[病毒查杀] Worm.Viking.af Worm.Viking.bo Worm.Viking.aa Worm.Viking.cx病毒的查杀 杀毒软件, 互联网, system, 防火墙, 文件夹

中毒症状:

1、电脑中了worm.viking.af病毒,杀干净了只要联网马上又会中,很多电脑自动生成_desktop.ini这个病毒，这个病毒可以绕过防火墙，并把市面上98%的杀毒软件的实时监控关闭，或无法手动运行，或运行后死机，感染除系统文件夹以外的所有目录下的exe文件。
只要你用宽带，即使没有拨号接入互联网，只要网线插在网卡上，病毒就会自动扫描端口。具体症状是：在系统进程中会出现logo1_.exe文件，和另一个文件rundl132.exe一起出现在%system%\system32\下，杀毒软件的实时监控会自动关闭，无法手动打开，重装后可暂时解决，但过一会儿就会在右下角消失，如果你将隐藏文件和系统文件设定为显示，将会看到除系统文件夹以外所有分区下所有文件夹中出现一个_desktop.ini的文件，删掉后，过一会儿还会出现，而且是从最后一个分区开始向前感染。

2、viking家族的变种会感染pe文件，给中招用户带来不小麻烦，同时还具有网络感染、下载网络木马等其他功能。中招用户的典型特征为电脑中出现logo1_.exe、rundl132.exe文件。

3、同时该家族的worm.viking.i（瑞星worm.viking.bp）变种还通过qq尾巴传播，qq尾巴的形式：h**p://www.qq.com.search_2.shtml.cgi-client-entry.photo.39pic.com/qq%e5%83%8f%e5%86%8c2/

4、windows目录下，有个rundl132.exe的文件
你所有硬盘的目下有个_desktop.ini的隐藏文件
如果有的话，你就是中毒了（worm.viking.cx worm.viking.af worm.viking.bo）。

5、占用大量网速，使机器使用变得极慢。

6、会捆绑所有的exe文件，只要一运用应用程序，在winnt下的logo1_.exe图标就会相应变成应用程序图标。

7、有时还会时而不时地弹出一些程序框，有时候应用程序一起动就出错，有时候启动了就被强行退出。

8、阻止以下杀毒软件的运行,包括卡巴斯基、金山毒霸、瑞星等98%的杀毒软件运行。

9、访问部分反病毒安全网站时，浏览器就会重定向到66.197.186.149

病毒分析：

1、病毒被激活后，释放以下文件：
%systemroot%\rundl132.exe
%systemroot%\logo1_.exe
病毒目录\vdll.dll（windws根目录生成一个名为"virdll.dll"的文件）

2、添加以下启动项：
hkey_local_machine\software\microsoft\windows\currentversion\run]
"load"="%systemroot%\rundl132.exe"
[hkey_current_user\software\microsoft\windows nt\currentversion\windows]
"load"="%systemroot%\rundl132.exe"

该蠕虫会在系统注册表中生成如下键值：
[hkey_local_machine\software\soft\downloadwww]
"auto" = "1"

3、感染所有分区下大小27kb-10mb的可执行文件，并在被感染的文件夹中生成_desktop.ini。文件如果发现这个东西的话，恭喜恭喜，估计十有八九已遭遇不幸了，并且感染后会造成一些网友说的“exe文件图标花了”，但是，它不会感染路径中包含下列字符串的文件：
\program files
common files
complus applications
documents and settings
netmeeting
outlook express
recycled
system
system volume information
system32
windows
windows media player
windows nt
windowsupdate
winnt
蠕虫会从内存中删除下面列出的进程：
eghost.exe
iparmor.exe
kavpfw.exe
kwatchui.exe
mailmon.exe
ravmon.exe
zonealarm

4、通过不安全的共享网络传播，网络可用时，枚举内网所有共享主机，并尝试用弱口令连接\ipc$、\admin$等共享目录，连接成功后进行网络感染。

5、结束一些国内外的反病毒软件进程，如卡巴斯基、金山毒霸、瑞星、木马客星等。

6、vdll.dll注入explorer或者iexplore进程，当外网可用时，下载其他木马程序(如前段时间比较bt的红底黑色龙头图案的winlogon)。

7、将拿到的几个样本文件看了下，其中rundl132.exe为病毒文件，vthunder为感染后的文件，thunder为原文件。
winhex将这3个文件打开，发现感染方式为“头寄生”，vthunder文件头被插入了rundl132
的代码。
rundl132.exe
vthunder.exe
thunder.exe
offset删除至00069e6后另存为，即可还原到原来的thunder了。

威金worm.viking.**病毒的清除方法：

1、威金（worm.viking）病毒专杀工具  
http://it.rising.com.cn/service/technology/ravvikiing.htm
http://www.pcav.cn/soft/zsgj/rxjsgj/200607/375.html

2、删除_desktop.ini
该病毒会在每个文件夹中生成一个名为_desktop.ini的文件，在这里介绍给大家一个批处理命令 del d:\_desktop.ini /f/s/q/a，该命令的作用是：
强制删除d盘下所有目录内（包括d盘本身）的_desktop.ini文件并且不提示是否删除
/f 强制删除只读文件
/q 指定静音状态。不提示您确认删除。
/s 从当前目录及其所有子目录中删除指定文件。显示正在被删除的文件名。
/a的意思是按照属性来删除了
这个命令的作用是在杀掉viking病毒之后清理系统内残留的_desktop.ini文件，使用方法是开始--所有程序--附件--命令提示符，键入上述命令（也可复制粘贴），首先删除d盘中的_desktop.ini，然后依此删除另外盘中的_desktop.ini。
至此，该病毒对机器造成的影响全部消除。

★☆☆手动清除病毒方法☆☆★
（1）在进程中找到并结束logo1_.exe、rundl132.exe进程
（2）找到并删除%windir%下的logo1_.exe、rundl132.exe、vdll.dll文件
（3）打开注册表，索引到hkey_local_machine\software\soft\downloadwww，删除auto键值
（4）打开注册表，索引到hkey_current_user\software\microsoft\windows nt\currentversion\windows，删除load键值
（5）打开%system%\drivers\etc下hosts文件，删除“127.0.0.1 localhost”一行后所有内容
（6）下载”worm.viking专杀工具“，在安全模式下全盘杀毒
（7）插入系统光盘，重做系统

另外一个方法：
第一步:用同时按下ctrl,alt,del三键打开任务管理器,结束logo1_.exe进程.
第二步:删除操作系统盘(一般是c盘)winnt目录下的logo1_.exe文件.
可以看出,以上两步是很普通的,大部分人都会,关键是第三步.
第三步:在操作系统盘(一般是c盘)winnt目录下,创建一个文件夹(记住是文件夹而不是文件),文件夹名为logo1_.exe,并设置该文件夹的属性为只读+隐藏. 这样logo1_.exe病毒再也无法运行了,也就是它的破坏作用(比如降低网速)也消失了.唯一的缺陷就是那些变色的应用程序图标还是依旧.如果你希望应用程序的图标恢复,那么(1)你可以重装系统,记住重装系统后一定要在winnt目录下,创建一个名叫logo1_.exe 文件夹并设置该文件夹的属性为只读+隐藏,以防再次感染,使电脑得到免疫.也可以(2)等到能够杀该病毒的软件诞生为止.
杀毒原理:创建logo1_.exe文件夹,使无法创建logo1_.exe文件,把文件夹设为只读+隐藏使安全性更高.

对这个病毒防范胜于查杀。目前，包括毒霸在内的部分杀软可以较好的处理感染后的exe文件，但部分杀软采取的方法却是直接删除，这可不是件好事。因此，应及时升级你的杀软，并打开实时监控；安装一款防火墙；关闭不必要的网络共享；通过在线更新等给系统打好补丁；给管理员帐户加上足够强壮的密码；对于来历不名的文件不要随意运行。

我中了这家伙了