威金最彻底的清除方法

显示全部楼层 · 发表于 2006-12-22 22:14:57

@ECHO OFF
del c:\winnt\logo1_.exe
del c:\windows\logo1_.exe
del c:\winnt\0sy.exe
del c:\windows\0sy.exe
del c:\winnt\1sy.exe
del c:\windows\1sy.exe
del c:\winnt\2sy.exe
del c:\windows\2sy.exe
del c:\winnt\3sy.exe
del c:\windows\3sy.exe
del c:\winnt\4sy.exe
del c:\windows\4sy.exe
del c:\winnt\rundl132.exe
del c:\windows\rundl132.exe
net share c$ /d
net share d$ /d
net share e$ /d
net share F$ /d
net share G$ /d
net share h$ /d
net share i$ /d
net share j$ /d
net share admin$ /d
net share ipc$ /d
del c:\winnt\logo1_.exe
del c:\windows\logo1_.exe
del c:\windows\vdll.dll
del c:\winnt\vdll.dll
del c:\winnt\kill.exe
del c:\windows\kil.exe
del c:\winnt\sws32.dll
del c:\windows\sws32.dll
del c:\winnt\rundl132.exe
del c:\windows\rundl132.exe
echo.
echo.
echo.    *****************************
echo.
echo.    正在查毒...请不要关闭......
echo.
echo.    *****************************
echo.
echo.
echo.
echo.
ping 127.0.0.1 -n 5
del c:\winnt\logo1_.exe
del c:\windows\logo1_.exe
del c:\windows\vdll.dll
del c:\winnt\vdll.dll
del c:\winnt\kill.exe
del c:\windows\kil.exe
del c:\winnt\sws32.dll
del c:\windows\sws32.dll
del c:\winnt\rundl132.exe
del c:\windows\rundl132.exe
echo.
echo.
echo.
echo.    *****************************
echo.
echo.    正在查毒...请不要关闭......
echo.
echo.    *****************************
echo.
echo.
echo.
echo.
ping 127.0.0.1 -n 5
del c:\winnt\logo1_.exe
del c:\windows\logo1_.exe
del c:\windows\vdll.dll
del c:\winnt\vdll.dll
del c:\winnt\kill.exe
del c:\windows\kil.exe
del c:\winnt\sws32.dll
del c:\windows\sws32.dll
del c:\windows\0sy.exe
del c:\winnt\1sy.exe
del c:\windows\1sy.exe
del c:\winnt\2sy.exe
del c:\windows\2sy.exe
del c:\winnt\3sy.exe
del c:\windows\3sy.exe
del c:\winnt\4sy.exe
del c:\windows\4sy.exe
del c:\winnt\rundl132.exe
del c:\windows\rundl132.exe
del C:\winnt\Logo1_.exe
del C:\winnt\rundl132.exe
del C:\winnt\bootconf.exe
del C:\winnt\kill.exe
del C:\winnt\sws32.dll
del C:\winnt\dll.dll
del C:\winnt\vdll.dll
del C:\winnt\system32\ShellExt\svchs0t.exe
del C:\Program Files\Internet Explorer\0SY.exe
del C:\Program Files\Internet Explorer\1SY.exe
del C:\Program Files\Internet Explorer\2sy.exe
del C:\Program Files\Internet Explorer\3sy.exe
del C:\Program Files\Internet Explorer\4sy.exe
del C:\Program Files\Internet Explorer\5sy.exe
del C:\Program Files\Internet Explorer\6SY.exe
del C:\Program Files\Internet Explorer\7sy.exe
del C:\Program Files\Internet Explorer\8sy.exe
del C:\Program Files\Internet Explorer\9sy.exe
del C:\winnt\system32\Logo1_.exe
del C:\winnt\system32\rundl132.exe
del C:\winnt\system32\bootconf.exe
del C:\winnt\system32\kill.exe
del C:\winnt\system32\sws32.dll
del C:\windows\Logo1_.exe
del C:\windows\rundl132.exe
del C:\windows\bootconf.exe
del C:\windows\kill.exe
del C:\windows\sws32.dll
del C:\windows\dll.dll
del C:\windows\vdll.dll
del C:\windows\system32\ShellExt\svchs0t.exe
del C:\windows\system32\Logo1_.exe
del C:\windows\system32\rundl132.exe
del C:\windows\system32\bootconf.exe
del C:\windows\system32\kill.exe
del C:\windows\system32\sws32.dll
del c:\_desktop.ini /f/s/q/a
del d:\_desktop.ini /f/s/q/a
del e:\_desktop.ini /f/s/q/a
del f:\_desktop.ini /f/s/q/a
del g:\_desktop.ini /f/s/q/a
del h:\_desktop.ini /f/s/q/a
del i:\_desktop.ini /f/s/q/a
del j:\_desktop.ini /f/s/q/a
del k:\_desktop.ini /f/s/q/a

以上内容保存到记事本后把扩展名改成BAT后执行，既可
此办法合适已经中威金病毒的人，可以不必全盘格式化了

[ 本帖最后由 hzh_3123 于 2006-12-22 22:25 编辑 ]

显示全部楼层 · 发表于 2006-12-22 22:26:26

我是小白，想问问威金是何方神圣？这么厉害？

显示全部楼层 · 发表于 2006-12-23 10:36:43

没有用的，这样做只是删除了病毒文件，并不能保证被感染的exe文件不会再次释放病毒！！

显示全部楼层 · 发表于 2006-12-23 12:31:49

是啊。。。效果不是很好的。。。格了吧，格了干净。。。没办法

显示全部楼层 · 发表于 2006-12-27 09:26:36

收到了，试下，最近碰到这家伙的机会多多啊

显示全部楼层 · 发表于 2006-12-27 19:54:57

原帖由 dingctai 于 2006-12-22 22:26 发表
我是小白，想问问威金是何方神圣？这么厉害？

去google~

显示全部楼层 · 发表于 2006-12-28 12:37:35

何必呢？专杀工具很好用啊！而且还能把感染了的.exe文件恢复好，我前两天就中的威金，基本上所有的盘的.exe文件都感染了，用的专杀工具，杀的很彻底~ 不过你要是碰到的是威金变种病毒那就不好说了~~~

显示全部楼层 · 发表于 2006-12-29 15:23:35

原帖由 dingctai 于 2006-12-22 22:26 发表
我是小白，想问问威金是何方神圣？这么厉害？

1. 某些杀毒软件的实时监控无法启动(例如:瑞星的实时监控中心)

2. 部分图标变得模糊

3. 进程里面出现例如 Logo_1.exe , 0Sy.exe等莫名其妙的东西

4. C盘隐藏文件出现 _desktop.ini(隐藏文件)

5. 磁盘的autorun被修改，以至于双击磁盘盘符时提示出错

随即用瑞星2006的杀毒软件进行杀毒，但是无法彻底清除。这是感染了"威金"病毒。

该病毒为Windows平台下集成可执行文件感染、网络感染、通过网络下载木马、后门程序或其它病毒的复合型病毒，病毒运行后将自身伪装成系统正常文件，以迷惑用户，通过修改注册表项使病毒开机时可以自动运行，同时病毒通过线程注入技术绕过防火墙的监视，连接到病毒作者指定的网站下载特定的木马或其它病毒，同时病毒运行后枚举内网的所有可用共享，并尝试通过弱口令方式攻击其它机器，进而感染目标计算机。
运行过程过感染用户机器上的可执行文件，造成用户机器运行速度变慢，破坏用户机器的可执行文件，给用户安全性构成危害。
病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。
1、病毒运行后将自身复制到Windows文件夹下,文件名为:
%Windir%\rundl132.exe
2、运行被感染的文件后，病毒将病毒体复制到为以下文件:
%Windir%\logo_1.exe
3、同时病毒会在病毒文件夹下生成:
%病毒当前目录下%\vidll.dll
4、病毒从Z盘开始向前搜索所有可用分区中的exe文件，然后感染所有大小27kb-10mb的可执行文件，感染完毕在被感染的文件夹中生成:
_desktop.ini (文件属性:系统、隐藏。)
5、病毒会尝试修改%SysRoot%\system32\drivers\etc\hosts文件。
6、病毒通过添加如下注册表项实现病毒开机自动运行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="%Windir%\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="%Windir%\rundl132.exe"
7、病毒运行时尝试查找窗体名为:"RavMonClass"的程序，查找到窗体后发送消息关闭该程序。
8、枚举以下杀毒软件进程名，查找到后终止其进程:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe
regsvc.exe
RavMon.exe
mcshield.exe
9、同时病毒尝试利用以下命令终止相关杀病毒软件：
net stop "Kingsoft AntiVirus Service"
Viking(维金)病毒免疫器 v0.1
名称:Viking 病毒免疫器
版本:0.1
文件大小:1,341 字节
编写语言:MASM
压缩方式:FSG v2.0
运行平台:Win2k/xp/2003
文件MD5值:f7c3ae45e3d150aadcb614cc1c7f3d87
病毒分析报告:Analysis.txt(注:各变种版本可能会有所差异,本文档仅供参考)
相关文件说明:
AntiViking.exe.........................................免疫器主程序
Analysis.txt...........................................病毒分析文档
Readme.txt.............................................说明文档
说明:
这段时间viking病毒闹的比较严重，在短时间内出现的变种版本也是很多的，于是乎做了这个小东西对该病毒进行免疫，这个工具主要用于防止在本机运行感染后的程序再对本地文件进行感染,目前还不支持直接运行病毒原体的情况的免疫:-(（本想加个驱动进行对原体也进行免疫，但可能导致和其它反病毒软件冲突，所以放弃了）。关于防止运行病毒原体进行网络传播的方法:
1、去除弱口令，用以防止ipc、admin方式进行连接(这个都所有用户);
2、关闭网络共享(对于普通家庭用户);
3、开网络共享，但是设置为只读共享(对于网吧用户)；
4、开网络共享，设置可写共享，但必须设置访问密码(对于特殊用户)。
运行AntiViking.exe后，程序会在Windows目录下生成Rundl132.exe和Logo1_.exe文件，同时程序会将自身加入以下注册表自启动项:
主键: [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
键值: AntiViking

居然不知道什么是威金·

显示全部楼层 · 发表于 2006-12-29 22:34:24

效果不是很好的

显示全部楼层 · 发表于 2006-12-29 22:37:55

好下人的病毒啊....咳.....