你真幸福,这么多人为你服务
我也来参加一下你们的学习和讨论
说到”威金”,我不比你恨它入骨差多少,它曾经使我们单位的二十几台电脑,一度瘫痪,特别是叫LOGO-1.EXE它这种病毒在局域网传播特恶劣.你刚才提到威金,我的心就微微一颤.
以我以往的经验,和其它高手对付它的方法给你说一下:
1\用江民的威金专杀杀一下,我用我的人格担保,它是我国国内杀威金最强的专杀软件.下载地址:
http://kvup.jiangmin.com/download/VikingKiller.rar 2\要手动删除的话,比较麻烦,主要并不止这一个程序,还有别的.下面是我的删除方法:rundl132.exe,logo1_.exe两个还比较好删,只要用360安全卫士或其他杀毒软件搜到就可,搜到后显示logo1_.exe,rundl132.exe,DLL.dll.三个病源.但DLL.dll老是删不掉,这是因为dll.dll注入explorer.exe,所以删不了.
rundl132.exe,logo1_.exe两个比较好删,点击搜索搜索到这两个程序就行,只要搜到都删除即可.
DLL.dll比较顽固,直接删除不掉,我是这样删除的:
先进入任务管理器,把explorer.exe删掉,接着桌面变消失了,不怕!选中任务管理器的“文件(F)”——“新任务--然后运行explorer.exe桌面就又出来了!
这次再次找到DLL.dll,就可以删除了.
在运行中输入regedit查找注册表键值:[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]将其删除
,然后按CTRL+F查找注册表键值rundl132.exe及在这项中的所有键值将其删除
打开我的电脑按CTRL+F然后搜索_desktop.ini,把找到的所有_desktop.ini删除(删除后图标还显示在
那里,别管它,关掉后在查一次看看是否还有)
该病毒会感染到exe应用程序中如QQ、Office系列、千千静听、RealPlayer,一般图标变色的为被感染了,
要重装程序.最好试着打开程序后查找一下有没生成_desktop.ini,有的话证明那程序被感染了,要按照上
面所说的再手动杀下毒,然后重装该软件.(一般感染的程序不会很多,就是rundl132.exe,logo1_.exe图标
的那个程序)!知道在打开程序没有出现_desktop.ini就说明大功告成了!@
3\进入安全模式 什么都表点.开始-运行-regedit
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot]
winlogo 项
删掉.C:\WINDOWS\SWS32.DLL
HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/Run 删掉C:\WINDOWS\SWS32.dll 类似的都删掉.还有/RunOnce/RunOnceEx 项里面也检查一下.
为安全记.在注册表里搜索以下值 logo1_.exe logo_1.exe kill.exe sws32.dll sws.dll rundl132.dll 把搜索到的键值全部删掉.
搜索到的那些键值.一定要记得路径.比如c:\windows\sws32.dll c:\windows\logo1_.exe 等.注册表信息删掉后.在c盘把这些东西删掉.
然后在运行里输入msconfig 后面启动项里.把没见过的启动项都取消.
如果是网吧机子.server服务一定要关.因为该病毒会通过共享传播.并试图解开共享机子的用户密码.达到传送文件的目的.
其实以我的意思.中了这个毒.基本上就没有修复的必要了.每重新启动一次机子.病毒体会自身复制得更多.重新装一个系统并不麻烦.麻烦的是要重新装系统后. 怎么才能做到不再感染此病毒.这也是我想要说的.经过查阅病毒资料.和自己一惯手动杀毒经验.本人使用以下防毒思路.测试效果良好.
重新装过系统后.(装系统过程请拔掉网线)在c:\windows\下 创建几个新文件.分别命名为
logo1_.exe logo_1.exe sws32.dll sws.dll 等.并把该文件属性设置为只读.
其实病毒祸首就是logo1_.exe 理论上说只创建这一个就可以了。
开始-运行 输入gpedit.msc
本地计算机策略--用户配置--管理模板--系统 双击右面的 不要运行指定的windows程序 选择已启用 点下面的显示那里 里面添加如下文件名 logo1_.exe logo_1.exe kill.exe 至于是否还有其他病毒主体名.大家也多查查。
到这一步.基本上该病毒就无法运行了.
其实防止logo1_.exe运行还有一个办法.就是在启动项里添加一个批处理.该批处理内容为
attrib c:\window\logo1_.exe -r -h
del c:\window\logo1_.exe /y
多复制几行。 把其他要删的文件名加上
就是启动系统时就把这些文件删掉.当然就无法运行了。 ..不过.通常这种办法会失灵.;)
一句话.良好的上网习惯是最好的杀毒利器.
以下是修改过的logo1virus.bat
省了第一步.也就是说.直接运行logo1vires.bat后.去修改组策略.就万无一失了.修改过的logo1virus.bat内容为
echo > c:\windows\Logo1_.exe
echo > c:\windows\rundl132.exe
echo > c:\windows\0Sy.exe
echo > c:\windows\vDll.dll
echo > c:\windows\1Sy.exe
echo > c:\windows\2Sy.exe
echo > c:\windows\rundll32.exe
echo > c:\windows\3Sy.exe
echo > c:\windows\5Sy.exe
echo > c:\windows\1.com
echo > c:\windows\exerouter.exe
echo > c:\windows\EXP10RER.com
echo > c:\windows\finders.com
echo > c:\windows\Shell.sys
echo > c:\windows\smss.exe
echo > c:\windows\kill.exe
echo > c:\windows\sws.dll
echo > c:\windows\sws32.dll
attrib c:\windows\Logo1_.exe +s +r +h
attrib c:\windows\rundl132.exe +s +r +h
attrib c:\windows\0Sy.exe +s +r +h
attrib c:\windows\vDll.dll +s +r +h
attrib c:\windows\1Sy.exe +s +r +h
attrib c:\windows\2Sy.exe +s +r +h
attrib c:\windows\rundll32.exe +s +r +h
attrib c:\windows\3Sy.exe +s +r +h
attrib c:\windows\5Sy.exe +s +r +h
attrib c:\windows\1.com +s +r +h
attrib c:\windows\exerouter.exe +s +r +h
attrib c:\windows\EXP10RER.com +s +r +h
attrib c:\windows\finders.com +s +r +h
attrib c:\windows\Shell.sys +s +r +h
attrib c:\windows\smss.exe +s +r +h
attrib c:\windows\kill.exe +s +r +h
attrib c:\windows\sws.dll +s +r +h
attrib c:\windows\sws32.dll +s +r +h
刚才整理了一下.修改组策略那里已经被我写成注册表。请把以下内容复制到文本里.修改成reg后缀导入就可.
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\本地User\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\DisallowRun]
"**delvals."=" "
"1"="0Sy.exe"
"2"="1.com"
"3"="1Sy.exe"
"4"="2Sy.exe"
"5"="3Sy.exe"
"6"="5Sy.exe"
"7"="exerouter.exe"
"8"="EXP10RER.com"
"9"="finders.com"
"10"="finders.com"
"11"="kill.exe"
"12"="Logo1_.exe"
"13"="rundl132.exe"
"14"="rundll32.exe"
"15"="Shell.sys"
"16"="smss.exe"
"17"="smss.exe"
"18"="sws.dll"
"19"="sws32.dll"
"20"="tool.exe"
"21"="tool2005.exe"
"22"="tool2006.exe"
"23"="tools.exe"
"24"="vDll.dll"
4\重新分区,重装系统(局域网内所有电脑)(把网线拨掉)