----------------------------------
teYqiu【天下无毒】原创文章,转载请标明。http://hi.baidu.com/teyqiu
百度知道反病毒知识专家崔衍渠 授权。 『转载请保留此申明!』
----------------------------------
关键字:维金 威金 专杀 民间 魏滔序 Viking Killer 仿威金 仿维金 熊猫烧香 GameSetup.exe _Disktop.ini Disktop_ini Autorun.inf logo_1.exe rundl132.exe spoclsv.exe 【请注意文明用语】Jacks.exe
病毒类型:NetWorm 网络蠕虫
病毒名称:Worm.Viking(瑞星) , Worm.Win32.Viking.aa , bb(卡巴斯基), w32.Looked.p (诺顿) ;统称威金。
++++ 写在最最前面:
1、!!威金被感染EXE文件最有效修复工具abc.com by 魏淘序
下载:专杀主程序病毒特征库 ←请将两个文件都下载后放在同一目录下再运行。
http://www.chenoe.com/developer/library/abc.com 【注意升级!随时升级!!! 这个目前已经停止了维护,请点击如上的链接下载专杀主程序和病毒特征库进行下载。】
http://bbs.360safe.com/attachment.php?aid=6872【静态镜像】
官方网站支持:http://www.chenoe.com/antivirus 注意最新的升级!!!!
2、!!熊猫烧香被感染EXE文件最有效修复工具 by 魏淘序
下载地址:【注意升级!随时升级!!!】
适用系统
Windows 98/Windows Me/Windows 2000/Windows XP/Windows 2003
联系支持/下载
邮件:service@chenoe.com 或 taoxu.wei@chenoe.com
MSN: taoxu.wei@hotmail.com
直接点击下载:专杀主程序病毒特征库 ←请将两个文件都下载后放在同一目录下再运行。
文件1 http://www.chenoe.com/downloads.asp?file=AntiVirus.com <--主程序
文件2 http://www.chenoe.com/downloads.asp?file=Virus.db <--病毒特征库(注意升级)
请将以上的两个文件都下载后放在同一目录下再运行。
FAQs
问:在访问其他电脑时弹出的登陆框除了用户名和密码之外应该还有一个记住登录名和密码复选框,可是杀完毒后的电脑一律没有这个复选框了???
答:用“解除免疫”功能即可恢复。
问:版本号“1.0.0 - 070108.1”是什么意思?
答:1.0.0是主程序版本号,070108.1是病毒特征库版本号,070108是以年月日方式编制的版本编号,后面的1是本日的版本修订号。
问:“配合PlanTasks程序可发挥更大威力”是什么意思?怎样配合?
答:PlanTasks程序可以使专杀于特定时间自动运行杀毒。具体设置如下:
1.下载安装,并运行程序。
2.工具栏→新建→进程管理。
3.操作类型:默认(1.打开进程);进程文件:选择专杀工具文件。
4.下一步,运行参数中可填写如下参数:
/h 隐藏界面
/as 自动查毒
/ae 完成后自动退出
5.设置调度时间
问:运行的时候出现“Run-time error '339' Component 'COMCTL32.ocx or ....”,怎么回事?
答:是由于系统权限等原因导致程序无法释放所需的组件,请下载下面的文件后直接运行(运行后无任何提示),然后再打开专杀工具。
http://www.chenoe.com/downloads.asp?file=AntiVirus_Runtime.exe
其他的,农夫的专杀也不错,表现都比杀毒软件官网发出的要好,也许他们的反应始终要慢N拍。
另外,务必要严重关注这篇 《威金遗留文件wlzs.exe,mhs2.exe,等的清除! 》因为专杀不会管你这些....
http://hi.baidu.com/teyqiu/blog/item/02b86c81f8c576d8bc3e1eb3.html
部分用户使用ABC.COM会出现出错提示,就用下面的这个:
农夫的威金专杀也很有效【注意提示文件拒绝访问之类的信息实际都没有问题的。。】
http://bbs.360safe.com/attachment.php?aid=5901 注意自己点升级。。
或者
viking专杀 感谢 mopery 2007-1-9
http://mopery.hits.io/viking.zip << 有效。推荐
熊猫专杀
http://mopery.hits.io/nimuya.zip << 有效。推荐!
2006-12-17
写在前面:关于最新的威金变种“熊猫烧香”的专杀请点如下网址下载
http://bbs.360safe.com/viewthread.php?tid=13617&extra=page%3D1
2006-12-8
~~~~~~~~~~~~~~~~~~~~~
“熊猫烧香”简介、防御及专杀下载
技术分析
http://it.rising.com.cn/Channels/Info/Virus/2007-01-12/1168575524d39892.shtml
简介及预防
http://it.rising.com.cn/Channels/Info/Virus/2007-01-12/1168572516d39888.shtml
http://www.jiangmin.com/News/jiangmin/index/important/20061227145418.htm
http://news.duba.net/virnews/2007/01/10/101631.shtml
专杀下载
Anti-Virus Tools (民间版 魏滔序)
http://www.chenoe.com/AntiVirus/
瑞星
http://it.rising.com.cn/Channels/Service/2006-11/1163505486d38734.shtml
江民
http://www.jiangmin.com/download/zhuansha04.htm
金山
http://tool.duba.net/zhuansha/253.shtml
=========-------------=======如下介绍的都是第一版威金的资料========-------------=======
一、先介绍专杀工具
1、江民专杀 “威金”专杀官方下载http://kvup.jiangmin.com/download/VikingKiller.rar
注意:装了 AutoCAD的机器,可能无法使用该专杀,因为默认的SCR打开方式已经被AUTOCAD修改。系统默认的SCR是屏幕保护程序,是可以被执行的,江民正是利用这个特点。可以先修改默认的打开方式,方法:参考sreng
2、瑞星的提取工具http://it.rising.com.cn/Channels/Service/2006-07/1153119832d22607.shtml
3、金山毒霸的专杀 http://db.kingsoft.com/download/3/246.shtml
3、民间专杀工具
(1) 民间专杀1 by MJ0011
流行感染EXE文件清除提取修复工具(威金、千橡等)
即.exe执行的时候生成一个同名的xxx~.exe,可以完美修复所有.exe可执行文件
目前版本: v1.7
使用办法: 选择目录或者文件夹扫描便可。没有什么好说的。
下载地址 http://www.newsmth.net/bbscon.php?bid=78&id=262837 <--随时更新
(2)民间专杀2
Viking的肆虐让很多受害者忍无可忍,更可气的是专业软件公司提供的专杀工具竟然无法彻底清除。
无奈之余自己动手写了一个,请需要的朋友到这里下载:http://www.chenoe.com/developer/library/abc.com by 听雨诗轩
该工具可以有效解除被感染的exe中的病毒并还原exe文件。网上的大部分工具是直接删除exe文件。还具有免疫功能。
下载后直接运行即可查杀,如果查杀几次都有无法关闭的进程的,重新启动一下计算机继续查杀应该可以杀掉。直到病毒数为0时为止。
另外提供该工具中结束进程部分的代码,结束进程一般采用TerminateProcess函数,但是对于比较顽固的进程就要用非常规的手段来Kill了。 我的方法是,先提高本程序为Debug级别的权限。再用TerminateProcess关闭,如果失败就枚举该进程中的线程并用TerminateThread关闭。然后再用TerminateProcess结束进程。这样就基本上可以关闭99%的非系统进程了。 还有,对于被注入了病毒dll的进程,要先枚举进程中的模块并判断。然后决定是否Kill,Kill方法同上。
(3) 民间专杀3 萧心(农夫) 可升级的专杀
介绍及下载详见 http://www.blogcn.com.cn/user1/525/archives/2006/66927.shtml
ps: 百度不能提供空间存放 遗憾....
==============================================
如下资料转载自水木社区 !!
二、威金的手动清除的方法
发信人: ILOVEAPPLE (大海), 信区: Virus
标 题: Re: 有没有中过viking维金的,请问卡巴6对此有效否?
发信站: 水木社区 (Sat Sep 23 15:33:43 2006), 站内
可以这样:
先删除dll.dll(删除方法见置底)、log_1.exe、rundl123.exe等文件,或在安全模式下清除。
主要是dll.dll,这个文件会让windows的explorer.exe调用(这个传播方法较历害)。
然后根据病毒感染exe的特征,你可以用搜索查找所有的的*.exe文件,然后浏览一下文件,利用卡巴实时检测功能把查毒,清除(也可设置卡巴查杀配置,不过好几个选项,。。。);最后执行如下命令清除病毒遗留文件:
如下命令 可以全选 用记事本保存成一个 killViking.bat 文件。
也可以一条一条的手动输入,开始菜单 运行 输入CMD回车,然后执行下面的每一条,按回车执行。
带echo , pause的可以忽略。
echo off
del %Windir%\ MH_FILE\ MH_DLL.dll
del %Windir%\MickNew\MickNew.dll
del %Windir%\TODAYZTKING\TODAYZTKING.DLL
del %Windir%\1.txt
del %Windir%\0Sy.exe
del %Windir%\1Sy.exe
del %Windir%\2Sy.exe
del %Windir%\rundl132.exe
del %Windir%\vDll.dll
del %Windir%\Dll.dll
del %Windir%\logo_1.exe
del %Windir%\rundl123.exe
echo 正在清除_desktop.ini文件,请稍等......
del c:\_desktop.ini /f/s/q/a
del d:\_desktop.ini /f/s/q/a
del e:\_desktop.ini /f/s/q/a
echo 清除完毕!
pause
2、发信人: itrose (说不清楚), 信区: Virus
标 题: viking威金dll.dll变种暂时解决方案
发信站: 水木社区 (Tue Sep 12 18:59:31 2006), 站内
威金某变种,病毒文件:
c:\windows\rundl132.exe
c:\windows\dll.dll
在该文件夹下还可能有realplayer.exe excel.exe qq.exe等并不该出现的文件
此变种尚无专杀,我摸索出一种方法,目前看有效,请大家参考.
卸载WINRAR ,QQ,OFFICE,realplayer等知名软件,安全模式下删除上面提到的病毒文件.
3、总结
发信人: sihecun (如果有来生), 信区: Virus
标 题: Worm.Viking变种疯狂席卷国内互联网
发信站: 水木社区 (Thu Jun 8 22:39:08 2006), 站内
http://community.highai.com/blogs/smallmo/archive/2006/06/02/88885.aspx
国内老牌的感染型蠕虫Worm.Viking变种正在国内快速传播中,金山、瑞星等国内反病毒厂商都对变种做了应急处理,小陌提醒广大国内用户紧快升级手中的杀毒软件来防范此家族的变种。
Viking家族的变种会感染pe文件,给中招用户带来不小麻烦,同时还具有网络感染、下载网络木马等其他功能。中招用户的典型特征为电脑中出现logo_1.exe、rundl132.exe文件。
同时该家族的Worm.Viking.i(瑞星Worm.Viking.bp)变种还通过qq尾巴传播,qq尾巴的形式:
h**p://www.qq.com.search_2.shtml.cgi-client-entry.photo.39pic.com/qq%E5%83%8F%E5%86%8C2/
以下是金山的报告:
金山:Worm.Viking.m http://vi.db.kingsoft.com/index.shtml?CODE=02&virusid=38415&action=viewgraph
病毒分析
病毒被激活后,释放以下文件:
%SystemRoot%\rundl132.exe
%SystemRoot%\logo_1.exe
病毒目录\vdll.dll
添加以下启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="%SystemRoot%\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="%SystemRoot%\rundl132.exe"
感染所有分区下大小27KB-10MB的可执行文件(但不感染系统文件夹和programe files文件夹下的文件),并在被感染的文件夹中生成_desktop.ini。文件如果发现这个东西的话,恭喜恭喜,估计十有八九已遭遇不幸了,并且感染后会造成一些网友说的“EXE文件图标花了”
通过不安全的共享网络传播,网络可用时,枚举内网所有共享主机,并尝试用弱口令连接\IPC$、\admin$等共享目录,连接成功后进行网络感染。
结束一些国内的反病毒软件进程,如毒霸,瑞星,木马客星等。
vdll.dll注入Explorer或者Iexplore进程,当外网可用时,下载其他木马程序(如前段时间比较BT的红底黑色龙头图案的WINLOGON)。
将拿到的几个样本文件看了下,其中rundl132.exe为病毒文件,VThunder为感染后的文件,Thunder为原文件。
winhex将这3个文件打开,发现感染方式为“头寄生”,VThunder文件头被插入了rundl132的代码。
rundl132.exe
VThunder.exe
Thunder.exe
offset删除至00069E6后另存为,即可还原到原来的thunder了。
在这里提醒大家,对这个病毒防范胜于查杀。目前,包括毒霸在内的部分杀软可以较好的处理感染后的EXE文件,但部分杀软采取的方法却是直接删除(如卡巴斯基),这可不是件好事。因此,小空建议你,及时升级你的杀软,并打开实时监控;安装一款防火墙;关闭不必要的网络共享;通过在线更新等给系统打好补丁;给管理员帐户加上足够强壮的密码;对于来历不名的文件不要随意运行。
----------------------------------
teYqiu【天下无毒】原创文章,转载请标明。http://hi.baidu.com/teyqiu
百度知道反病毒知识专家崔衍渠 授权。 『转载请保留此申明!』
----------------------------------
