我的电脑中了病毒

所有的exe文件都感染了 outlook无法打开 打印机不停打印当天日期 注册表无法打开 没有报错提示 多了很多进程 无法关闭 还有_desktop.ini文件 好象有几千个
最新回答
别伤不该伤的心

2024-09-22 02:52:54

这就是传说中的VIKING(威金蠕虫病毒)该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒,病毒运行后将自身伪装成系统正常文件,以迷惑用户,通过修改注册表项使病毒开机时可以自动运行,同时病毒通过线程注入技术绕过防火墙的监视,连接到病毒作者指定的网站下载特定的木马或其它病毒,同时病毒运行后枚举内网的所有可用共享,并尝试通过弱口令方式连接感染目标计算机。
运行过程过感染用户机器上的可执行文件,造成用户机器运行速度变慢,破坏用户机器的可执行文件,给用户安全性构成危害。
病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。

1、病毒运行后将自身复制到Windows文件夹下,文件名为:
%SystemRoot%\rundl132.exe

2、运行被感染的文件后,病毒将病毒体复制到为以下文件:
%SystemRoot%\logo_1.exe

3、同时病毒会在病毒文件夹下生成:
病毒目录\vdll.dll

4、病毒从Z盘开始向前搜索所有可用分区中的exe文件,然后感染所有大小27kb-10mb的可执行文件,感染完毕在被感染的文件夹中生成:
_desktop.ini (文件属性:系统、隐藏。)

5、病毒会尝试修改%SysRoot%\system32\drivers\etc\hosts文件。

6、病毒通过添加如下注册表项实现病毒开机自动运行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\rundl132.exe"

7、病毒运行时尝试查找窗体名为:"RavMonClass"的程序,查找到窗体后发送消息关闭该程序。

8、枚举以下杀毒软件进程名,查找到后终止其进程:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe

9、同时病毒尝试利用以下命令终止相关杀病毒软件:
net stop "Kingsoft AntiVirus Service"

10、发送ICMP探测数据"Hello,World",判断网络状态,网络可用时,
枚举内网所有共享主机,并尝试用弱口令连接\\IPC$、\admin$等共享目录,连接成功后进行网络感染。

11、感染用户机器上的exe文件,但不感染以下文件夹中的文件:
system
system32
windows
Documents and settings
system Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone

12、枚举系统进程,尝试将病毒dll(vdll.dll)选择性注入以下进程名对应的进程:
Explorer
Iexplore
找到符合条件的进程后随机注入以上两个进程中的其中一个。

13、当外网可用时,被注入的dll文件尝试连接以下网站下载并运行相关程序:
http://www.17
**.com/gua/zt.txt 保存为:c:\1.txt
http://www.17
**.com/gua/wow.txt 保存为:c:\1.txt
http://www.17
**.com/gua/mx.txt 保存为:c:\1.txt

http://www.17
**.com/gua/zt.exe 保存为:%SystemRoot%\0Sy.exe
http://www.17
**.com/gua/wow.exe 保存为:%SystemRoot%\1Sy.exe
http://www.17
**.com/gua/mx.exe 保存为:%SystemRoot%\2Sy.exe
注:三个程序都为木马程序

14、病毒会将下载后的"1.txt"的内容添加到以下相关注册表项:

[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]
"ver_down0"="[boot loader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++"
"ver_down1"="[boot loader]
timeout=30
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" ////"
"ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" /////"
---------------------------------我是分割线--------------------------
那么知道他是VIKING了 你就自己去网上搜索解决办法吧 据我所知解决办法不下10多种 上百篇文章。
但是 我想说的是:我前段时间中这个毒了,他们说的办法我几乎都试过了除了比较麻烦的。最后我一气之下把电脑格式化了 一了百了。 你可以把你电脑里的重要文件放到一个盘里比如E盘 但是注意的是这些文件绝对不能是EXE之类的文件(哥们,能保留点电影MP 照片就行了 或者文档)然后打开工具栏显示所有隐藏文件 把每个E盘里的文件夹内的隐藏文件都删除了。然后把其他盘格式化再重装系统就OK了 记住要断网。装完以后第一件事去下载卡巴斯基6.0版本可以预防但是根治不了。
注意事项:保留照片MP3电影之类的到一张盘 这个盘里的所有文件夹包括子文件夹全部把里面的陌生东西删除(显示隐藏文件模式下)
其他盘全部格式化。重装系统时断网。
路遥归梦

2024-09-22 03:32:55

你中了维金病毒,目前几大杀毒软件厂家的控制能力还不是太成熟,你的操作系统应该是2000,你可以按照以下步骤做
1、删掉注册表中所有的rundl132.exe和svhost32.exe
2、删掉系统目录下的rundl132.exe和svhost32.exe,
3、把下面的拷贝成 “维金.bat”再运行
4、再在安全模式下用诺顿10杀一遍即可恢复系统安全
5、对于文件的恢复,我现在还没有成功过。

reg delete HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run /v {9D0351F9-8E49-4ed1-BBCE-0795F5B9F240} /f
reg delete "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v load /f
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run /v {9D0351F9-8E49-4ed1-BBCE-0795F5B9F240} /f
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Reliability /v ShutdownStateSnapshot /f
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v zt /f
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v ms /f
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v fzg /f
reg delete HKEY_USERS\S-1-5-21-2605889240-4013433242-1396700885-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run /v {9D0351F9-8E49-4ed1-BBCE-0795F5B9F240} /f
reg delete "HKEY_USERS\S-1-5-21-2605889240-4013433242-1396700885-500\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v load /f

md %systemroot%\1.com
cacls %systemroot%\1.com /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\sws32.dll
cacls %systemroot%\sws32.dll /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\kill.exe
cacls %systemroot%\kill.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS

md %systemroot%\EXP10RER.com
cacls %systemroot%\10RER.com /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS

md %systemroot%\finders.com
cacls %systemroot%\finders.com /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\Shell.sys
cacls %systemroot%\Shell.sys /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\Logo_.exe
cacls %systemroot%\0Sy.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\Logo_.exe
cacls %systemroot%\0Sy.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\1Sy.exe
cacls %systemroot%\1Sy.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\2Sy.exe
cacls %systemroot%\2Sy.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\3Sy.exe
cacls %systemroot%\3Sy.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\4Sy.exe
cacls %systemroot%\4Sy.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\5Sy.exe
cacls %systemroot%\5Sy.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\6Sy.exe
cacls %systemroot%\6Sy.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\7Sy.exe
cacls %systemroot%\7Sy.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\8Sy.exe
cacls %systemroot%\8Sy.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\9Sy.exe
cacls %systemroot%\9Sy.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\exerouter.exe
cacls %systemroot%\exerouter.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\Logo1_.exe
cacls %systemroot%\Logo1_.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\rundl132.exe
cacls %systemroot%\rundl132.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\rundll32.exe
cacls %systemroot%\rundll32.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\smss.exe
cacls %systemroot%\smss.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\vDll.dll
cacls %systemroot%\vDll.dll /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\Dll.dll
cacls %systemroot%\Dll.dll /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md "C:\Program Files\svhost32.exe"
cacls "C:\Program Files\svhost32.exe" /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md "C:\Program Files\Intel\rundll32.exe"
cacls "C:\Program Files\Intel\rundll32.exe" /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md "C:\Program Files\Intel\svhost32.exe"
cacls "C:\Program Files\Intel\svhost32.exe" /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md "C:\Program Files\Microsoft\svhost32.exe"
cacls "C:\Program Files\Microsoft\svhost32.exe" /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\system32\richnotify.exe
cacls %systemroot%\system32\richnotify.exe /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\system32\reshtm.dll
cacls %systemroot%\system32\reshtm.dll /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\system32\resPro.dll
cacls %systemroot%\system32\resPro.dll /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS
md %systemroot%\stdie.dll
cacls %systemroot%\stdie.dll /T /E /C /R everyone ADMINISTRATORS ADMINISTRATOR SYSTEM GUEST USERS

del c:\_desktop.ini /f/s/q/a
del d:\_desktop.ini /f/s/q/a
del e:\_desktop.ini /f/s/q/a
del f:\_desktop.ini /f/s/q/a
del g:\_desktop.ini /f/s/q/a
del h:\_desktop.ini /f/s/q/a
del i:\_desktop.ini /f/s/q/a
del j:\_desktop.ini /f/s/q/a
del k:\_desktop.ini /f/s/q/a
del l:\_desktop.ini /f/s/q/a
del m:\_desktop.ini /f/s/q/a
del n:\_desktop.ini /f/s/q/a
del o:\_desktop.ini /f/s/q/a
del p:\_desktop.ini /f/s/q/a
del q:\_desktop.ini /f/s/q/a
del r:\_desktop.ini /f/s/q/a
del s:\_desktop.ini /f/s/q/a
del t:\_desktop.ini /f/s/q/a
del u:\_desktop.ini /f/s/q/a
del v:\_desktop.ini /f/s/q/a
del w:\_desktop.ini /f/s/q/a
del x:\_desktop.ini /f/s/q/a
del y:\_desktop.ini /f/s/q/a
del z:\_desktop.ini /f/s/q/a
枕花眠

2024-09-22 11:52:42

_desktop.ini这个说明你中的是威金。。。。。

威金传播途径光,带病毒木马蠕虫性质,很不好解决。。。你用专杀工具试试。

我已解决了,现在说出我的方法来给大家分享,用瑞星+江民专杀+瑞星专杀
+卡巴
先在下面的工作用的办公电脑都都装上了卡巴6.0要去官方哪里下载的有保证,可以不用升级到最新毒库一样有效(还要找个授权文件来注册他现在网上这文件非常易找)
<卡巴在这里的角色不是用来杀毒是用来抵挡病毒的再次入侵,因为卡巴杀毒后机上的重要文件一般都掉失了,所有程序都不能用了>

后用江民杀专杀+瑞星专杀(江民一个就可以了不过为了安全两个一起来)专杀工具可以在不伤原文件的情况下抽毒来杀掉

这样这台机马上连到内网就不会再中毒了,就这样一台一台的清,不影响公司的正常工作
(因为我公司里以WIN98为主,专杀工具只有瑞星一个可以在WIN98里面运行,我选用卡巴是因为不用升级病毒库,我公司办公电脑都是不可以上网的)
最后就到公司里的6台服务器了,好可惜的是卡巴是不支持装到服务器上的,就在绝望时我发现到了瑞星,(注明的是我已前办公电脑都是用瑞星的在网上下载回来的可是机都中毒连瑞星自己也牺牲了)有一台电脑装的瑞星,以其他的瑞星不一样哪怕直接把毒考到机上一样没事,查一下他的监控历史,从9月份他就开始检测局域网里有毒了并一直保护着这台机.我马上把他制作安装包用到服务器上,OK服务器上马上受到保护了.因为之前用过杀毒软件杀毒后连机都开不了我就不敢试用这个瑞星杀毒还是用回专杀工具杀(因为服务器出了什么事我也不想活了)
事后经过研究发现这个(瑞星)的确和其他的<瑞星>不一样
1在他操作介面上左上角不是显示不是瑞星杀毒软件下载版,而是直接的 瑞星杀毒软件 这几个字
2在启动栏里的名字和其它地方标的也是这样少了 下载版 这几个字,除了这几个字不一样外就没发现其他不一样了
就以断定这是另一个版本,怀疑是单机版 官方没得下载的,这说明现在官方网上的下载版瑞星是功能不全的,要买正版才有用,难怪现在网上出了这么多破解版瑞星都不去打击一下,原来下载版只是一个替死鬼,幸好还有少部分地方还是有原装碟版的瑞星下载,
现在局域网开始没事了
一川绿风

2024-09-22 11:44:50

你中了logo1_.exe(威金蠕虫)病毒,不过现在好解决了!
注意:在进行下列操作前把你的电脑的共享全部关掉
1、把进程里面的logo1_.exe、rundl132.exe(注意rundl132.exe的第6个是
数字“1”,不是字母“l”)
2、把电脑的启动项rundl132.exe关掉
3、把c:\windows下的logo1_.exe、rundl132.exe的文件删掉
4、用金山或瑞星威金蠕虫专杀工具杀毒
5、杀完毒后重新启动,再安装瑞星(电脑托盘下的“小绿伞”撑开了才算
成功,否则还要用金山或瑞星威金蠕虫专杀工具杀毒),把瑞星升级到
最新版本后进行杀毒(最好是在安全模式下杀毒,杀毒过程中也不要用
电脑了),杀毒两次以上,只到没毒为止。

如果你的电脑是在局域网内使用,记住千万不要开共享!!!

我们局域网内也中过这中病毒,以上是我清除这种病毒的方法,其实也很
简单,没有网上说的那么复杂。在此我推荐你使用瑞星杀毒,卡巴虽然好,但是它会把被感染的文件删掉,这样你的很多应用程序就不能用了,但是瑞星就是直接清除病毒,实在不能清除的,它才会删除文件。

希望你早日清除这种病毒!
菊花碎大石

2024-09-22 02:17:45

试试杀毒,不行只有格式化了.
这就是传说中的VIKING(威金蠕虫病毒)该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒,病毒运行后将自身伪装成系统正常文件,以迷惑用户,通过修改注册表项使病毒开机时可以自动运行,同时病毒通过线程注入技术绕过防火墙的监视,连接到病毒作者指定的网站下载特定的木马或其它病毒,同时病毒运行后枚举内网的所有可用共享,并尝试通过弱口令方式连接感染目标计算机。
运行过程过感染用户机器上的可执行文件,造成用户机器运行速度变慢,破坏用户机器的可执行文件,给用户安全性构成危害。
病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。