[会员中心]  [发布文章][发布软件]  [中文繁體]

文章·资料  电脑软件  手机软件  网站源码 电脑·手机·网络学习话题娱乐故事 文化·历史国学典籍法律法规 操作系统网络办公·文件音频视频图形图像 硬件·驱动程序行业教学学习编程游戏 安卓苹果鸿蒙 其他 ASPASP.NETJSPPHP HTML·CSS·JavaScript

本 站 搜 索 文章 软件 [选项] 文章类别： [全部]电脑·手机·网络话题故事文化·历史娱乐学习法律·法规国学典籍 搜索选项： 文章编号 文章标题 文章作者 文章来源 相关链接 关键字词 文章标签 文章内容 软件类别： [全部]操作系统网络办公·文件音频视频图形图像行业编程教学学习游戏硬件·驱动程序安卓系统苹果系统鸿蒙系统其他系统HTML·CSS·JavaScriptASPJSPPHPASP.NET 搜索选项： 软件编号 软件名称 软件作者 软件来源 相关链接 关键字词 软件标签 软件简介

发 送 文 章 威金(Worm.Viking)病毒介绍及清除 〖评论()〗〖留言〗〖收藏〗  收信地址 填写收信人的电子邮箱 邮件主题 填写邮件主题 邮件内容 威金（Worm.Viking）”病毒专杀分类:默认栏目 　　威金病毒：　　目前已感染两万名计算机用户、数十家企业用户，使其陷入瘫痪。这是近三个月内感染用户最多的新病毒之一。专家提醒，用户近期仍需要防范其变种侵袭。 　　瑞星反病毒专家介绍，该病毒同时具有文件型病毒、蠕虫病毒、病毒下载器等类病毒的特点，利用计算机操作系统漏洞进行攻击。进入用户的电脑之后，它会从网上疯狂下载多个木马程序、QQ尾巴等安装在中毒电脑中，窃取用户的网络游戏密码，严重时造成系统完全崩溃。病毒进入局域网后，会扫描局域网中的所有共享计算机，尝试猜解它们的密码，并试图感染这些计算机。只要有一台机器中毒，就可能造成全网运行不正常，甚至造成网络堵塞。 　　专家建议，个人用户应使用杀毒软件“漏洞扫描”功能，给自己的电脑打上补丁，上网时应启用所有的实时监控功能，企业用户应及时对整个网络进行安全漏洞排查 　　1、某些杀毒软件的实时监控无法启动(例如:瑞星的实时监控中心) 　　2、部分图标变得模糊 　　3、进程里面出现例如Logo_1.exe,0Sy.exe等莫名其妙的东西 　　4、C盘隐藏文件出现_desktop.ini(隐藏文件) 　　5、磁盘的autorun被修改，以至于双击磁盘盘符时提示出错 　　随即用瑞星2006的杀毒软件进行杀毒，但是无法彻底清除。在查阅了相关的资讯以后确认：这是感染了"威金"病毒。 　　以下是威金的相关档案： 　　该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒，病毒运行后将自身伪装成系统正常文件，以迷惑用户，通过修改注册表项使病毒开机时可以自动运行，同时病毒通过线程注入技术绕过防火墙的监视，连接到病毒作者指定的网站下载特定的木马或其它病毒，同时病毒运行后枚举内网的所有可用共享，并尝试通过弱口令方式连接感染目标计算机。 运行过程过感染用户机器上的可执行文件，造成用户机器运行速度变慢，破坏用户机器的可执行文件，给用户安全性构成危害。 病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。 　　1、病毒运行后将自身复制到　Windows　文件夹下，文件名为：%SystemRoot%rundl132.exe 　　2、运行被感染的文件后，病毒将病毒体复制到为以下文件：%SystemRoot%logo_1.exe 　　3、同时病毒会在病毒文件夹下生成：病毒目录vdll.dll 　　4、病毒从Z盘开始向前搜索所有可用分区中的exe文件，然后感染所有大小27kb-10mb的可执行文件，感染完毕在被感染的文件夹中生成：_desktop.ini(文件属性:系统、隐藏。) 　　5、病毒会尝试修改%SysRoot%system32driversetchosts文件。 　　6、病毒通过添加如下注册表项实现病毒开机自动运行： 　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] 　　　"load"="C:WINNTrundl132.exe" 　　[HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindows] 　　　"load"="C:WINNTrundl132.exe" 　　7、病毒运行时尝试查找窗体名为:"RavMonClass"的程序，查找到窗体后发送消息关闭该程序。 　　8、枚举以下杀毒软件进程名，查找到后终止其进程：Ravmon.exe，Eghost.exe，Mailmon.exe，KAVPFW.EXE，IPARMOR.EXE，Ravmond.exe 　　9、同时病毒尝试利用以下命令终止相关杀病毒软件：netstop"KingsoftAntiVirusService" 　　10、发送ICMP探测数据"Hello,World"，判断网络状态，网络可用时，枚举内网所有共享主机，并尝试用弱口令连接IPC$、admin$等共享目录，连接成功后进行网络感染。 　　11、感染用户机器上的exe文件，但不感染以下文件夹中的文件： 　　system 　　system32 　　windows 　　Documentsandsettings 　　systemVolumeInformation 　　Recycled 　　winnt 　　ProgramFiles 　　WindowsNT 　　WindowsUpdate 　　WindowsMediaPlayer 　　OutlookExpress 　　InternetExplorer 　　ComPlusApplications 　　NetMeeting 　　CommonFiles 　　Messenger 　　MicrosoftOffice 　　InstallShieldInstallationInformation 　　MSN 　　MicrosoftFrontpage 　　MovieMaker 　　MSNGamingZone 　　12、枚举系统进程，尝试将病毒dll(vdll.dll)选择性注入以下进程名对应的进程：Explorer，Iexplore　找到符合条件的进程后随机注入以上两个进程中的其中一个。 　　13、当外网可用时，被注入的dll文件尝试连接以下网站下载并运行相关程序： 　　http://www.17**.com/gua/zt.txt保存为:c:1.txt 　　http://www.17**.com/gua/wow.txt保存为:c:1.txt 　　http://www.17**.com/gua/mx.txt保存为:c:1.txt 　　http://www.17**.com/gua/zt.exe保存为:%SystemRoot%0Sy.exe 　　http://www.17**.com/gua/wow.exe保存为:%SystemRoot%1Sy.exe 　　http://www.17**.com/gua/mx.exe保存为:%SystemRoot%2Sy.exe 　　注：三个程序都为木马程序 　　14、病毒会将下载后的"1.txt"的内容添加到以下相关注册表项： 　　[HKEY_LOCAL_MACHINESOFTWARESoftDownloadWWW] 　　　"auto"="1" 　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows] 　　　"ver_down0"="[bootloader]+++++++++++++++++++++++" 　　　"ver_down1"="[bootloader] 　　　timeout=30 　　[operatingsystems] 　　multi(0)disk(0)rdisk(0)partition(1)WINDOWS="MicrosoftWindowsXPProfessional"////" 　　"ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)WINDOWS 　　[operatingsystems] 　　multi(0)disk(0)rdisk(0)partition(1)WINDOWS="MicrosoftWindowsXPProfessional"/////" 　　中此病毒千万不能以瑞星杀毒查杀，因为它是专门针对它的，杀前做好备份！杀毒后如果出现系统无法正常进入是很正常的，因为它会捆绑系统文件，病毒杀死后系统文件也会被破坏！只要用安装盘修复就可以了！但要保证母盘"清洁"。 　　清除方法: 　　1结束以下进程：logo1_.exerundl132.exe(注意第六个为数字1而不是L)explorer.exe(该病毒会把vDll.dll加载到该系统进程中去，最好是用进程管理工具直接结束掉这个DLL)另外有类似OS.exe的进程也一并结束掉~~！ 　　2.到windows目录删除"logo1_.exe"、"rundl132.exe"、"vdll.dll"文件！（注意这些进程都是隐藏的，需要把系统设置为“显示隐藏文件”，设置的方法：打开“我的电脑”；依次打开菜单“工具/文件夹选项”；然后在弹出的“文件夹选项”对话框中切换到“查看”页；去掉“隐藏受保护的操作系统文件(推荐)”前面的对钩，让它变为不选状态；在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项；去掉“隐藏已知文件类型的扩展名”前面的对钩，也让它变为不选状态；最后点击“确定”。） 　　3.运行gpedit.msc打开组策略,依次单击用户配置-管理模块-系统-指定不给windows运行的程序,点启用然后点显示添加logo1_exe也就是病毒的源文件 4找到并删除%Windir%下的Logo1_.exe、rundl132.exe、vDll.dll文件，其中vDll.dll可能在其他目录中，%Windir%默认为C:\Windows或者C:\Winnt。 　　打开注册表，索引到HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW，删除auto键值； 　　打开注册表，索引到HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\WIndows，删除load键值； 　打开%system%\drivers\etc下hosts文件，删除“127.0.0.1localhost”一行后所有内容； 　　在windows目录下新建文件："logo1_.exe"、"rundl132.exe"、"vdll.dll"并把属性设为“只读”，这样病毒也就无法运行了 现在你的电脑基本上说可以对该病毒免疫了，既使中了该病毒，它也发作不了啦！最后这一点不怎么好办 　　那些应用程序都被感染了病毒，如果中了病毒，下次重启后，就会弹出来“rundl132.exe不是有效的应用程序”和“无法加载注册表中c;\windows\rundl132.exe”的对话框要么删除所有被感染的应用程序，然后从其它地方复制没感染病毒的过来，要么就是在搜索里用“*.exe”找出所有的exe文件，然后每个运行一下:L最后从注册表里找出“rundl132.exe”的启动项，删掉就OK了<br /><br />文章网址：<a href="https://dangbai.cn/Article.asp?ID=10001304" target="_blank">https://dangbai.cn/Article.asp?ID=10001304</a> 填写邮件内容 发信地址 填写发信人的电子邮箱 邮件签名 填写邮件签名  验证码   填写验证码，单击刷新验证码    程序执行中，请稍候... 发送协议 ·欢迎使用本站在线文章发送系统。 ·不得使用本站在线发送邮件系统发送垃圾邮件、广告邮件。 ·如果收信人地址或其服务器出现错误，可能无法成功发送。 ·如果有什么问题，或者意见建议，请联系［网站管理员］。

当百网   本站使用【啊估文章软件站】网站系统    〖网站管理员留言簿〗