设置卡巴查杀配置,不过好几个选项,。。。);最后执行如下命令清除病毒遗留文件:
如下命令 可以全选 用记事本保存成一个 killViking.bat 文件。
也可以一条一条的手动输入,开始菜单 运行 输入CMD回车,然后执行下面的每一条,按回车执行。
带echo , pause的可以忽略。
echo off
del %Windir%\ MH_FILE\ MH_DLL.dll
del %Windir%\MickNew\MickNew.dll
del %Windir%\TODAYZTKING\TODAYZTKING.DLL
del %Windir%\1.txt
del %Windir%\0Sy.exe
del %Windir%\1Sy.exe
del %Windir%\2Sy.exe
del %Windir%\rundl132.exe
del %Windir%\vDll.dll
del %Windir%\Dll.dll
del %Windir%\log_1.exe
del %Windir%\rundl123.exe
echo 正在清除_desktop.ini文件,请稍等......
del c:\_desktop.ini /f/s/q/a
del d:\_desktop.ini /f/s/q/a
del e:\_desktop.ini /f/s/q/a
echo 清除完毕!
pause
2、发信人: itrose (说不清楚), 信区: Virus
标 题: viking威金dll.dll变种暂时解决方案
发信站: 水木社区 (Tue Sep 12 18:59:31 2006), 站内
威金某变种,病毒文件:
c:\windows\rundl132.exe
c:\windows\dll.dll
在该文件夹下还可能有realplayer.exe excel.exe qq.exe等并不该出现的文件
此变种尚无专杀,我摸索出一种方法,目前看有效,请大家参考.
卸载WINRAR ,QQ,OFFICE,realplayer等知名软件,安全模式下删除上面提到的病毒文件.
3、被威金感染后的应用程序,一般都需要重装了。
4、总结
发信人: sihecun (如果有来生), 信区: Virus
标 题: Worm.Viking变种疯狂席卷国内互联网
发信站: 水木社区 (Thu Jun 8 22:39:08 2006), 站内
附件是瑞星的专杀(20060606)
国内老牌的感染型蠕虫Worm.Viking变种正在国内快速传播中,金山、瑞星等国内反病毒厂商都对变种做了应急处理,小陌提醒广大国内用户紧快升级手中的杀毒软件来防范此家族的变种。
Viking家族的变种会感染pe文件,给中招用户带来不小麻烦,同时还具有网络感染、下载网络木马等其他功能。中招用户的典型特征为电脑中出现logo_1.exe、rundl132.exe文件。
同时该家族的Worm.Viking.i(瑞星Worm.Viking.bp)变种还通过qq尾巴传播,qq尾巴的形式:
h**p://
以下是金山的报告:
金山:Worm.Viking.m
病毒分析
病毒被激活后,释放以下文件:
%SystemRoot%\rundl132.exe
%SystemRoot%\logo_1.exe
病毒目录\vdll.dll
添加以下启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="%SystemRoot%\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="%SystemRoot%\rundl132.exe"
感染所有分区下大小27KB-10MB的可执行文件(但不感染系统文件夹和programe files文件夹下的文件),并在被感染的文件夹中生成_desktop.ini。文件如果发现这个东西的话,恭喜恭喜,估计十有八九已遭遇不幸了,并且感染后会造成一些网友说的“EXE文件图标花了”
通过不安全的共享网络传播,网络可用时,枚举内网所有共享主机,并尝试用弱口令连接\IPC$、\admin$等共享目录,连接成功后进行网络感染。
结束一些国内的反病毒软件进程,如毒霸,瑞星,木马客星等。
vdll.dll注入Explorer或者Iexplore进程,当外网可用时,下载其他木马程序(如前段时间比较BT的红底黑色龙头图案的WINLOGON)。
将拿到的几个样本文件看了下,其中rundl132.exe为病毒文件,VThunder为感染后的文件,Thunder为原文件。
winhex将这3个文件打开,发现感染方式为“头寄生”,VThunder文件头被插入了rundl132的代码。
rundl132.exe
VThunder.exe
Thunder.exe
offset删除至00069E6后另存为,即可还原到原来的thunder了。
在这里提醒大家,对这个病毒防范胜于查杀。目前,包括毒霸在内的部分杀软可以较好的处理感染后的EXE文件,但部分杀软采取的方法却是直接删除(如卡巴斯基),这可不是件好事。因此,小空建议你,及时升级你的杀软,并打开实时监控;安装一款防火墙;关闭不必要的网络共享;通过在线更新等给系统打好补丁;给管理员帐户加上足够强壮的密码;对于来历不名的文件不要随意运行。
※ 来源:·水木社区 newsmth.net·[FROM: 221.221.27.*]
5、其他专杀
(1)瑞星的提取工具
(2)金山毒霸的专杀
(3) 强烈推荐的专杀 by nslog
流行感染EXE文件清除提取修复工具(威金、千橡等)
即.exe执行的时候生成一个同名的xxx~.exe,可以完美修复所有.exe可执行文件 版本更新为1.6
下载地址:
目前版本: v1.6
使用办法: 选择目录或者文件夹扫描便可。没有什么好说的。
威金Worm.viking资料(w32.Looked.p)&最新有效专杀工具!!2006年10月20日 星期五 13:05病毒类型:NetWorm 网络蠕虫
病毒名称:Worm.Viking(瑞星) , Worm.Win32.Viking.aa , bb(卡巴斯基), w32.Looked.p (诺顿) ;
统称威金。 如下资料转载自水木社区 !!
1、手动清除
发信人: ILOVEAPPLE (大海), 信区: Virus
标 题: Re: 有没有中过viking维金的,请问卡巴6对此有效否?
发信站: 水木社区 (Sat Sep 23 15:33:43 2006), 站内
可以这样:
先删除dll.dll(删除方法见置底)、log_1.exe、rundl123.exe等文件,或在安全模式下清除。
主要是dll.dll,这个文件会让windows的explorer.exe调用(这个传播方法较历害)。
然后根据病毒感染exe的特征,你可以用搜索查找所有的的*.exe文件,然后浏览一下文件,利用卡巴实时检测功能把查毒,清除(也可设置卡巴查杀配置,不过好几个选项,。。。);最后执行如下命令清除病毒遗留文件:
如下命令 可以全选 用记事本保存成一个 killViking.bat 文件。
也可以一条一条的手动输入,开始菜单 运行 输入CMD回车,然后执行下面的每一条,按回车执行。
带echo , pause的可以忽略。
echo off
del %Windir%\ MH_FILE\ MH_DLL.dll
del %Windir%\MickNew\MickNew.dll
del %Windir%\TODAYZTKING\TODAYZTKING.DLL
del %Windir%\1.txt
del %Windir%\0Sy.exe
del %Windir%\1Sy.exe
del %Windir%\2Sy.exe
del %Windir%\rundl132.exe
del %Windir%\vDll.dll
del %Windir%\Dll.dll
del %Windir%\log_1.exe
del %Windir%\rundl123.exe
echo 正在清除_desktop.ini文件,请稍等......
del c:\_desktop.ini /f/s/q/a
del d:\_desktop.ini /f/s/q/a
del e:\_desktop.ini /f/s/q/a
echo 清除完毕!
pause
2、发信人: itrose (说不清楚), 信区: Virus
标 题: viking威金dll.dll变种暂时解决方案
发信站: 水木社区 (Tue Sep 12 18:59:31 2006), 站内
威金某变种,病毒文件:
c:\windows\rundl132.exe
c:\windows\dll.dll
在该文件夹下还可能有realplayer.exe excel.exe qq.exe等并不该出现的文件
此变种尚无专杀,我摸索出一种方法,目前看有效,请大家参考.
卸载WINRAR ,QQ,OFFICE,realplayer等知名软件,安全模式下删除上面提到的病毒文件.
3、被威金感染后的应用程序,一般都需要重装了。
4、总结
发信人: sihecun (如果有来生), 信区: Virus
标 题: Worm.Viking变种疯狂席卷国内互联网
发信站: 水木社区 (Thu Jun 8 22:39:08 2006), 站内
附件是瑞星的专杀(20060606)
国内老牌的感染型蠕虫Worm.Viking变种正在国内快速传播中,金山、瑞星等国内反病毒厂商都对变种做了应急处理,小陌提醒广大国内用户紧快升级手中的杀毒软件来防范此家族的变种。
Viking家族的变种会感染pe文件,给中招用户带来不小麻烦,同时还具有网络感染、下载网络木马等其他功能。中招用户的典型特征为电脑中出现logo_1.exe、rundl132.exe文件。
同时该家族的Worm.Viking.i(瑞星Worm.Viking.bp)变种还通过qq尾巴传播,qq尾巴的形式:
h**p://
以下是金山的报告:
金山:Worm.Viking.m
病毒分析
病毒被激活后,释放以下文件:
%SystemRoot%\rundl132.exe
%SystemRoot%\logo_1.exe
病毒目录\vdll.dll
添加以下启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="%SystemRoot%\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="%SystemRoot%\rundl132.exe"
感染所有分区下大小27KB-10MB的可执行文件(但不感染系统文件夹和programe files文件夹下的文件),并在被感染的文件夹中生成_desktop.ini。文件如果发现这个东西的话,恭喜恭喜,估计十有八九已遭遇不幸了,并且感染后会造成一些网友说的“EXE文件图标花了”
通过不安全的共享网络传播,网络可用时,枚举内网所有共享主机,并尝试用弱口令连接\IPC$、\admin$等共享目录,连接成功后进行网络感染。
结束一些国内的反病毒软件进程,如毒霸,瑞星,木马客星等。
vdll.dll注入Explorer或者Iexplore进程,当外网可用时,下载其他木马程序(如前段时间比较BT的红底黑色龙头图案的WINLOGON)。
将拿到的几个样本文件看了下,其中rundl132.exe为病毒文件,VThunder为感染后的文件,Thunder为原文件。
winhex将这3个文件打开,发现感染方式为“头寄生”,VThunder文件头被插入了rundl132的代码。
rundl132.exe
VThunder.exe
Thunder.exe
offset删除至00069E6后另存为,即可还原到原来的thunder了。
在这里提醒大家,对这个病毒防范胜于查杀。目前,包括毒霸在内的部分杀软可以较好的处理感染后的EXE文件,但部分杀软采取的方法却是直接删除(如卡巴斯基),这可不是件好事。因此,小空建议你,及时升级你的杀软,并打开实时监控;安装一款防火墙;关闭不必要的网络共享;通过在线更新等给系统打好补丁;给管理员帐户加上足够强壮的密码;对于来历不名的文件不要随意运行。
※ 来源:·水木社区 newsmth.net·[FROM: 221.221.27.*]
5、其他专杀
(1)瑞星的提取工具
(2)金山毒霸的专杀
(3) 强烈推荐的专杀 by nslog
流行感染EXE文件清除提取修复工具(威金、千橡等)
即.exe执行的时候生成一个同名的xxx~.exe,可以完美修复所有.exe可执行文件 版本更新为1.6
下载地址:
目前版本: v1.6
使用办法: 选择目录或者文件夹扫描便可。没有什么好说的。
第2个回答 2007-05-16
先用专杀 我也是刚刚摆脱viking病毒,我就按照我的实际情况给你讲解吧!首先要了解什么是威金病毒 viking是蠕虫类病毒,它专门感染EXE文件,并能够自动从网上下载几十种病毒
“维金(Worm.Viking.m,又名:威金)”恶性蠕虫病毒
感染系统文件、局域网进行传播且手动清除困难是造成该病毒大面积感染的主要原因”,金山毒霸技术总监陈睿在总结“维金(Worm.Viking.m)”病毒危害时强调。比如:用户A使用了某 P2P软件,在该P2P软件共享目录中放置了大量的常用工具软件的安装程序(可执行程序,如:WinRAR、FlashGet等软件的安装程序),当“维金”攻击用户A的系统后就会感染这些安装程序。此时,用户B正好从用户A的共享目录中下载了这些安装程序,如果安装就会感染该病毒。因此,文件感染型病毒,在网络时代中又找到了传播的空间。
由于该病毒是一种运行在Windows平台下,集成“可执行文件感染”、“网络感染”、“下载网络木马及其它病毒”的复合型病毒,若用户不幸感染该病毒,将会面临系统瘫痪、网银、网游帐号被盗、重要信息泄漏等多重威胁。
金山毒霸已在第一时间推出了“维金”的专杀工具,个人用户、企业用户登陆即可免费下载。金山毒霸反病毒应急中心在6月2日即进行了病毒库更新,金山毒霸的用户可通过其主动实时升级的功能在第一时间升级病毒库,可彻底查杀该病毒及各变种。
金山毒霸反病毒专家提醒用户:一定要养成良好的电脑使用习惯,及时下载漏洞补丁,及时升级杀毒软件;在上网时一定要开启杀毒软件的实时监控功能,以免受到病毒攻击。
“维金(Worm.Viking.m)”恶性蠕虫病毒五宗罪
一罪:感染系统文件,造成系统损坏,且手动清除困难;
二罪:下载恶性木马。盗取魔兽、传奇帐号,灰鸽子开后门使系统完全受黑客控制,QQRobber病毒等;
三罪:多路网络传播方式。通过感染文件、局域网共享来传播;
四罪:强制禁用国内知名反病毒软件,降低性安全性,易感染其它病毒;
五罪:变种多。数日内,已经出现多个变种。
“维金”恶性蠕虫解决方案
/zt/viking/
我的解决方案:把机器的所有含有EXE文件的盘都格式化 ,(电影和文档图片不会被感染,不用删)注意要是有MP3和U盘之类的也要格式化,否则即使重装系统也会被其他盘的病毒感染,然后再重装系统,为防万一再用外国的杀毒软件 EWIDO (网上有)扫描系统,删除所有被感染文件。其实EWIDO可以杀掉所有的viking的,不格式化也行,不过杀毒过后所有EXE文件都被删了,不能用的,建议格盘。
最好是全盘格式化!!!
参考资料:
只重装C盘的系统,还不能解决威金,因为它已经感染了C、D、E、F里所有的exe文件(有个变种只感染setup.exe文件),所以如果你再运行是还会感染的。
卡巴可以查杀,但都是删除文件处理,估计杀完很多软件都要重装了。所以推荐你用瑞星威金专杀1.2版(注意:1.0版基本上没用的),应能全部清除病毒。
专杀及微软补丁
你好,你中的是威金蠕虫病毒,最彻底的解决方法是,断网--格式化c盘--重新安装系统---然后去金山毒霸网站下载金山毒霸的免费威金专杀查杀其它盘的病毒,记住一定要用专杀啊,如果想不重装解决这个病毒也可以,但是不够彻底,请到安全模式下(开机按f8)进入之后打开系统目录,一般是c:\windows或者C:\winnt
进入之后删除Logo1_.exe 和rundl132.exe之后新建两个文件夹,命名为:Logo1_.exe 和 rundl132.exe记住要带EXE后缀啊,之后设置文件夹属性为只读,然后点开始--运行--输入 MSCONFIG.EXE 把Logo1_.exe rundl132.exe相关的开机启动去掉勾确定,重启电脑去金山毒霸网站下载威金专杀,开始查杀把,问题解决,呵呵
“威金(Worm.Viking)”病毒专杀工具 V1.2
杀了OK了
下载地址:
专杀工具比起杀毒软件来针对性强,杀得快
参考资料:
“维金(Worm.Viking.m,又名:威金)”恶性蠕虫病毒
感染系统文件、局域网进行传播且手动清除困难是造成该病毒大面积感染的主要原因”,金山毒霸技术总监陈睿在总结“维金(Worm.Viking.m)”病毒危害时强调。比如:用户A使用了某 P2P软件,在该P2P软件共享目录中放置了大量的常用工具软件的安装程序(可执行程序,如:WinRAR、FlashGet等软件的安装程序),当“维金”攻击用户A的系统后就会感染这些安装程序。此时,用户B正好从用户A的共享目录中下载了这些安装程序,如果安装就会感染该病毒。因此,文件感染型病毒,在网络时代中又找到了传播的空间。
由于该病毒是一种运行在Windows平台下,集成“可执行文件感染”、“网络感染”、“下载网络木马及其它病毒”的复合型病毒,若用户不幸感染该病毒,将会面临系统瘫痪、网银、网游帐号被盗、重要信息泄漏等多重威胁。
金山毒霸已在第一时间推出了“维金”的专杀工具,个人用户、企业用户登陆即可免费下载。金山毒霸反病毒应急中心在6月2日即进行了病毒库更新,金山毒霸的用户可通过其主动实时升级的功能在第一时间升级病毒库,可彻底查杀该病毒及各变种。
金山毒霸反病毒专家提醒用户:一定要养成良好的电脑使用习惯,及时下载漏洞补丁,及时升级杀毒软件;在上网时一定要开启杀毒软件的实时监控功能,以免受到病毒攻击。
“维金(Worm.Viking.m)”恶性蠕虫病毒五宗罪
一罪:感染系统文件,造成系统损坏,且手动清除困难;
二罪:下载恶性木马。盗取魔兽、传奇帐号,灰鸽子开后门使系统完全受黑客控制,QQRobber病毒等;
三罪:多路网络传播方式。通过感染文件、局域网共享来传播;
四罪:强制禁用国内知名反病毒软件,降低性安全性,易感染其它病毒;
五罪:变种多。数日内,已经出现多个变种。
“维金”恶性蠕虫解决方案
/zt/viking/
我的解决方案:把机器的所有含有EXE文件的盘都格式化 ,(电影和文档图片不会被感染,不用删)注意要是有MP3和U盘之类的也要格式化,否则即使重装系统也会被其他盘的病毒感染,然后再重装系统,为防万一再用外国的杀毒软件 EWIDO (网上有)扫描系统,删除所有被感染文件。其实EWIDO可以杀掉所有的viking的,不格式化也行,不过杀毒过后所有EXE文件都被删了,不能用的,建议格盘。
最好是全盘格式化!!!
参考资料:
只重装C盘的系统,还不能解决威金,因为它已经感染了C、D、E、F里所有的exe文件(有个变种只感染setup.exe文件),所以如果你再运行是还会感染的。
卡巴可以查杀,但都是删除文件处理,估计杀完很多软件都要重装了。所以推荐你用瑞星威金专杀1.2版(注意:1.0版基本上没用的),应能全部清除病毒。
专杀及微软补丁
你好,你中的是威金蠕虫病毒,最彻底的解决方法是,断网--格式化c盘--重新安装系统---然后去金山毒霸网站下载金山毒霸的免费威金专杀查杀其它盘的病毒,记住一定要用专杀啊,如果想不重装解决这个病毒也可以,但是不够彻底,请到安全模式下(开机按f8)进入之后打开系统目录,一般是c:\windows或者C:\winnt
进入之后删除Logo1_.exe 和rundl132.exe之后新建两个文件夹,命名为:Logo1_.exe 和 rundl132.exe记住要带EXE后缀啊,之后设置文件夹属性为只读,然后点开始--运行--输入 MSCONFIG.EXE 把Logo1_.exe rundl132.exe相关的开机启动去掉勾确定,重启电脑去金山毒霸网站下载威金专杀,开始查杀把,问题解决,呵呵
“威金(Worm.Viking)”病毒专杀工具 V1.2
杀了OK了
下载地址:
专杀工具比起杀毒软件来针对性强,杀得快
参考资料:
第3个回答 2007-05-19
估计你是中了恐怖的OSO病毒。据说该病毒的自我保护力非常强
它的工作方式我就不多说了,告诉你破解方法:step1.下载并运行冰刃后,进入其进程管理功能,使用Ctrl键同时选中mrkctl.exe、severe.exe和conime.exe进程,右键结束之。 step2.修复显示隐藏文件选项。进入冰刃的注册表功能,定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]项,将键值修改为:"CheckedValue"=dword:00000001 step3.使用冰刃的注册表功能定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options],将其下以杀毒软件及安全工具命名的项删除。 step4.在注册表中定位到[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] ,将其键值中Explorer.exe后面的内容清空。 step5.用冰刃的文件管理功能删除所有Autorun.inf、OSO.exe文件,然后利用系统搜索功能将所有隐藏的病毒文件删除。 step6.使用“系统配置实用程序”去掉mrkctl.exe和severe.exe的启动项。 step7.修改被篡改的Hosts文件,将多余内容删除,只保留“127.0.0.1 localhost”即可。 step8.病毒会将系统时间改为2004年1月22日,将其改回来。 step9.建议重新安装金山杀毒软件。 step10.运行金山杀毒软件再次扫描系统。
以上是转载电脑商情报的资料
它的工作方式我就不多说了,告诉你破解方法:step1.下载并运行冰刃后,进入其进程管理功能,使用Ctrl键同时选中mrkctl.exe、severe.exe和conime.exe进程,右键结束之。 step2.修复显示隐藏文件选项。进入冰刃的注册表功能,定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]项,将键值修改为:"CheckedValue"=dword:00000001 step3.使用冰刃的注册表功能定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options],将其下以杀毒软件及安全工具命名的项删除。 step4.在注册表中定位到[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] ,将其键值中Explorer.exe后面的内容清空。 step5.用冰刃的文件管理功能删除所有Autorun.inf、OSO.exe文件,然后利用系统搜索功能将所有隐藏的病毒文件删除。 step6.使用“系统配置实用程序”去掉mrkctl.exe和severe.exe的启动项。 step7.修改被篡改的Hosts文件,将多余内容删除,只保留“127.0.0.1 localhost”即可。 step8.病毒会将系统时间改为2004年1月22日,将其改回来。 step9.建议重新安装金山杀毒软件。 step10.运行金山杀毒软件再次扫描系统。
以上是转载电脑商情报的资料
参考资料:
第4个回答 2007-05-14
我是小菜鸟以下只供参考
这种病毒我中过N次,但我机子安装了冰点还原(只保护C盘)每次中有以下几种特征:除了受保护的C盘外,系统中仍然无法显示系统中的隐藏文件、打看WINRAR后找到各盘目录下可以看到autorun.inf、*.exe、通过拔插了移动硬盘感染病毒不能双击打开、除C盘外其他个盘双击打不开,只能鼠标右键才能打开,并且以*.exe的文件模糊,甚至打不开,如果和我的情况相类似,那就往下看:
先从网上下载冰点还原,然后格式化C盘,从装系统,装完系统后打开个盘都要点鼠标右键然后打开(千万别双击),打开任务管理器,如果有*.exe(以前没有可以进程)就结束了,装上冰点还原,只选保护C盘(保护别的盘的化,那病毒也被保护了),跟着提示,然后从启,(下载好冰点还原后把网络关了,冰点还原软件从压缩包里打开以防感染,不能打开任何*.EXE)。
点文件夹选项里的:显示所有文件和文件夹、显示受保护的操作系统文件后,可以看到其他盘目录下有autorun.inf、和*.exe(你那可能是C75B641E.exe)不要打开,将其删除,然后从启,病毒是解决的差不多了,但是你还需要一些工具:
系列病毒清除.rar?B=Virus&F=M.1168653562.A&attachpos=21636&attachname=/log1_exe系列病毒清除.rar
然后运行小工具,这三个工具其中有没用的,但是只要组合在一起,绝杀!
其中第三个工具点部分文件修复(修复你那应用程序)
点深度扫描,别嫌病毒多!呵呵
有一点再次提醒你,过程中要在断网中进行(下载当然得上网了)再此过程中不要打开任何*.exe结尾的,下载的这些文件要在压缩包里进行,恢复完感染文件后就可以随意打开了。
(以上只是我的方法,你也可以用别的还原精灵或还原卡,我推荐用还原卡也不贵15RMB搞定,啥病毒都不怕,中了就从启,呵呵)
这种病毒我中过N次,但我机子安装了冰点还原(只保护C盘)每次中有以下几种特征:除了受保护的C盘外,系统中仍然无法显示系统中的隐藏文件、打看WINRAR后找到各盘目录下可以看到autorun.inf、*.exe、通过拔插了移动硬盘感染病毒不能双击打开、除C盘外其他个盘双击打不开,只能鼠标右键才能打开,并且以*.exe的文件模糊,甚至打不开,如果和我的情况相类似,那就往下看:
先从网上下载冰点还原,然后格式化C盘,从装系统,装完系统后打开个盘都要点鼠标右键然后打开(千万别双击),打开任务管理器,如果有*.exe(以前没有可以进程)就结束了,装上冰点还原,只选保护C盘(保护别的盘的化,那病毒也被保护了),跟着提示,然后从启,(下载好冰点还原后把网络关了,冰点还原软件从压缩包里打开以防感染,不能打开任何*.EXE)。
点文件夹选项里的:显示所有文件和文件夹、显示受保护的操作系统文件后,可以看到其他盘目录下有autorun.inf、和*.exe(你那可能是C75B641E.exe)不要打开,将其删除,然后从启,病毒是解决的差不多了,但是你还需要一些工具:
系列病毒清除.rar?B=Virus&F=M.1168653562.A&attachpos=21636&attachname=/log1_exe系列病毒清除.rar
然后运行小工具,这三个工具其中有没用的,但是只要组合在一起,绝杀!
其中第三个工具点部分文件修复(修复你那应用程序)
点深度扫描,别嫌病毒多!呵呵
有一点再次提醒你,过程中要在断网中进行(下载当然得上网了)再此过程中不要打开任何*.exe结尾的,下载的这些文件要在压缩包里进行,恢复完感染文件后就可以随意打开了。
(以上只是我的方法,你也可以用别的还原精灵或还原卡,我推荐用还原卡也不贵15RMB搞定,啥病毒都不怕,中了就从启,呵呵)
参考资料:本人原创
