问题描述:
局域网中了威金病毒(worm viking),在不断网的情况下如何清除?
这个病毒危害程序有多高啊???如何预防?
问题解答:
威金可以说是今年最有破坏力的病毒了
你可以试试瑞星的专杀
http://it.rising.com.cn/Channels/Service/2006-07/1153119832d22607.shtml
千万别用卡巴斯基,不然你电脑真的无药可救了.本人以前也感染过这种病毒,
这种病毒感觉电脑上所有的可执行文件,(.exe)造成所有的可执行文件无法运行,如果使用卡巴会把可执行文件造成损坏,
建议你使用瑞星,在杀毒时不要选择删除文件,可以选择清除病毒,这样还可以保留部分软件
瑞星有威金专杀工具
具体下载地址.你可以去瑞星主页找一下.
瑞星主页www.rising.com.cn
很麻烦,建议手动杀毒.
用卡巴斯基
专杀工具下载地址在
http://download.rising.com.cn/zsgj/VirusKiller.scr
补丁下载地址:
http://www.microsoft.com/security/malwareremove/default.mspx
[快讯]6月5日,瑞星病毒疫情监测网监测发现,一个多功能混合型病毒正在互联网上快速传播,该病毒被命名为“威金蠕虫变种BO(Worm.Viking.bo)”病毒。瑞星反病毒专家介绍说,该病毒同时具有文件型病毒、蠕虫病毒、病毒下载器等类病毒的特点,进入用户的电脑之后,它会从网上疯狂下载多个木马、QQ尾巴等安装在中毒电脑中,窃取用户的网络游戏密码,严重时造成系统完全崩溃。
瑞星病毒疫情监测网监测提供的数据表明,截至5日14点,共有9600余名个人用户和10余家企业用户被该病毒感染。病毒会扫描局域网中的所有共享计算机,尝试猜解它们的密码,并试图感染这些计算机。病毒的传播、扫描、网络下载等会消耗大量资源,局域网中只要有一台机器中毒,就可能造成全网运行不正常,甚至造成网络堵塞。中毒后,必须采用具备全局管理功能的网络版杀毒软件才能彻底清除。
根据瑞星技术部门的分析,“威金蠕虫变种BO”进入用户的电脑之后,会通过网络下载“西游木马”、“江湖木马”、“密西病毒”以及“魔兽木马”等程序并安装,试图窃取上述网络游戏的帐号、密码和装备。同时,该病毒还会下载并安装一个QQ尾巴病毒,再利用中毒电脑的QQ疯狂发送垃圾信息,并借机进行传播。
瑞星反病毒专家表示,近期混合型多功能病毒十分猖獗,它们会从网上下载多个病毒、流氓软件,实时更新对抗反病毒软件的查杀,因此一旦中毒很难清除。从目前的形式来看,该病毒的传播速度没有明显减弱的迹象。
附:
Worm.Viking (威金)清除方法:
关于 Logo1_.exe
基本介绍
病毒名称 Worm@W32.Looked
病毒别名 Virus.Win32.Delf.62976 [Kaspersky], W32/HLLP.Philis.j [McAfee],W32.Looked [symantec]
Net-Worm.Win32.Zorin.a
病毒型态 Worm (网络蠕虫)
病毒发现日期 2004/12/20
影响平台 Windows 95/98/ME , Windows NT/2000/XP/2003
风险评估
散播程度:中
破坏程度:中
主要症状:
1、占用大量网速,使机器使用变得极慢。
2、会捆绑所有的EXE文件,只要一运用应用程序,在winnt下的logo1.exe图标就会相应变成应用程序图标。
3、有时还会时而不时地弹出一些程序框,有时候应用程序一起动就出错,有时候起动了就被强行退出。
4、网吧中只感梁win2k pro版,server版及XP系统都不感染。
5、能绕过所有的还原软件。
详细技术信息:
病毒运行后,在%Windir%生成 Logo1_.exe 同时会在windws根目录生成一个名为"virDll.dll"的文件。
%WinDir%\virDll.dll
该蠕虫会在系统注册表中生成如下键值:
[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]
"auto" = "1"
盗取密码
病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码,将游戏密码发送到该木马病毒的植入者手中。
阻止以下杀毒软件的运行
病毒试图终止包含下列进程的运行,这些多为杀毒软件的进程。 包括卡八斯基,金山公司的毒霸。瑞星等
。98%的杀毒软件运行。
国产软件在中毒后都被病毒杀死,是病毒杀掉-杀毒软件。如金山,瑞星等。哪些软件可以认出病毒。但是
认出后不久就阵亡了。
通过写入文本信息改变"%System%\drivers\etc\hosts" 文件。这就意味着,当受感染的计算机浏览许多站点时
(包括众多反病毒站点),浏览器就会重定向到66.197.186.149。
病毒感染运行windows操作系统的计算机,并且通过开放的网络资源传播。一旦安装,蠕虫将会感染受感染计算
机中的.exe文件。
该蠕虫是一个大小为82K的Windows PE可执行文件。
通过本地网络传播
该蠕虫会将自己复制到下面网络资源:
ADMIN$
IPC$
症状
蠕虫会感染所有.exe的文件。但是,它不会感染路径中包含下列字符串的文件:
\Program Files
Common Files
ComPlus Applications
Documents and Settings
NetMeeting
Outlook Express
Recycled
system
System Volume Information
system32
windows
Windows Media Player
Windows NT
WindowsUpdate
winnt
蠕虫会从内存中删除下面列出的进程:
EGHOST.EXE
IPARMOR.EXE
KAVPFW.EXE
KWatchUI.EXE
MAILMON.EXE
Ravmon.exe
ZoneAlarm
好多网吧遭此病毒破坏造成大面积的卡机,瘫痪。我查遍了好多病毒,和自己收集的病毒样本做了比较,发现此病毒极度变态。危害程度可以和世界排名前十的爱情后门变种相比。该病毒可以通过网络传播,传播周期为3分钟。如果是新做的系统处于中了毒的网络环境内,只要那个机器一上网,3分钟内必定中招。中招后你安装 rising SkyNet Symantec McAfee Gate Rfw.exe RavMon.exe kill NAV 等杀毒软件 都无法补救你的系统,病毒文件 Logo1_.exe 为主体病毒,他自动生成病毒发作所需要的的 SWS32.DLL SWS.DLLL KILL.EXE 等文件。这些文件一但衍生。他将迅速感染系统内EXPLORE 等系统核心进程 及所以.exe 的可执行文件,外观典型表现症状为图标变色。 此时系统资源可用率极低,你每重新启动一次,病毒就会发作一次,重新启动5次后系统基本崩溃。病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码,将游戏密码发送到该木马病毒的植入者手中。
该病毒对于防范意识较弱、还原软件未能及时装到位的网吧十分致命,其网络传播速度十分快。旧版的杀毒软件无法检测,新版的无法彻底根杀。一但网吧内某台机器中了此病毒,那么该网吧所有未中毒的机器都处于危险状态。由于病毒发作贮留于内存。且通过IEXPLORE.exe 进行传播。因此即使是装了还原精灵,还原卡的机器也同样会被感染。你重新启动后系统可以还原。但是你一但开机还是会被感染。
最后说一下解决方案 都是本人个人经验 有不足之处还请各位多多补充......(注意!!在杀毒过程中不要动行任何应用程序)
1.把默认共享关闭,给ADMINISTRATOR 组所有成员设置密码。防止病毒重新感染!
2.结束以下进程: logo1_.exe rundl132.exe(注意第六个为数字1而不是L) explorer.exe(该病毒会把vDll.dll加载到该系统进程中去,最好是用进程管理工具直接结束掉这个DLL) 另外有类似OS.exe的进程也一并结束掉~~!
3.到windows目录删除"logo1_.exe"、"rundl132.exe"、"vdll.dll"文件!(注意这些进程都是隐藏的,需要把系统设置为“显示隐藏文件”,设置的方法:打开“我的电脑”; 依次打开菜单“工具/文件夹选项”;然后在弹出的“文件夹选项”对话框中切换到“查看”页; 去掉“隐藏受保护的操作系统文件(推荐)”前面的对钩,让它变为不选状态; 在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项; 去掉“隐藏已知文件类型的扩展名”前面的对钩,也让它变为不选状态;最后点击“确定”。 )
4.运行 gpedit.msc 打开组策略,依次单击用户配置- 管理模块- 系统-指定不给windows运行的程序,点启用 然后 点显示 添加 logo1_exe 也就是病毒的源文件
5.在windows目录下新建文件:"logo1_.exe"、"rundl132.exe"、"vdll.dll"并把属性设为“只读”,这样病毒也就无法运行了
6.现在你的电脑基本上说可以对该病毒免疫了,既使中了该病毒,它也发作不了啦!最后这一点不怎么好办那些应用程序都被感染了病毒,如果中了病毒,下次重启后,就会弹出来“rundl132.exe不是有效的应用程序”和“无法加载注册表中c;\windows\rundl132.exe”的对话框本人认为要么删除所有被感染的应用程序,然后从其它地方复制没感染病毒的过来,要么就是在搜索里用“*.exe”找出所有的exe文件,然后每个运行一下:L最后从注册表里找出“rundl132.exe”的启动项,删掉就OK了
上海旅游网