Worm.Win32.Viking.bd病毒怎么解决？？急！！

Posted 2023-05-09

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了Worm.Win32.Viking.bd病毒怎么解决？？急！！相关的知识，希望对你有一定的参考价值。

我舍不得我的.exe文件啊！
请教能清楚病毒的方法。留下原来的EXE文件。

各位大侠把网上的东东贴在这解决不了根本问题。请给出个比如专杀工具什么的。偶已经试了瑞星和金山专杀都不行.

用金山毒霸可杀~~~杀完后可修复的会修复的~~~我也中过~~~可我中的是最新的，之前金山还未有这个病毒库~~~全exe都花了

出现此病毒主要感染是.exe文件很多网吧的梦幻西游啊什么游戏图表花掉拉，在任务管理器中可以看到进程里多了一个LOGO1.exe 的进程所以建议网吧不要随便下外挂，并且不要在次保护在硬盘中。给大家一个预防的办法吧！

提供一个NB的朋友写的一篇预防的文章，很有用处。

LOGO_.EXE预防方法

W32/HLLP.Philis.g 病毒，最近发作比较平繁。造成好多朋友网吧遭此病毒破坏造成大面积的卡机，瘫痪。我查遍了好多病毒，和自己收集的病毒样本做了比较，发现此病毒极度变态。危害程度可以和世界排名前十的爱情后门变种相比。该病毒可以通过网络传播，传播周期为3分钟。如果是新做的系统处于中了毒的网络环境内，只要那个机器一上网，3分钟内必定中招。中招后你安装 rising SkyNet Symantec McAfee Gate Rfw.exe RavMon.exe kill NAV 等杀毒软件都无法补救你的系统，病毒文件 Logo1_.exe 为主体病毒，他自动生成病毒发作所需要的的 SWS32.DLL SWS.DLLL KILL.EXE 等文件。这些文件一但衍生。他将迅速感染系统内EXPLORE 等系统核心进程及所以.exe 的可执行文件，外观典型表现症状为传奇，泡泡堂，等游戏图标变色。此时系统资源可用率极低，你每重新启动一次，病毒就会发作一次，重新启动5次后系统基本崩溃。

该病毒对于防范意识较弱，还原软件未能及时装到位的网吧十分致命，其网络传播速度十分快捷有效。旧版的杀毒软件无法检测，新版的无法彻底根杀。一但网吧内某台机器中了此病毒，那么该网吧所有未中毒的机器都处于危险状态。由于病毒发作贮留于内存。且通过EXPLORE.exe 进行传播。因此即使是装了还原精灵，还原卡的机器也同样会被感染。你重新启动后系统可以还原。但是你一但开机还是会被感染。

logo1_.exe( W32/HLLP.Philis.g) 病毒发作会生成另外几中病毒 PWSteal.Lemir.Gen 和 trojan.psw.lineage 等等。都是些非常厉害的后门程序。和外挂病毒相似，但是其威力是外挂病毒的50倍以上。在WIN98平台下，改病毒威害比较小。在WIN2000 /XP/2003 平台对于网吧系统是致命的

关于此病毒的技术报告如下（本人原创的哦。支持的顶一下）

病毒名称：W32/HLLP.Philis.g 或者（用著名杀毒软件麦咖啡（MACFEE ）检测结果，其他杀毒软件检测为 trojan类木马

病毒类型：木马程序

病毒长度：随机的

受影响的系统：Windows /98/NT/2000/XP/2003

病毒特征：

假如你手动运行logo1_.exe 你的系统就GAMEOVER了。运行系统极度卡机。你重新启动后你会发现你所有游戏的.EXE 程序全部都感染了。用

最新杀毒软件杀完后。除了系统可以勉强运行。其他的你也别想运行了。

1 病毒体 C:\winnt 目录下logo1_.exe 。KILL.EXE sws32.dll 等文件是病毒发作后的文件。

2、生成病毒文件

病毒运行后，在c:\winnt 下自己拷贝生成病毒文件，文件的名称是可变，根据不同的变种相应有不同的名称。好像一共有5个文件。其中

由3个是.exe 2 个是.DLL 文件。其中有KILL.EXE 等。具体的记不大清楚了。

3、修改注册表

病毒对注册表进行修改，在 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot]
winlogo 项和

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和

[HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/中添加键值=%System%（其中，和为可变的），使得在下

次
系统启动时，病毒可随之自动运行。

4、盗取密码

病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码，将游戏密码发送到该木马病毒的植入者手中。

5、阻止以下杀毒软件的运行

病毒试图终止包含下列进程的运行，这些多为杀毒软件的进程。包括卡八斯基，金山公司的毒霸。瑞星等。98%的杀毒软件运行。
国产软件在中毒后都被病毒杀死，是病毒杀掉-杀毒软件。如金山，瑞星等。哪些软件可以认出病毒。但是认出后不久就阵亡了。。本人一

直都支持国产，但是在电脑和手机方面就没办法支持了。郁闷中~~~

进程如下：

rising

SkyNet

Symantec

McAfee

Gate

Rfw.exe

RavMon.exe

kill

NAV

KAV

LAST 最后说一下解决方案都是本人个人经验有不足之处还请各位多多补充。
先下载好你认为比较好的杀毒软件。此时不要安装。就是安装了也是白安装。所有软件安装后很快就被感染。这里不推荐使用金山，瑞星，江

明，SPANT 等。推荐使用卡八斯基5.0版和我最喜欢的麦咖啡杀毒软件。

请先去把系统设置为“显示隐藏文件”，因为病毒以隐藏属性伪装，不做此设置将无法看到它，设置的方法如下
打开“我的电脑”；
依次打开菜单“工具/文件夹选项”；
然后在弹出的“文件夹选项”对话框中切换到“查看”页；
去掉“隐藏受保护的操作系统文件(推荐)”前面的对钩，让它变为不选状态；
在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项；
去掉“隐藏已知文件类型的扩展名”前面的对钩，也让它变为不选状态；
最后点击“确定”。

二、修改注册表

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot]
winlogo 项
把WINLOGO 项后面的C:\WINNT\SWS32.DLL 干掉（就是删掉的意思^_^)
接下来把HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/Run 键中 /RunOnce/RunOnceEx 两个中其中有个是也是

C:\WINNT\SWS32.dll
把类似以上的全部删掉注意不要删除默认的键值（删了的话后果自负）

三结束进程
按“Ctrl+Alt+Del”键弹出任务管理器，找到SWS32 进程，名字记不大清楚了，反正看到最多的进程就杀杀杀！！！！还有几个很少看到的进

程。什么AUS***之类的都干掉他。找到EXPL0RER.EXE进程（注意第5个字母是数字0不是字母O），找到它后选中它并点击“结束进程”以结束掉

木马进程。然后迅速做下面一步，只所以要迅速是因为如果动作慢的话，木马可能会自动恢复而再次运行起来，这样就无法删除掉其他木马文

件了（如果EXPL0RER.EXE进程再次运行起来需要重做这一步）。

四装杀毒软件
装完后不要重新启动（切记）直接升级病毒库，升级完后，把C:\winnt 目录下所有带毒文件删除。然后运行杀毒软件开始杀毒。
杀完后。还有几个杀毒软件无法删掉的东西要把名字记下来。因为不同的系统有不同的名字。所以这里说不清楚了。自己记下来。
重新启动后再次杀毒。记的把可疑的进程的结束。否则杀毒软件无法干净杀毒。还有最重要的一点记的把杀毒软件无法清除的病毒设置为删除

文件。一般要重复杀毒3-5次才能杀干净。

五。看看杀毒后的系统。

缺少的了很多系统文件。系统处于危险状态。如果你有GHOST 备份。这个时候恢复一下。系统可以干净无损。如果没有请运行 SFC 命令检查

文件系统。具体操作为运行-输入CMD 命令进入DOS 提示符。-输入SFC /scannow -- 提示放入系统光盘。--放进去吧。然后慢慢等。

看看成果。杀毒效果显著。毒杀干净了。但是杀完毒后很多游戏都玩不了。忙了一圈都不知道自己在忙什么。郁闷吧。然后重新做系统吧。谁

叫中毒的是网吧的系统。
PS：如果在病毒没有发作情况下杀毒是可以完全搞定的。如果发作了也不要杀毒了。直接克盘恢复吧。

在短短的28小时内我接到3个网吧老板的电话。。。。。。。。做技术员真命苦。。。。。。

这是本人第一次写这么长的资料。也是忙碌1年半后潜水1年半后。重新的回到技术员的身份（以前我经常发招聘的帖。不过PS哦我不是老板，

招人都是帮朋友招的。我还是网管是大家的同行和朋友）。爱情后门，爱情后门变种。FUNLOVE 变种等病毒曾经把我朋友弄的网吧一度处于停

业状态。写此文的目的就是希望大家同行群策群力做好预防工作。最好能够自己写出个免疫补丁。希望所有人的技术都在进步~~~~网星祝福所

有网管兄弟天天开心。

PS：做系统的时候把默认共享关闭。关闭IPC$ ADMIN$ 关闭554 关闭ICMP路由。给ADMINISTRATOR 组所有成员设置密码。最好数字加英文（爱

情后门病毒可以破解简单的密码而进行大规模的快速传播）。关闭了这些服务加上杀毒软件。LOGO1.exe 基本上拿你没折了。但是如果是批量

克盘建议客户机不要使用卡八等杀毒软件。克盘时网线拔掉，克好盘要迅速装好还原精灵。为什么要迅速，不用我说了吧。

辛辛苦苦写的手都酸了。。天不知觉的也亮起来了。。。。转贴时希望大家珍惜我的劳动成果。

接上文。经过一段时间的观察，我找到了可以改病毒的免疫补丁（只适用于没有感染该病毒或者已经感染该病毒但是没有发作的机器）其实很简单只要每次开机删除病毒体文件 LOGO1_1.exe 那么即使感染了该病毒的机器也可以救回来。用这个方法本人救活了2家网吧180台机器。目前为止情况正常。

LOGO1_.exe 免疫补丁制作如下：
1 编写批处理文件。开机自动删除logo1_.exe 作用是即使中了该病毒，由于开机后自动删除该病毒。那么该病毒永远无法发作。
批处理文件内容如下：
del c:\winnt\logo1_.exe (就这一行。先保存为记事本，然后保存为.bat的批处理文件。

2 设置改批处理开机自动运行。
修改注册表加入以下项

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"auto"="E:\\网络游戏\\auto.bat"

打开组策略
运行 gpedit.msc
用户配置- 管理模块- 系统-指定不给windows运行的程序
点启用然后点显示添加 logo1_exe

那样可以阻止LOGO1病毒的运行和发作。

把上端文本保存为 .REG 文件。然后导入注册表。 E:\\网络游戏\\auto.bat 该路径为你刚刚编写批处理所在的目录。很重要。

好了到此为止你可以安心睡觉去了。。不用再怕那可恶的LOGO1_.exe 了。。

本人再次强调一点。如果该病毒已经在你电脑里发作了。那么还是不要去救了。。直接重新克盘吧。
如果没有发作。那么用上面方法可以救活你的电脑。判断依据是看看网络游戏图标有没有变色。还有
c:\winnt 目录下有没有KILL.exe sws.dll sws32.dll 文件。参考技术A 解决方法：

1. 打补丁：
详细地址如下：http://www.microsoft.com/china/technet/security/bulletin/MS05-043.mspx
知识库如下：http://support.microsoft.com/kb/896423

2. 下载瑞星http://it.rising.com.cn/service/technology/RavVikiing.htm/金山专杀工具杀或者是ewido anti-spyware

3．在windows目录下或者是winnt目录下，进入安全模式下删除 logo_.exe，rundl132.dll，vdll.dll（dll.dll)
另请用户将电脑上的共享文件停止。此病毒应该有共享文件传播,将打印机上的everyone用户访问取消．，看到有说在原来的目录下建立一个相同的空的只读文件logo_.exe，rundl132.dll，vdll.dll（dll.dll) 来解决病毒寻找链接的错误提示．

如果出现应用程序使用错误，重新安装下应用程序，或者是把其他人机器中的程序的执行文件拷过去覆盖安装．

4.删除_desktop.ini，采用批处理删除命令 del C:\_desktop.ini /f/s/q/a，该命令的作用是：
强制删除d盘下所有目录内（包括d盘本身）的_desktop.ini文件并且不提示是否删除

/f 强制删除只读文件

/q 指定静音状态。不提示您确认删除。

/s 从当前目录及其所有子目录中删除指定文件。显示正在被删除的文件名。

/a的意思是按照属性来删除

使用方法是开始--所有程序--附件--命令提示符，键入上述命令（也可复制粘贴），依次删除各个盘符中的_desktop.ini。

也可以写个批处理来删除（如在winnt下）

@echo 删除病毒文件

@echo off
if exist c:\winnt\logo_1.exe attrib -s -r -h c:\winnt\logo_1.exe
del c:\winnt\logo_1.exe
if exist c:\winnt\rundl132.exe attrib -s -r -h c:\winnt\rundl132.exe
del c:\winnt\rundl132.exe

del c:\vdll.dll /f/s/q/a

del c:\dll.dll /f/s/q/a

del d:\_desktop.ini /f/s/q/a
del c:\_desktop.ini /f/s/q/a
del e:\_desktop.ini /f/s/q/a
del f:\_desktop.ini /f/s/q/a
exit本回答被提问者采纳参考技术B 一、该病毒特点:

处理时间：2006-06-01 威胁级别：★★
病毒类型：蠕虫影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复
合型病毒，病毒运行后将自身伪装成系统正常文件，以迷惑用户，通过修改注册表项使
病毒开机时可以自动运行，同时病毒通过线程注入技术绕过防火墙的监视，连接到病毒
作者指定的网站下载特定的木马或其它病毒，同时病毒运行后枚举内网的所有可用共享
，并尝试通过弱口令方式连接感染目标计算机。
运行过程过感染用户机器上的可执行文件，造成用户机器运行速度变慢，破坏用户机器
的可执行文件，给用户安全性构成危害。
病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方
式进行传播。

1、病毒运行后将自身复制到Windows文件夹下,文件名为:
%SystemRoot%\rundl132.exe

2、运行被感染的文件后，病毒将病毒体复制到为以下文件:
%SystemRoot%\logo_1.exe

3、同时病毒会在病毒文件夹下生成:
病毒目录\vdll.dll

4、病毒从Z盘开始向前搜索所有可用分区中的exe文件，然后感染所有大小27kb-10mb的
可执行文件，感染完毕在被感染的文件夹中生成:
_desktop.ini (文件属性:系统、隐藏。)

5、病毒会尝试修改%SysRoot%\system32\drivers\etc\hosts文件。

6、病毒通过添加如下注册表项实现病毒开机自动运行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\rundl132.exe"

7、病毒运行时尝试查找窗体名为:"RavMonClass"的程序，查找到窗体后发送消息关闭该
程序。

8、枚举以下杀毒软件进程名，查找到后终止其进程:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe

9、同时病毒尝试利用以下命令终止相关杀病毒软件：
net stop "Kingsoft AntiVirus Service"

10、发送ICMP探测数据"Hello,World"，判断网络状态，网络可用时，
枚举内网所有共享主机，并尝试用弱口令连接\\IPC$、\admin$等共享目录，连接成功后
进行网络感染。

11、感染用户机器上的exe文件，但不感染以下文件夹中的文件:
system
system32
windows
documents and settings
system Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone

12、枚举系统进程，尝试将病毒dll(vdll.dll)选择性注入以下进程名对应的进程:
Explorer
Iexplore
找到符合条件的进程后随机注入以上两个进程中的其中一个。

13、当外网可用时，被注入的dll文件尝试连接以下网站下载并运行相关程序:
http://www.17**.com/gua/zt.txt 保存为:c:\1.txt
http://www.17**.com/gua/wow.txt 保存为:c:\1.txt
http://www.17**.com/gua/mx.txt 保存为:c:\1.txt

http://www.17**.com/gua/zt.exe 保存为:%SystemRoot%Sy.exe
http://www.17**.com/gua/wow.exe 保存为:%SystemRoot%\1Sy.exe
http://www.17**.com/gua/mx.exe 保存为:%SystemRoot%\2Sy.exe
注：三个程序都为木马程序

14、病毒会将下载后的"1.txt"的内容添加到以下相关注册表项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]
"ver_down0"="[boot loader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++"
"ver_down1"="[boot loader]
timeout=30
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP
Professional\" ////"
"ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP
Professional\" /////"

二、专杀工具

http://it.rising.com.cn/service/technology/RavVikiing.htm

三、删除_desktop.ini

该病毒会在每个文件夹中生成一个名为_desktop.ini的文件，一个个去删除，显然太费
劲，（我的机器的操作系统因安装在NTFS格式下，所以系统盘下的文件夹中没有这个文
件，另外盘下的文件夹无一幸免），因此在这里介绍给大家一个批处理命令 del d:\
_desktop.ini /f/s/q/a，该命令的作用是：
强制删除d盘下所有目录内（包括d盘本身）的_desktop.ini文件并且不提示是否删除

/f 强制删除只读文件

/q 指定静音状态。不提示您确认删除。
/s 从当前目录及其所有子目录中删除指定文件。显示正在被删除的文件名。

/a的意思是按照属性来删除了

这个命令的作用是在杀掉viking病毒之后清理系统内残留的_desktop.ini文件用的

使用方法是开始--所有程序--附件--命令提示符，键入上述命令（也可复制粘贴），首
先删除D盘中的_desktop.ini，然后依此删除另外盘中的_desktop.ini。