问答文章1 问答文章501 问答文章1001 问答文章1501 问答文章2001 问答文章2501 问答文章3001 问答文章3501 问答文章4001 问答文章4501 问答文章5001 问答文章5501 问答文章6001 问答文章6501 问答文章7001 问答文章7501 问答文章8001 问答文章8501 问答文章9001 问答文章9501
你好,欢迎来到懂视!登录注册
当前位置: 首页 - 正文

有没有这样的毒 把你的。EXE文件全加上壳~~即使你还原了下次运行还是...

发布网友 发布时间:2024-10-22 07:10

我来回答

3个回答

热心网友 时间:2024-10-22 08:45

威金 Worm.Viking

威金相关资料及查杀

[color=black][b]下面是病毒的详细资料[/b]:[/color]
[color=#ff6600] 病毒类型[/color]:NetWorm 网络蠕虫
[color=#ff6600] 病毒名称[/color]:Worm.Viking(瑞星) , Worm.Win32.Viking.aa , bb(卡巴斯基), w32.Looked.p (诺顿) ;
统称威金。
文件 MD5: E939658C090087B08A1CD498F2DB59B3
公开范围: 完全公开
危害等级: 中
文件长度: 1,025,308 字节
感染系统: windows98以上版本
开发工具: Borland Delphi V3.0
加壳类型: Upack 2.4 - 2.9 beta
命名对照: Symentec[W32.Looked.P] Mcafee[无]

[size=2]该病毒属蠕虫类,病毒运行后释放病毒文件%WINDDIR%\rundl132.exe、系统盘根目录\_desktop.ini、%Program Files%\_desktop.ini、桌面\viDll.dll,会在大量文件夹中释放文件_desktop.ini;连接网络,开启端口,下载病毒文件%WINDDIR%\0sy.exe、%WINDDIR%\1sy.exe、%WINDDIR%\2sy.exe;开启进程conime.exe及其自身,注入到进程explorer.exe中,修改注册表,添加启动项,以达到随机启动的目的;感染大部分非系统文件;病毒把自身加入到要感染的程序,在被感染的程序运行时,病毒也同时运行,但在运行一次后自动释放病毒体,被感染文件也恢复正常,隔段时间后病毒会再次感染此应用程序;病毒尝试终止相关杀病毒软件;病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。[/size]

[b]查杀办法:[size=2]方案一[/size][/b]
[b] [/b][size=2]全盘格式化 [/size]
[size=2] [/size]
[size=2] [b]方案二[/b][/size]
[size=2] 手动清除方案

1、手工清除请按照行为分析删除对应文件,恢复相关系统设置。

(1) 使用“进程管理”关闭病毒进程[/size]
[size=2][/size]
[size=2]按CTRL+ALT+DEL在任务管理器中把rundl132.exe,logo1_.exe结束掉(没有 [/size]
[size=2]的话,不用操作)[/size]
[size=2][/size]
[size=2](2) 删除病毒文件

%WINDDIR%\rundl132.exe
%Program Files%\_desktop.ini
桌面\viDll.dll
系统根目录\_desktop.ini
系统根目录\1.txt
系统根目录\MH_FILE\MH_DLL.dll
系统根目录\TODAYZTKING\TODAYZTKING.dll
会在大量文件夹中释放文件_desktop.ini
%WINDDIR%\0sy.exe
%WINDDIR%\1sy.exe
%WINDDIR%\2sy.exe[/size]
[size=2][/size]
[size=2]使用DOS命令批量删除_desktop.ini,如下:

del d:\_desktop.ini /f/s/q/a

强制删除d盘下所有目录内(包括d盘本身)的_desktop.ini文件并且不提示是否删除

/f 强制删除只读文件

/q 指定静音状态。不提示您确认删除。

/s 从当前目录及其所有子目录中删除指定文件。显示正在被删除的文件名。

/a的意思是按照属性来删除了

这个命令的作用是在杀掉viking病毒之后清理系统内残留的_desktop.ini文件用的

(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项

HKEY_CURRENT_USER\Software\Microsoft\Windows NT
\CurrentVersion\Windows
键值: 字串: "load "="C:\WINDOWS\rundl132.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
键值: 字串: "ver_down0"="0.859: Source:C:\WINDOWS\system32\_0000012_.tmp.dll (3.0.3790.218001111)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
键值: 字串: " ver_down1"="0.687: 2006/06/13 20:52:04.23s444 (local)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
键值: 字串: " ver_down2"="0.859: Source:C:\WINDOWS\system32\_000006_.tmp.dll
(3.0.3790.21801)"
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\auto
键值: 字串: "1"
[/size]
[size=2] [b]方案三[/b][/size]
[size=2][b] [/b]半手工清除方案[/size]
[b][size=2][/size][/b]
1.中毒之后断网马上重启电脑,重启之后如果电脑有先进的杀毒软件(推荐使用卡巴斯基,我尝试了三款杀毒软件,最后发现只有卡巴能检测出大量病毒,其他 的只能查得出一点点,而且还杀不掉,到处都有破解的卡巴下载,不麻烦,只要 注意不要下载到病毒就OK了)则使用杀毒(记住此期间不要联网,不然病毒会自 动下载木马的),如果电脑里面没有先进的杀毒软件,就联网之后快快下载一个 破解版的卡巴(建议顺带下载一个安全卫士,一个维金瑞星专杀)然后升级再断 网,一定要快!维金复制得特别快,你的速越快,越容易消灭他。
2.杀毒软件准备好之后就开始杀毒,你会发现电脑有很多病毒和木马,而且一次 卡巴根本消灭不了,但是维金病毒有一点很厉害!你的卡巴只能使用一次,第二 次维金就会克制你的卡巴使它不能打开了(所以这次一定要把查到的全部杀了) ,如果在第一步中准备了安全卫士和专杀工具的在卡巴杀完之后将电脑转换到安 全模式(开机时按F8就可以进入了),在用上面两个工具杀杀(这两个不是太有 用,不过多少也能消灭一点)。
3.上面步骤完成以后初期工作就基本完成,接下来进入手动杀毒:病毒是在 windows目录下生成dll.dll,logo1_.exe,rundl132.exe这三个文件。 而dll.dll注入explorer.exe是由logo1_.exe来完成。病毒会在开机自动执行中加 入rundl132.exe 首先打开我的电脑!选工具——文件夹选项——查看(快捷键按 ALT+T再按O)中的"隐藏受保护的操作系统文件(推荐)"的勾取消,把"显示所有文 件和文件夹"选中!
【1】.按CTRL+ALT+DEL在任务管理器中把rundl132.exe,logo1_.exe结束掉(没有 的话,不用操作),删除C盘内的logo1_.exel和rundl132.exe(不知道在哪里的,可以 打开我的电脑按CTRL+F然后搜索rundl132.exe,logo1_.exe)
【2】.因为DLL.dll模块被写入到explorer中,所以删除不掉.不过能有办法删除, 打开任务管理把进程中的explorer.exe结束掉,接着桌面变消失了,不怕!选中 任务管理器的“文件(F)”——“新任务(运行。。)(N)”然后运行
explorer.exe桌面就又出来了!接着把在C:盘下的DLL.dll删除掉(按CTRL+F查找 它,然后删除)
【3】.在运行中输入regedit查找注册表键值:
[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]将其删除,然后按CTRL+F查找 注册表键值rundl132.exe及在这项中的所有键值将其删除
【4】.打开我的电脑按CTRL+F然后搜索_desktop.ini,把找到的所有_desktop.ini 删除(删除后图标还显示在那里,别管它,关掉后在查一次看看是否还有)
4.将上面的步骤统统完成之后,病毒就已经不能再复制了,接下来就是删掉原有 的卡巴,然后再重新将卡巴装一次,重启,杀毒(这时就只需将剩下的木马给消 灭掉就可以了),杀完毒之后再重启,在我的电脑里搜索看有没有_desktop.ini 的文件,如果没有的话就恭喜你病毒全部消灭,如果还有的话就重复以上步骤直 至病毒全部消灭。
5.防止再次感染 运行 gpedit.msc 打开组策略
依次单击用户配置- 管理模块- 系统-指定不给windows运行的程序点启用 然后 点显示 添加 logo1_exe 也就是病毒的源文件 。
祝愿大家早日脱离威金的苦海!
现在这个病毒已经出现相当多的变种。我查阅了很多资料和网站了,瑞星、金山、卡巴都很难杀净

热心网友 时间:2024-10-22 08:43

"LOGO1_.EXE "
关于 logo1_.exe基本介绍:
病毒名称:worm@w32.looked
病毒别名:virus.win32.delf.62976 , w32/hllp.philis.j ,w32.looked net-worm.win32.zorin.a
病毒型态:worm (网络蠕虫)
病毒发现日期:2004/12/20
影响平台:windows 95/98/me , windows nt/2000/xp/2003
风险评估:散播程度:中;破坏程度:中.

主要症状:
1、占用大量网速,使机器使用变得极慢。
2、会捆绑所有的exe文件,只要一运用应用程序,在winnt下的logo1.exe图标就会相应变成应用程序图标。
3、有时还会时而不时地弹出一些程序框,有时候应用程序一起动就出错,有时候起动了就被强行退出。
4、网吧中只感梁win2k pro版,server版及xp系统都不感染。
5、能绕过所有的还原软件。

详细技术信息:
病毒运行后,在%windir%生成 logo1_.exe 同时会在windws根目录生成一个名为virdll.dll的文件。
%windir%virdll.dll

该蠕虫会在系统注册表中生成如下键值:

auto = 1

盗取密码
病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码,将游戏密码发送到该木马病毒的植入者手中。阻止以下杀毒软件的运行病毒试图终止包含下列进程的运行,这些多为杀毒软件的进程。 包括卡八斯基,金山公司的毒霸。瑞星等。98%的杀毒软件运行。国产软件在中毒后都被病毒杀死,是病毒杀掉-杀毒软件。如金山,瑞星等。哪些软件可以认出病毒。但是认出后不久就阵亡了。通过写入文本信息改变%system%driversetchosts 文件。这就意味着,当受感染的计算机浏览许多站点时(包括众多反病毒站点),浏览器就会重定向到66.197.186.149。

病毒感染运行windows操作系统的计算机,并且通过开放的网络资源传播。一旦安装,蠕虫将会感染受感染计算机中的.exe文件。该蠕虫是一个大小为82k的windows pe可执行文件。通过本地网络传播该蠕虫会将自己复制到下面网络资源:
admin$
ipc$

症状:
蠕虫会感染所有.exe的文件。但是,它不会感染路径中包含下列字符串的文件:
program files
common files
complus applicati
documents and settings
netmeeting
outlook express
recycled
system
system volume information
system32
windows
windows media player
windows nt
windowsupdate
winnt

蠕虫会从内存中删除下面列出的进程:
eghost.exe
iparmor.exe
kavpfw.exe
kwatchui.exe
mailmon.exe
ravmon.exe
z
网吧遭此病毒破坏造成大面积的卡机,瘫痪。危害程度可以和世界排名前十的爱情后门变种相比。该病毒可以通过网络传播,传播周期为3分钟。如果是新做的系统处于中了毒的网络环境内,只要那个机器一上网,3分钟内必定中招。中招后你安装 rising skynet symantec mcafee gate rfw.exe ravmon.exe kill nav 等杀毒软件 都无法补救你的系统,病毒文件 logo1_.exe 为主体病毒,他自动生成病毒发作所需要的的 sws32.dll sws.dlll kill.exe 等文件。这些文件一但衍生。他将迅速感染系统内explore 等系统核心进程 及所以.exe的可执行文件,外观典型表现症状为 传奇 ,泡泡堂,等游戏图标变色。 此时系统资源可用率极低,你每重新启动一次,病毒就会发作一次。该病毒对于防范意识较弱,还原软件未能及时装到位的网吧十分致命,其网络传播速度十分快捷有效。旧版的杀毒软件无法检测,新版的无法彻底根杀。一但网吧内某台机器中了此病毒,那么该网吧所有未中毒的机器都处于危险状态。由于病毒发作贮留于内存。且通过explore.exe 进行传播。因此即使是装了还原精灵,还原卡的机器也同样会被感染。你重新启动后系统可以还原。但是你一但开机还是会被感染。
病毒发作会生成另外病毒 pwsteal.lemir.gen 和 trojan.psw.lineage 等等。都是些非常厉害的后门程序。和外挂病毒相似,但是其威力是外挂病毒的50倍以上。在win98平台下,改病毒威害比较小。在win2000 /xp/2003
平台对于网吧系统是致命的。运行系统极度卡机。你重新启动后你会发现你所有游戏的.exe 程序全部都感染了最新杀毒软件杀完后。除了系统可以勉强运行。其他的你也别想运行了。

热心网友 时间:2024-10-22 08:47

威金。logo1.
声明:本网页内容为用户发布,旨在传播知识,不代表本网认同其观点,若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。
E-MAIL:11247931@qq.com
高性能,信号强,多久能回本——京东云无线宝AX6600雅典娜评测 4G+鸿蒙>5G,这科学吗?iPhone14 Pro、华为Mate50 Pro网速测试_百度... 今天到电信专网下载了一个测试网速的软件,测试为2M(我宽带也是2M,就我... ...两条外网,3个路由器,多台电脑,领导想让多台电脑使用专网网速上... 已知f(e的x次方)的一次倒数=xe的负x,f(1)=0,则f(x)=? 已知F(X)=e的x 次方-e的负x次方,g(x)=e的x次方+e的负x次方,(e=2.718... 已知fx=(e的x次方-a)的平方加(e的负x次方-a)的平方。求,将fx表示成u... 里盖蒂的匈牙利作曲家 新建excel的文件格式和扩展名不匹配怎么处理? 新建excel的文件格式和扩展名不匹配怎么处理 请问下这些木马是属于哪种类型的严重吗? U盘病毒 我电脑中病毒了老有声音还弹出This comuter is being attacked... 电脑每次启动时瑞星都提示发现未知木马病毒c:\windows\temp\ff1... 家中一楼有一个三控开关,每一个开关各控制一组灯管(每组三个灯管),以 ... 一间屋子里有三个开关分别控制三个灯,但看不到是哪个控制哪个,只有一次... 家里有三排电灯,一个开关控制一排,三个开关单独打开时正常,第一个第... 拦水坝打一草药名 川续断属分布及功能 川断药材来源 7月来啦,现在备考中级会计师考试还来得及吗 风流人物什么肖 这两个买哪个比较好?第一个是红米k30s,5g手机,,,第二个是华为p30pro,4g... 关于MS木马 急!!! C:wlndows\system32\csrss.exe到底是什么? 浏览器进程被csrss.exe强制终结 报考中级会计师职称的条件要求大专文凭,今年我己考完,但是要明年则才能... 我06年7月份会计本科毕业,现在能报名参加明年5月份中级职称考试吗? ...了会计从业资格证,可以报考明年的会计初级职称吗 ...想报考会计初级职称,但是我中专证书要明年才能拿到,可以考吗... ...会计从业证的,请问可以报考明年的初级会计职称吗?需不需要是在岗人员... 每次开机使用木马克星都发现木马网络连接,来自937:C:\WINDOWS\System32\... ...Win32.Agent.bbb 文件: C:\WINDOWS\SYSTEM32\YSYAQ.DLL怎么清除... 菜鸟求救:貌似中木马了,svchost.exe占CPU100% 辽宁到阿尔山自驾路线,白城到沈阳旅游攻略自驾 "C:\WINDOWS\system32\ctfmon.exe 发现木马967:Tro2008-3-17,15360... ...我给别人发短信电信卡和联通卡都能收到我发的短信,但是移动 360查杀木马的时候显示C:\windows\system32\wininet.dll存在木马... 我的电脑 c:\widows\system32\wininet.dll映像文件无效,我用了一健... 卡巴发现C:\WINDOWS\system32\WININET.dll这个病毒怎么办啊???_百度... 闽南师范大学湖光校区分数线是多少啊? !!!开机显示:DLL C:\WINDOWS\system32\WININET.dll为无效的windows映像... 紧急求助!!!开机提示找不到c:\widows\system32\dllcache\default... 华东五市旅游条幅标语,暑假旅游景点华东 闽南师范大学湖光校区分数线是多少? 为什么会有 无法找到脚本文件 C:\WINDOWS\,.vbs 在记事本里输入 “se... ...的C盘打不开,双击后出现无法找到脚本文件 C:\.vbs' 年轻人谈恋爱要注意哪些方面的问题? 疑似大连一学校食堂商家扔学生外卖,具体情况是怎样的? 大连一高校食堂商家扔学生外卖,高校对此作何回应? 一张板子多少尺寸
  • 焦点

最新推荐

猜你喜欢

热门推荐