How to kill Viking Vinus successfully in LAN.

xxqssx

局域网内部感染维金病毒，如何才能有效地在局域网那剔除该病毒？ \r\n该病毒造成在局域网那自动打印带有日期的文档，试过许多专杀工具，均失败。

bike_lu

维金病毒清除方法 \r\n\r\n症状总结一：\r\n\r\n一、该病毒特点:\r\n\r\n病毒类型：蠕虫 影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003 \r\n病毒行为: \r\n该病毒猈indows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒，病毒运行后将自身伪装成系统正常文件，以迷惑用户，通过修改注册表项使病毒开机时可以自动运行，同时病毒通过线程注入技术绕过防火墙的监视，连接到病毒作者指定的网站下载特定的木马或其它病毒，同时病毒运行后枚举内网的所有可用共享，并尝试通过弱口令方式连接感染目标计算机。\r\n运行过程过感染用户机器上的可执行文件，造成用户机器运行速度变慢，破坏用户机器的可执行文件，给用户安全性构成危害。\r\n病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。\r\n\r\n1、病毒运行后将自身复制到Windows文件夹下,文件名为:\r\n　　%SystemRoot%\\\\rundl132.exe\r\n\r\n2、运行被感染的文件后，病毒将病毒体复制到为以下文件:\r\n%SystemRoot%\\\\logo_1.exe\r\n\r\n3、同时病毒会在病毒文件夹下生成:\r\n病毒目录\\\\vdll.dll\r\n\r\n4、病毒从Z盘开始向前搜索所有可用分区中的exe文件，然后感染所有大小27kb-10mb的可执行文件，感染完毕在被感染的文件夹中生成:\r\n_desktop.ini (文件属性:系统、隐藏。)\r\n\r\n5、病毒会尝试修改%SysRoot%\\\\system32\\\\drivers\\\\etc\\\\hosts文件。\r\n\r\n6、病毒通过添加如下注册表项实现病毒开机自动运行:\r\n[HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run]\r\n\\\"load\\\"=\\\"C:\\\\\\\\WINNT\\\\\\\\rundl132.exe\\\"\r\n[HKEY_CURRENT_USER\\\\Software\\\\Microsoft\\\\Windows NT\\\\CurrentVersion\\\\Windows]\r\n\\\"load\\\"=\\\"C:\\\\\\\\WINNT\\\\\\\\rundl132.exe\\\"\r\n\r\n7、病毒运行时尝试查找窗体名为:\\\"RavMonClass\\\"的程序，查找到窗体后发送消息关闭该程序。\r\n\r\n8、枚举以下杀毒软件进程名，查找到后终止其进程:\r\nRavmon.exe\r\nEghost.exe\r\nMailmon.exe\r\nKAVPFW.EXE\r\nIPARMOR.EXE\r\nRavmond.exe\r\n\r\n9、同时病毒尝试利用以下命令终止相关杀病毒软件：\r\nnet stop \\\"Kingsoft AntiVirus Service\\\"\r\n\r\n\r\n10、发送ICMP探测数据\\\"Hello,World\\\"，判断网络状态，网络可用时，\r\n枚举内网所有共享主机，并尝试用弱口令连接\\\\\\\\IPC$、\\\\admin$等共享目录，连接成功后进行网络感染。\r\n\r\n11、感染用户机器上的exe文件，但不感染以下文件夹中的文件:\r\nsystem\r\nsystem32\r\nwindows\r\ndocuments and settings\r\nsystem Volume Information\r\nRecycled\r\nwinnt\r\nProgram Files\r\nWindows NT\r\nWindowsUpdate\r\nWindows Media Player\r\nOutlook Express\r\nInternet Explorer\r\nComPlus Applications\r\nNetMeeting\r\nCommon Files\r\nMessenger\r\nMicrosoft Office\r\nInstallShield Installation Information\r\nMSN\r\nMicrosoft Frontpage\r\nMovie Maker\r\nMSN Gaming Zone\r\n\r\n12、枚举系统进程，尝试将病毒dll(vdll.dll)选择性注入以下进程名对应的进程:\r\nExplorer \r\nIexplore\r\n找到符合条件的进程后随机注入以上两个进程中的其中一个。\r\n\r\n13、当外网可用时，被注入的dll文件尝试连接以下网站下载并运行相关程序:\r\nhttp://www.17**.com/gua/zt.txt 保存为:c:\\\\1.txt\r\nhttp://www.17**.com/gua/wow.txt 保存为:c:\\\\1.txt\r\nhttp://www.17**.com/gua/mx.txt 保存为:c:\\\\1.txt\r\n\r\nhttp://www.17**.com/gua/zt.exe 保存为:%SystemRoot%Sy.exe\r\nhttp://www.17**.com/gua/wow.exe 保存为:%SystemRoot%\\\\1Sy.exe\r\nhttp://www.17**.com/gua/mx.exe 保存为:%SystemRoot%\\\\2Sy.exe\r\n注：三个程序都为木马程序\r\n\r\n14、病毒会将下载后的\\\"1.txt\\\"的内容添加到以下相关注册表项：\r\n\r\n\r\n[HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Soft\\\\DownloadWWW]\r\n\\\"auto\\\"=\\\"1\\\"\r\n\r\n[HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows]\r\n\\\"ver_down0\\\"=\\\"[boot loader]\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\+++++++++++++++++++++++\\\"\r\n\\\"ver_down1\\\"=\\\"[boot loader]\r\ntimeout=30\r\n[operating systems]\r\nmulti(0)disk(0)rdisk(0)partition(1)\\\\\\\\WINDOWS=\\\\\\\"Microsoft Windows XP Professional\\\\\\\" ////\\\"\r\n\\\"ver_down2\\\"=\\\"default=multi(0)disk(0)rdisk(0)partition(1)\\\\\\\\WINDOWS\r\n[operating systems]\r\nmulti(0)disk(0)rdisk(0)partition(1)\\\\\\\\WINDOWS=\\\\\\\"Microsoft Windows XP Professional\\\\\\\" /////\\\"\r\n\r\n症状总结２：\r\n\r\n　　1.感染所有的EXE文件\r\n　　2.W32.Looked.I 蠕虫,执行后会在系统生成:%Windir%\r\n　　undl132.exe, %CurrentFolder%vDll.dll 等病毒文件; 并在注册表添加系统服务随系统启动,试图终止安全相关的程序,终止系统重要进程,注入自身到DLL组件,vdll.dll到iexplore.exe,explore.exe,全盘搜索.exe文件,并注入自身到这些文件,无法清除, 使系统文件全部都染病毒\r\n　　3.中止大部分的杀毒软件进程，诺顿可以隔离。但是结果是EXE文件全部执行不了\r\n　　4.在共享的打印机上不停的打印，内容为当天日期 \r\n　　5.在C:\\\\winnt 或是　windows生成Logo1_.exe , rundl132.exe,bootconf.exe几个文件，感染应用程序的速度非常快，只要你一用到某个应用程序，马上就会被感染，并且Logo1_.exe 会变成此应用程序的图标．\r\n　　6.在局域网内部中传播相当快，能通过信使传播，但已禁用信使的电脑也能被感染，不知道它有多少传播途径．\r\n　　7.被感染的机子很难清除干净，在某些电脑上的每一个文件夹还会有一个 _desktop 的記事本文件,内容为当前日期\r\n\r\n解决方法：\r\n\r\n1. 打补丁：\r\n详细地址如下：http://www.microsoft.com/china/t ... letin/MS05-043.mspx\r\n知识库如下：http://support.microsoft.com/kb/896423\r\n\r\n\r\n2. 下载瑞星http://it.rising.com.cn/service/ ... 杀工具杀或者是ewido anti-spyware \r\n\r\n３．在windows目录下或者是winnt目录下，进入安全模式下删除　logo_.exe，rundl132.dll，vdll.dll（dll.dll) \r\n另请用户将电脑上的共享文件停止。此病毒应该有共享文件传播,将打印机上的everyone用户访问取消．，看到有说在原来的目录下建立一个相同的空的只读文件logo_.exe，rundl132.dll，vdll.dll（dll.dll) 来解决病毒寻找链接的错误提示．\r\n\r\n如果出现应用程序使用错误，重新安装下应用程序，或者是把其他人机器中的程序的执行文件拷过去覆盖安装．\r\n\r\n4.删除_desktop.ini，采用批处理删除命令 del C:\\\\_desktop.ini /f/s/q/a，该命令的作用是：\r\n强制删除d盘下所有目录内（包括d盘本身）的_desktop.ini文件并且不提示是否删除 \r\n\r\n/f 强制删除只读文件 \r\n\r\n/q 指定静音状态。不提示您确认删除。 \r\n\r\n/s 从当前目录及其所有子目录中删除指定文件。显示正在被删除的文件名。 \r\n\r\n/a的意思是按照属性来删除 \r\n\r\n\r\n使用方法是开始--所有程序--附件--命令提示符，键入上述命令（也可复制粘贴），依次删除各个盘符中的_desktop.ini。\r\n\r\n也可以写个批处理来删除（如在winnt下）\r\n\r\n@echo 删除病毒文件\r\n\r\n@echo off\r\nif exist c:\\\\winnt\\\\logo_1.exe  attrib -s -r -h c:\\\\winnt\\\\logo_1.exe\r\ndel c:\\\\winnt\\\\logo_1.exe\r\nif exist c:\\\\winnt\\\\rundl132.exe  attrib -s -r -h c:\\\\winnt\\\\rundl132.exe\r\ndel c:\\\\winnt\\\\rundl132.exe\r\n\r\n\r\ndel c:\\\\vdll.dll /f/s/q/a\r\n\r\ndel c:\\\\dll.dll /f/s/q/a\r\n\r\n\r\ndel d:\\\\_desktop.ini /f/s/q/a\r\ndel c:\\\\_desktop.ini /f/s/q/a\r\ndel e:\\\\_desktop.ini /f/s/q/a\r\ndel f:\\\\_desktop.ini /f/s/q/a\r\nexit

lastwinner

嗯，用的时候，把文字copy下来，然后把持两个斜线替换为一个斜线

xxqssx

后面的批处理文件只是针对WindowNT系列的操作系统写的吧？如果是winXp，就得改改了，还有楼上兄弟提到的双斜杠，呵呵。不过还是要谢谢兄台。

lastwinner

最初由 xxqssx 发布\r\n[B]后面的批处理文件只是针对WindowNT系列的操作系统写的吧？如果是winXp，就得改改了，还有楼上兄弟提到的双斜杠，呵呵。不过还是要谢谢兄台。 [/B]

\r\n\r\n:right: :right: \r\n用环境变量来代替最好了\r\n%SystemRoot% 替代c:\\\\winnt