关于利用辅助工具清除威金病毒(Worm.Viking)变种及修复被感染的exe文件的解决方法

威金Worm.Viking病毒自出现，就登上了病毒排行榜席位，到现在已出现很多变种，其病毒发作特征也层出不穷，如往共享打印机狂塞打印任务（打印当天日期），感染磁盘上所有exe 可执行文件，传播速度快，等等。防病毒厂商们也相对应的编译专杀工具，网上也有相关的清除方法，但对于没有安装杀毒软件及exe文件被病毒感染无法修复的用户，另外，大部分防病毒软件会在清除被威金病毒感染的exe文件的时候，是将这些exe文件删除，这样就会造成很多应用程序不能正常使用，如果希望在能完全清除此病毒，并修复被病毒感染的文件，此文应该是最理想的解决方案。

今天我主要教大家如何通过一些辅助工具清除及修复被病毒感染的文件，首先我向大家介绍威金病毒会生成的病毒文件及其路径：
$:\Program Files\svhost32.exe
$:\Program Files\micorsoft\svhost32.exe
$:\windows\explorer.exe
$:\windows\logo1_exe
$:\windows\rundll32.exe
$:\windows\rundl132.exe
$:\windows\intel\rundl132.exe
$:\windows\dll.dll
_desktop.ini
以下我将通过两个辅助工具来解决威金病毒及他的部分变种，一个是大家熟悉的冰刃工具，一个是非官方版的威金专杀工具，此工具只扫描磁盘上的exe文件，它不但会帮你清除威金病毒的很多变种，还能在清除的同时帮你修复此文件。

断网，关闭防病毒软件（因为防病毒软件会删除被病毒感染的exe文件），启动冰刃工具，点击进程，结束rundll32.exe,svhost32.exe进程（注意病毒名及路径），运行此专杀工具，全盘查杀，它就会很快速的扫描全盘上的exe文件，如果文件没有被感染，在结果处就显示正常，如果是清除并修复，就会在后面显示bkwdwin 或 kwbywin

注意：此工具会在点击查杀全盘时多次提示需要插入A盘，你点击取消就可以了，另外在路径那里会显示什么电影上传目录等不用管它，可能是开发者留下的一些残留物而已，并不影响查杀病毒

Ok，做完这一切，好像差不多了，但仍然没有完全清除，因为上述动作并没有对\windows\dll.dll和_desktop.ini两个文件进行处理，只是当你删除dll.dll文件的时候，会提示拒绝访问，此文件是受保护或正在被调用。Ok，我们打开冰刃，在进程里找到explorer.exe进程（此文件会注入到桌面进程里），右键\模块信息\在里面找到dll.dll项，卸载或强行解除就行了，然后展开到\windows文件夹，找到并删除dll.dll就可以，至于_desktop.ini文件，可以通过搜索功能，将它从每个文件夹下找出来，然后一起删掉，为了安全起见，最好大家查找一下这些文件夹下还有没这些文件，最后，打开注册表\编辑\查找，将logo1_exe，rundl132.exe启动项清除（本人太懒，就不单一列出路径了）。做完这一步，病毒就彻底从你的电脑上了。


敬告:如果是企业用户，最好是同时断网每台清除，要不就会有杀不完的病毒，另外及时更新病毒库

冰刃工具下载地址：http://www.ttian.net/website/2005/0829/391.html

vking(维金)最新专杀 威金专杀

点击进入下载页面




威金病毒处理方法：

主要症状:
1、占用大量网速，使机器使用变得极慢。
2、会捆绑所有的EXE文件，只要一运用应用程序，在winnt下的logo1.exe图标就会相应变成应用程序图标。
3、有时还会时而不时地弹出一些程序框，有时候应用程序一起动就出错，有时候起动了就被强行退出。
4、阻止以下杀毒软件的运行,包括卡巴斯基，金山公司的毒霸。瑞星等98%的杀毒软件运行。

5、访问部分反病毒安全网站时，浏览器就会重定向到66.197.186.149

详细技术信息：
病毒运行后，在%Windir%生成 Logo1_.exe 同时会在windws根目录生成一个名为"virDll.dll"的文件。
该蠕虫会在系统注册表中生成如下键值：
[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]
"auto" = "1"

病毒感染运行windows操作系统的计算机，并且通过开放的网络资源传播。一旦安装，蠕虫将会感染受感染计算机中的.exe文件。
该蠕虫是一个大小为82K的Windows PE可执行文件。
通过本地网络传播
该蠕虫会将自己复制到下面网络资源：
ADMIN$
IPC$
症状
蠕虫会感染所有.exe的文件。但是，它不会感染路径中包含下列字符串的文件：
\Program Files
Common Files
ComPlus Applications
Documents and Settings
NetMeeting
Outlook Express
Recycled
system
System Volume Information
system32
windows
Windows Media Player
Windows NT
WindowsUpdate
winnt蠕虫会从内存中删除下面列出的进程：
EGHOST.EXE
IPARMOR.EXE
KAVPFW.EXE
KWatchUI.EXE
MAILMON.EXE
Ravmon.exe
ZoneAlarm

★☆☆手动清除病毒方法☆☆★
（1）在进程中找到并结束Logo1_.exe、rundl132.exe进程
（2）找到并删除%Windir%下的Logo1_.exe、rundl132.exe、vDll.dll文件
（3）打开注册表，索引到HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW，删除auto键值
（4）打开注册表，索引到HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\WIndows，删除load键值
（5）打开%system%\drivers\etc下hosts文件，删除“127.0.0.1 localhost”一行后所有内容 ↓
（6）下载”Worm.Viking专杀工具“，在安全模式下全盘杀毒。↓
（7）插入系统光盘，重做系统

另外一个方法：
第一步:用同时按下CTRL,ALT,DEL三键打开任务管理器,结束logo1_.exe进程.
第二步:删除操作系统盘(一般是C盘)winnt目录下的logo1_.exe文件.
可以看出,以上两步是很普通的,大部分人都会,关键是第三步.
第三步:在操作系统盘(一般是C盘)winnt目录下,创建一个文件夹(((记住是文件夹而不是文件))),文件夹名为logo1_.exe,并设置该文件夹的属性为只读+隐藏. 这样logo1_.exe病毒再也无法运行了,也就是它的破坏作用(比如降低网速)也消失了.唯一的缺陷就是那些变色的应用程序图标还是依旧.如果你希望应用程序的图标恢复,那么(1)你可以重装系统,记住重装系统后一定要在winnt目录下,创建一个名叫logo1_.exe文件夹并设置该文件夹的属性为只读+隐藏,以防再次感染,使电脑得到免疫.也可以(2)等到能够杀该病毒的软件诞生为止.
杀毒原理:创建logo1_.exe文件夹,使无法创建logo1_.exe文件,把文件夹设为只读+隐藏使安全性更高.也可以再建一个rundl132.exe的文件.并同样设置为只读加隐藏..
---------------------------------------------
手动查杀方法：
 
  （1）在进程中找到并结束Logo1_.exe、rundl132.exe进程，未找到则直接跳过；
  （2）找到并删除%Windir%下的Logo1_.exe、rundl132.exe、vDll.dll文件，其中vDll.dll可能在其他目录中，%Windir%默认为C:\Windows或者C:\Winnt。
  （3）打开注册表，索引到HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW，删除auto键值；
  （4）打开注册表，索引到HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\WIndows，删除load键值；
  （5）打开%system%\drivers\etc下hosts文件，删除“127.0.0.1    localhost”一行后所有内容；
  （6）升级病毒定义库，在安全模式下对全盘进行扫描。
通过这个过程之后还得再用个专杀才算是清理个差不多


微软防止威金病毒补丁