威金专杀工具，威金病毒的解决方案

这篇文章给大家聊聊关于威金专杀工具，以及威金病毒的解决方案对应的知识点，希望对各位有所帮助，不要忘了收藏本站哦。

威金病毒的解决方案

另外瑞星升级到最新版本也能清除该病毒，建议先手动删除然后在用瑞星扫描全盘。维金病毒的泛滥愈演愈烈，10月份发布了几个专杀工具帮助千百万计的用户脱离苦海，近日又接到了很多用户发来的维金病毒报告邮件，没想到这个病毒比原来更猖獗了.原来的工具源码在一次意外中丢失，这次又狠下心重新编写了，也加入了最新的维金病毒特征码.请有需要的广大的用户下载使用，更希望能把在使用时发现的问题反馈给我们，或到下面的支持博客中留言.

该工具可以有效解除被感染的exe中的病毒并还原exe文件，网上的大部分工具是直接删除exe文件。另外，本工具还具有Viking免疫功能。

下载后直接运行即可查杀，如果查杀几次都有无法关闭的进程的，重新启动一下计算机继续查杀应该可以杀掉。直到病毒数为0时为止。如果配合PlanTasks程序可发挥更大威力。

特别推荐

CHENOE Anti-Virus Tools维金专杀（民间版魏滔序）

有用户反应该病毒变种可抑制瑞星和卡巴斯基等主流杀毒软件的启动，在此前提下可安装这个民间版，软件不到一兆，在系统迟缓的前提下可轻松运行，相信对中此病毒的朋友能够有所帮助。该病毒会在每个文件夹中生成一个名为_desktop.ini的文件，一个个去删除，显然太费劲，（我的机器的操作系统因安装在NTFS格式下，所以系统盘下的文件夹中没有这个文件，另外盘下的文件夹无一幸免），因此在这里介绍给大家一个批处理命令 del d:\_desktop.ini/f/s/q/a，该命令的作用是：强制删除d盘下所有目录内（包括d盘本身）的_desktop.ini文件并且不提示是否删除/f强制删除只读文件

/q指定静音状态。不提示您确认删除。/s从当前目录及其所有子目录中删除指定文件。显示正在被删除的文件名。/a的意思是按照属性来删除了这个命令的作用是在杀掉viking病毒之后清理系统内残留的_desktop.ini文件用的使用方法是开始--所有程序--附件--命令提示符，键入上述命令（也可复制粘贴），首先删除D盘中的_desktop.ini，然后依此删除另外盘中的_desktop.ini。至此，该病毒对机器造成的影响全部消除。觉得有用的朋友们拿去试试吧方法A

一、重启，并进安全模式。

二、杀毒

1、显示隐藏文件：

打开“我的电脑”——工具——文件夹选项——查看

a、把“隐藏受保护的操作系统文件（推荐）”和“隐藏已知文件类型的扩展名”前面的勾去掉；

b、勾中“显示所有文件和文件夹”

2、在系统安装文件夹内<；一般是C:\WINDOWS和C:\WINDOWS\system32>/用搜索找到你所中病毒<；比如找logo_1.exe rundl132.exe>完全删除之然后都建立名为logo1_.exe、rundl132.exe的空文件夹/并把属性设为“只读”，这样病毒也就无法运行了。

3、在所有的硬盘中删除_desktop.ini。

4、清空IE浏览产生的垃圾和记录文件。<C:\Documents and Settings\用户名\Local Settings和Temporary Internet Files下所有文件都可删除。>

<3/4其实可以不用做。不过为了更加完善清理垃圾文件也是不错的。>

--------------------手工清理办法结束--------------------

方法B

⒈同时按下CTRL,ALT,DEL三键打开任务管理器，结束病毒<；比如logo1_.exe>；进程.

2同样需要删除操作系统盘（一般是C盘）winnt目录下的logo1_.exe文件.

⒊运行gpedit.msc打开组策略，依次单击用户配置-管理模块-系统-指定不给windows运行的程序，点启用然后点显示添加病毒的源文件<比如logo1_exe>；。

⒋把默认共享关闭，给ADMINISTRATOR组所有成员设置密码。防止病毒重新感染。<；呵呵。说到这里。绅博的朋友们你们是不是个人电脑都有密码呢不要以为不设密码就表示你大方。其实这样也给病毒很多机会了。所以电脑还是应该要设置个简单密码的。这里不就有作用拉~>.

--------------------手工清理办法结束--------------------

<；说明：以上两方法任意选一都可行。原理：前面是安全模式下病毒没运行所以直接删。再禁。后面是中毒情况下关闭进程。然后强删，再禁。最终效果是一样的。>

五、推荐使用威金病毒全盘修复工具

功能描述

专门针对感染可执行文件（.exe）的威金病毒全盘修复工具，可以对已被vikin感染的文件进行修复！点这里下载威金全盘修复工具！将ArFix.rar下载到本地解压缩（请不要在压缩包中运行，不然特征库可能无法保存）

运行ArFix.exe

添加样本-〉选择一个病毒文件或者一个被病毒感染的文件（如某些图标有变化的文件，有时需要添加病毒母体才能杀干净）！

显示病毒可能是个正常文件时，说明这不是个被感染的程序，可能是病毒母体，这种无法修复，只能删除！（文件选择错误，会删除掉正常的程序）

显示为被感染的可执行程序时，说明这个被感染了，可以修复！

添加到特征库后，会看到支持的变种数量增加了！

进行全盘查杀！

您可以通过登陆windows清理助手网站了解更多关于软件工具使用和系统安全知识！

最后请大家注意网上有个威金补丁千万不要下是后门软件我机器就中招了 13次系统重装的代价都是因为这个补丁最后坏了一块120G硬盘（擦写次数过多）后来一个懂行的朋友帮我查出来的每次一安装这个补丁就会在8小时内发作威金隐蔽性很强害人啊很多重要工作数据丢失了损失无法估量（希望追求刑事责任）

中过威金病毒的进来!

威金专杀

最近出现了威金病毒，已经导致了数以万计的网吧及PC网络出现严重问题，而我也是深受其害，几乎所有小于10m以下*.exe文件都被感染甚至让这些文件变色，而瑞星，金山等杀毒软件根本就解决不了这些文件关联只能把这些文件删除，要知这种后果有多严重，而这些受关联文件一旦运行，几乎整台机子就告瘫痪，

甚至与这台机子联机的pc都会感染，而这些向logo1.exe，rundl132.exe文件删掉之后重启，又会死灰复燃，搞的你发疯，其他修复*.exe关联工具都没用，

现我找搜索到了一份预防方案．以及解决办法。

解决办法：

首先下载终截者入侵阻止程序，这个网站就有，安装运行，接着你就可以运行*.exe文件了

看到logo1_.exe，rundl132.exe等程序你禁止运行别的允许就ok了最后到从c：\windows\下把logo1_.exe，rundl132.exe文件删掉再到注册表里把相关联文件值删掉就行接着用安全回归就行了重启之后全面杀毒就ok了

办法虽然笨但非常有效

预防方案;

下载[url][/url]

解压后把virus文件夹里面的文件复制到c:\windows\下面.放心.这些都是空文件.文件名和病毒名是一样的.但是都是0字节.

然后运行logo1virus.bat给刚才放到c:\windows\下的那几个文件加上系统.隐藏.只读3个属性.

就这样.就可以预防威金病毒了.也就是说.即使你的机子中了威金病毒.也不可能发作.是100%不可能!

为了双保险.请进行下一步:

开始-运行输入gpedit.msc

用户配置-管理模板-系统不要运行指定的windows程序.

启用.然后在下面显示那里把virusname.txt里面的文件名都加上.

logo1.rar里面是病毒.你可以试一下.即使你运行了这个病毒.也不会发作和感染.

废话我就不说了.希望大家好运.瑞星最新报告.目前已有数万人中这个毒.才3天时间.其中有数千家网吧在2天内中毒.不可忽视.

表说你没见过这个QQ信息

看看啊.我最近的照片~才扫描到QQ象册上的 ^_^!

[url].([/url]骗子或虚假QQ推广信息地址)search_2.shtml.cgi-client-entry.photo.39pic.com/qq%E5%83%8F%E5%86%8C2/

如果你点一下...

表说你不会点.如果你在家.你的电脑只是你一人用么?如果不小心点了一下.那么....

如果你在网吧.网吧其他人点一下的话........

病毒信息:

病毒名称:Worm.Viking.bo Worm.Viking.bp

MACFEE检测为trojan类木马

事实远不是这样简单...

感染方式:目前为通过QQ信息感染.当然.不否认有人会利用恶意网页来传播

特征:感染后在C盘windows文件夹内会有logo1_.exe文件.运行后病毒体为 logo1_.exe kill.exe sws32.dll sws.dll rundl132.dll等

修改注册表

病毒对注册表进行修改，在 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\IniFileMapping\system.ini\boot]winlogo项和

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和

[HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/中添加键值=%System%（其中，和为可变的），使得在下次

系统启动时，病毒可随之自动运行。

中毒后.该病毒能迅速感染explorer.exe等核心进程.

以及所有的.exe可执行程序...是彻底修改.而不是简单的修改文件关联...具体表现为.游戏图标变色.或变为空白..基本上说.中了这个病毒.就等于你要全部格式化硬盘了。

添加logo1_.exe进程.还有其他几个忘记名字了..

同时释放网游木马.包括 WOW.传奇.江湖.西游.还有....trojan.psw.lineage表问我这是什么...

你可以说.我装有杀毒软件.很不幸.这个病毒还有一个功能。.就是杀杀毒软件.病毒运行时会干掉以下进程:

rising

SkyNet

Symantec

McAfee

Gate

Rfw.exe

RavMon.exe

kill

NAV

KAV

表告诉我不知道这是什么进程.

你可以说.我装有还原软件.很不幸.该病毒能穿透还原精灵.冰点等数种主流还原软件.经本人测试.连还原卡也没用

:mad::mad::mad:

你可以说.我有ghost呢.恢复一下就OK.很不幸,由于是全盘感染.恢复镜象也没用.

对于中毒的朋友.本人只能说节哀顺便.如果实在想补救.有以下办法.

进入安全模式什么都表点.开始-运行-regedit

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot]

winlogo项

删掉.C:\WINDOWS\SWS32.DLL

HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/Run删掉C:\WINDOWS\SWS32.dll类似的都删掉.还有/RunOnce/RunOnceEx项里面也检查一下.

为安全记.在注册表里搜索以下值 logo1_.exe logo_1.exe kill.exe sws32.dll sws.dll rundl132.dll把搜索到的键值全部删掉.

搜索到的那些键值.一定要记得路径.比如c:\windows\sws32.dll c:\windows\logo1_.exe等.注册表信息删掉后.在c盘把这些东西删掉.

然后在运行里输入msconfig后面启动项里.把没见过的启动项都取消.

如果是网吧机子.server服务一定要关.因为该病毒会通过共享传播.并试图解开共享机子的用户密码.达到传送文件的目的.

做到这一步.请安装卡巴斯基.查毒.然后把所有染毒对象全部删除.当然.以卡巴死基的一贯风格.会删除N多系统文件.请使用系统修复功能来修复系统...OVER.

其实以我的意思.中了这个毒.基本上就没有修复的必要了.每重新启动一次机子.病毒体会自身复制得更多.重新装一个系统并不麻烦.麻烦的是要重新装系统后.怎么才能做到不再感染此病毒.这也是我想要说的.经过查阅病毒资料.和自己一惯手动杀毒经验.本人使用以下防毒思路.测试效果良好.

重新装过系统后.(装系统过程请拔掉网线)在c:\windows\下创建几个新文件.分别命名为

logo1_.exe logo_1.exe sws32.dll sws.dll等.并把该文件属性设置为只读.

其实病毒祸首就是logo1_.exe理论上说只创建这一个就可以了。

开始-运行输入gpedit.msc

本地计算机策略--用户配置--管理模板--系统双击右面的不要运行指定的windows程序选择已启用点下面的显示那里里面添加如下文件名 logo1_.exe logo_1.exe kill.exe至于是否还有其他病毒主体名.大家也多查查。

到这一步.基本上该病毒就无法运行了.

其实防止logo1_.exe运行还有一个办法.就是在启动项里添加一个批处理.该批处理内容为

attrib c:\window\logo1_.exe-r-h

del c:\window\logo1_.exe/y

多复制几行。把其他要删的文件名加上

就是启动系统时就把这些文件删掉.当然就无法运行了。..不过.通常这种办法会失灵.;)

还有一点就是防止点QQ信息里面的链接.开启QQ安全中心.如果想要显示QQ信息里连的链接但是不想点他。也有办法.

在QQ菜单-设置-安全设置-网络信息安全把安全级别设置为最高.下面聊天信息安全里面两个勾都去掉.

表乱进不熟悉的网站.

一句话.良好的上网习惯是最好的杀毒利器.

手都打酸了。希望能对大家所帮助...

PS:偶表达能力差.表打击偶.有什么不明白的地方偶编辑下..

以下是修改过的logo1virus.bat

省了第一步.也就是说.直接运行logo1vires.bat后.去修改组策略.就万无一失了.修改过的logo1virus.bat内容为

---------------------------------------------------

echo> c:\windows\Logo1_.exe

echo> c:\windows\rundl132.exe

echo> c:\windows\0Sy.exe

echo> c:\windows\vDll.dll

echo> c:\windows\1Sy.exe

echo> c:\windows\2Sy.exe

echo> c:\windows\rundll32.exe

echo> c:\windows\3Sy.exe

echo> c:\windows\5Sy.exe

echo> c:\windows\1.com

echo> c:\windows\exerouter.exe

echo> c:\windows\EXP10RER.com

echo> c:\windows\finders.com

echo> c:\windows\Shell.sys

echo> c:\windows\smss.exe

echo> c:\windows\kill.exe

echo> c:\windows\sws.dll

echo> c:\windows\sws32.dll

attrib c:\windows\Logo1_.exe+s+r+h

attrib c:\windows\rundl132.exe+s+r+h

attrib c:\windows\0Sy.exe+s+r+h

attrib c:\windows\vDll.dll+s+r+h

attrib c:\windows\1Sy.exe+s+r+h

attrib c:\windows\2Sy.exe+s+r+h

attrib c:\windows\rundll32.exe+s+r+h

attrib c:\windows\3Sy.exe+s+r+h

attrib c:\windows\5Sy.exe+s+r+h

attrib c:\windows\1.com+s+r+h

attrib c:\windows\exerouter.exe+s+r+h

attrib c:\windows\EXP10RER.com+s+r+h

attrib c:\windows\finders.com+s+r+h

attrib c:\windows\Shell.sys+s+r+h

attrib c:\windows\smss.exe+s+r+h

attrib c:\windows\kill.exe+s+r+h

attrib c:\windows\sws.dll+s+r+h

attrib c:\windows\sws32.dll+s+r+h

-------------------------------------------

刚才整理了一下.修改组策略那里已经被我写成注册表。请把以下内容复制到文本里.修改成reg后缀导入就可.

------------------------------------------------

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\本地User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]

"**delvals."=""

"1"="0Sy.exe"

"2"="1.com"

"3"="1Sy.exe"

"4"="2Sy.exe"

"5"="3Sy.exe"

"6"="5Sy.exe"

"7"="exerouter.exe"

"8"="EXP10RER.com"

"9"="finders.com"

"10"="finders.com"

"11"="kill.exe"

"12"="Logo1_.exe"

"13"="rundl132.exe"

"14"="rundll32.exe"

"15"="Shell.sys"

"16"="smss.exe"

"17"="smss.exe"

"18"="sws.dll"

"19"="sws32.dll"

"20"="tool.exe"

"21"="tool2005.exe"

"22"="tool2006.exe"

"23"="tools.exe"

"24"="vDll.dll"

威金的现象

1.中毒后所有.exe执行文件均发生异常；

2.中毒后系统分区生成很多垃圾文件；

3.中毒后网络共享打印机生成“远程下层文档”异常队列；

4.中毒后网络共享打印机自动打印内容为一行日期的空白页面；

5.在所有文件夹下生成纯文件_desktop.ini，内容为一行日期；

6.生成病毒文件

a) Program Files\svhost32.exe

b) Program Files\microsoft\svhost32.exe

c) Windows\explorer.exe

d) windows\logo1_exe

e) windows

undll32.exe

f) windows

undl132.exe

g) windows\intel

undl132.exe

h) windows\dll.dll

受影响的系统：

Windows 95, 98, ME, NT, 2000, XP_SP2和Server 2003_SP1

传播途径：

扫描administrator和guest帐号口令为空的计算机，并通过共享迅速传播。

病毒查杀：

采用Mcafee+ Ewido+ Logkill组合查杀；并手工免疫。

处理步骤：

1.禁用系统还原，并删除相关备份文件；

2.在安全模式下，使用已更新的Mcafee和Ewido扫描并查杀全盘；

3.对被破坏的exe文件，使用Logkill尝试修复；

4.为administrator和guest帐号设置非弱口令。

威金Worm.Viking病毒查杀及手工免疫

（以下描述可能对有经验的读者略显烦琐，请选择跳过或略读。）

第一步：安装Ewido v4.0.172

1.解压缩Ewido v4.0.172绿色汉化版.rar；

2.执行并安装ewidoantispyware400172.exe；

3.执行并汉化ewidoantispyware400172yywj_v2_kaci.exe；

4.激活并注册，注册码70EW-TH17Q1-PM-C01-S1W2QD-MEM-NUYY

请参考“使用说明.txt”。

第二步：升级Ewido v4.0.172

打开Ewido主程序，选择第二个标签“更新”，点击“开始更新”，待更新完成。

第三步：使用Ewido扫描系统

打开Ewido主程序，选择第三个标签“扫描器”，进行“完整系统扫描”，待扫描完成。

第四步：进行威金病毒手工免疫

1.使系统显示隐藏文件

打开“我的电脑”；依次打开菜单“工具”->“文件夹选项”；然后在弹出的“文件夹选项”对话框中切换到“查看”页；去掉“隐藏受保护的操作系统文件(推荐)前面的对钩，让它变为不选状态；在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项；去掉“隐藏已知文件类型的扩展名”前面的对钩，也让它变为不选状态。最后“确定”完成即可。

2.制作病毒免疫文件

A.进入C:\WINDOWS目录，新建3个文件logo1_.exe、rundl132.exe、vdll.dll；

B.依次右键单击新创建的文件，选择“属性”，进入“安全”标签页；

C.点击“高级”选项；

D.在“高级安全设置”中取消“从父项继承那些可以应用到子对象的权限项目，包括那些在此明确定义的项目”；

E.在弹出的对话框中选择“删除”；

F.在返回的窗口中部单击“添加”按键；

G.在“输入对象名称来选择”文本框中输入 everyone，确定；

H.赋予全部拒绝权限；

I.按照上述方法再次添加“SYSTEM”，并赋予全部拒绝权限；

J.确定完成即可。

K.按照上述方法将logo1_.exe、rundl132.exe、vdll.dll三个新建文件全部赋予everyone和SYSTEM的拒绝权限；

L.完成免疫。

相关技术分析

（以下部分摘自趋势科技病毒知识库）

到达、植入及自启动技术

在运行时，病毒会在 Windows文件夹中生成一个 PE_LOOKED.BF-O的拷贝 RUNDL132.EXE，然后将其运行。病毒同样会生成一个.DLL文件，然后将其注入到 IEXPLORER.EXE进程中。趋势将这个.DLL文件检测为 TROJ_LOOKED.BF。这个木马负责实现传播感染文件的目的。

在Windows 98和ME系统中，为使自身可以在每次系统启动时自动运行，病毒添加如下的注册表项目：

引用内容

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

Current Version

un

Load=%Windows%

undl132.exe

(注意：%Windows%是Windows文件夹，通常就是C:\Windows或C:\WINNT。)

在基于Windows NT（Windows NT, 2000, XP和Server 2003）的系统中，为使自身可以在每次系统启动时自动运行，病毒修改如下的注册表项目：

引用内容

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\

CurrentVersion\Windows

Load=%Windows%

undl132.exe

(注意:该键值默认值为 Load=.)

作为自启动的一部分，病毒创建如下注册表键值：

引用内容

HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW

Auto= 1

通过网络共享进行传播

这个文件感染型病毒可以通过网络共享进行传播。病毒会使用用户名为 administrator和 guest，口令为空的账户信息，尝试登录如下网络共享，成功登录后会在共享中生成自身拷贝。

ADMIN$、IPC$

文件感染

该病毒会搜索C到Z盘中的所有EXE文件，找到文件后将病毒代码前缀至文件中。但是，病毒会避免感染含有如下字符串的文件：

ComPlus Applications

Documents and Settings

InstallShield Installation Information

Messenger

Microsoft Frontpage

Microsoft Office

Movie Maker

MSN Gaming Zone

NetMeeting

Outlook Express

Recycled

system

System Volume Information

system32

windows

Windows Media Player

WindowsUpdate

winnt

进程终止

该病毒会寻找如下与安全有关的如下进程，找到后会将其终止：

MCSHIELD.EXE、REGSVC.EXE

病毒还会终止名为 Kingsoft Antivirus的服务。

其他细节

该病毒会在其遍历过的每个文件夹中生成一个名为“ _DESKTOP.INI”的非恶意纯文本文件。这个文本文件中包含病毒感染日期。

---------------------------------------------------------------------------------------------------------------------------------------------

如何恢复被威金感染的exe文件

首先我们使用杀毒软件以及专杀工具查杀威金病毒，但千万要注意的是，对于感染的.exe文件不要选择删除，隔离即可。

然后，在Windows目录下建立一个空文件，文件名为logo1_.exe，文件属性设置成“只读、隐藏、系统属性”。按照此方法，还需建立rundl123.exe、logo_1.exe以及Sy0.exe~Sy9.exe等文件。

接着，拔掉网线，断开网络，暂时关闭病毒防护。还原被隔离的.exe文件，点击运行。这时被感染的.exe文件就会脱壳，logo1_.exe以及rundl123.exe等会被释放。用最新的专杀对这个.exe文件检测一遍，然后把它放入RAR压缩包里。在RAR中的.exe文件不会感染，在RAR中运行这个程序也没问题。

注意，在使用超级兔子等软件时一定不能清理自己创建的那几个文件。否则，病毒将再次开始活动。

最后，再次全面查杀，保证内部无毒。

此方法，只推荐给专业人士参考，不要轻易操作，以免发生严重后果

另外，推荐使用专业工具进行恢复。那就是使用威金病毒全盘修复工具。

功能描述

专门针对感染可执行文件（.exe）的威金病毒全盘修复工具，可以对已被vikin感染的文件进行修复！点这里下载威金全盘修复工具！

使用说明

将ArFix.rar下载到本地解压缩（请不要在压缩包中运行，不然特征库可能无法保存）

运行ArFix.exe

添加样本-〉选择一个病毒文件或者一个被病毒感染的文件（如某些图标有变化的文件,有时需要添加病毒母体才能杀干净）！

显示病毒可能是个正常文件时，说明这不是个被感染的程序，可能是病毒母体，这种无法修复，只能删除！（文件选择错误，会删除掉正常的程序）

显示为被感染的可执行程序时，说明这个被感染了，可以修复！

添加到特征库后，会看到支持的变种数量增加了！

进行全盘查杀！

您可以通过登陆windows清理助手网站了解更多关于软件工具使用和系统安全知识！

官方下载本工具：

OK，本文到此结束，希望对大家有所帮助。