大名鼎鼎的維京病毒
介紹一下
該病毒同時具有檔型病毒、蠕蟲病毒、病毒下載器等類病毒的特點,進入用戶的電腦之後,它會從網上瘋狂下載多個木馬、QQ尾巴等安裝在中毒電腦中,竊取用戶的網路遊戲密碼,嚴重時造成系統完全崩潰。
來講講症狀吧
他會在電腦中產生很多只有日期的_.desktop.ini檔
然後電腦中執行檔受到感染之後圖示會變的模糊
執行時會顯示"無法開啟指定的裝置...."
因為重灌完之後他會從其他磁碟槽將自己複製回系統中
故最完整的方法當然是整顆硬碟全部格式化
不過此次狀況不容許這件事情
所以接下來介紹我找到的解決方法
第一步就是重開機進入安全模式把windows資料夾裡面的rundl132.exe跟logo_1.exe給刪除
然後去regedit裡面找尋所有跟這兩個檔名相關的機碼,全部刪除
1、自動清除:斷開網路,升級殺毒軟體對電腦進行全盤掃描。
2、手工清除:在下列系統目錄中找到相應病毒檔並刪除:
%SystemRoot%\rundl132.exe
%SystemRoot%\logo_1.exe
病毒目錄\vdll.dll
定位到以下註冊表鍵值並將其刪除:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\Windows\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\Windows\\rundl132.exe"
或是寫一個批次檔來刪除上述病毒檔案
@echo off
C:
cd\WINDOWS
attrib -h Logo1_.exe
attrib -h rundl132.exe
attrib -h vDll.dll
rd Logo1_.exe
rd rundl132.exe
rd vDll.dll
del Logo1_.exe
del rundl132.exe
del vDll.dll
md Logo1_.exe
md rundl132.exe
md vDll.dll
attrib +h Logo1_.exe
attrib +h rundl132.exe
attrib +h vDll.dll
開啟記事本把上面程式碼貼上之後存成unLogo1_.bat
上面的步驟就是刪除Logo1_.exe、rundl132.exe、vDll.dll這三個有問題的檔案
然後在系統資料中建立相同名字的唯讀資料夾讓病毒即使再生了也會因為無法覆寫而無法寫入系統中對系統造成危害(當然其實這只是治標)
網路上建議把這個批次檔放進開始>程式集>啟動裡面
讓它可以隨開機啟動每次執行
避免讓維金有機可趁
雖然我覺得這樣子應該是多此一舉
不過我還是比照辦理
接著再寫一個批次檔
把電腦裡所有病毒產生的_desktop.ini給宰了
del c:\_desktop.ini /f/s/q/a
del d:\_desktop.ini /f/s/q/a
del e:\_desktop.ini /f/s/q/a
del f:\_desktop.ini /f/s/q/a
以上磁碟槽視電腦的磁碟槽數增減
等到這兩個步驟都完成(建議都在安全模式中進行)
就可以開始進行修復被感染的檔案
很神奇
只要把圖示損壞的執行檔點兩下
啟動程式之後再關閉程式
就解除感染了
原理我也不曉得
不過根據我用NOD4.0掃毒的確是這樣
還沒點那個檔案之前用NOD掃有毒
點完關掉再掃就偵測不到有感染了
這病毒真的挺強的
因為我被迫把電腦裡面看的到的幾千幾百個EXE檔一個一個點過一次....
為了防止logo1_.exe這檔案再度入侵
將logo1_.exe加入windows內建的群組原則中不指定的程式
執行>gpedit.msc 之後選擇使用者設定>系統管理範本>系統
畫面右邊會出現很多選項
其中一個是"不要執行已指定的windows應用程式"
將logo1_.exe加入就收工
這是個只能治標不能治本的方法
假如有一天他變種成檔名可自動更改比方說logo2_.exe或是rund1l32.exe之類的
到時候大家又要搞的灰頭土臉
這已經是2006年的十大病毒了
隔這麼久遇到還是耗了我不少心力應付
而且連4.0版的NOD32都被感染也夠慘的了
其實是我自己疏忽
這台電腦暑假第一次搬來我這邊重灌的時候我就覺得他硬碟裡面的picasa3.0的安裝執行檔長的有點奇怪
應該是全彩的圖案剩下256色
但我卻沒有想太多
結果第二次來的時候已經是系統裡面出現很多圖示損壞、執行時會出現"系統找不到指定的裝置,您可能沒有適當的權限存取"
這時候我還是當成是驅動程式沒有灌好導致圖示的顯示有問題跟administrator權限設定有問題
等到重灌完還是一樣NOD32一直跳警告
我才覺得重灌三次剛灌完就已經自動加入開機啟動程式清單的rundl132.exe檔有問題
整個繞了很大一圈阿...
最扯的事情是
不只有病毒
這台電腦的電源供應器還有問題
導致螢幕沒有畫面
真是今年修電腦以來最艱難的一戰阿....
底下是另外查到的解毒方法
跟我用的差不多
1.中毒之後斷網馬上重啟電腦,重啟之後如果電腦有先進的殺毒軟體(推薦使用卡巴斯基,我嘗試了三款殺毒軟體,最後發現只有卡巴能檢測出大量病毒,其他的只能查得出一點點,而且還殺不掉,到處都有破解的卡巴下載,不麻煩,只要注意不要下載到病毒就OK了)則使用殺毒(記住此期間不要聯網,不然病毒會自動下載木馬的),如果電腦裡面沒有先進的殺毒軟體,就聯網之後快快下載一個破解版的卡巴(建議順帶下載一個安全衛士,一個維金瑞星專殺)然後升級再斷網,一定要快!維金複製得特別快,你的速越快,越容易消滅他。
2.殺毒軟體準備好之後就開始殺毒,你會發現電腦有很多病毒和木馬,而且一次卡巴根本消滅不了,但是維金病毒有一點很厲害!你的卡巴只能使用一次,第二次維金就會克制你的卡巴使它不能打開了(所以這次一定要把查到的全部殺了),如果在第一步中準備了安全衛士和專殺工具的在卡巴殺完之後將電腦轉換到安全模式(開機時按F8就可以進入了),在用上面兩個工具殺殺(這兩個不是太有用,不過多少也能消滅一點)。
3.上面步驟完成以後初期工作就基本完成,接下來進入手動殺毒:病毒是在windows目錄下生成dll.dll,logo1_.exe,rundl132.exe這三個檔案。
而dll.dll注入explorer.exe是由logo1_.exe來完成。病毒會在開機自動執行中加入rundl132.exe 首先打開我的電腦!選工具——檔案夾選項——查看(快捷鍵按ALT+T再按O)中的"隱藏受保護的操作系統檔案(推薦)"的勾取消,把"顯示所有檔案和檔案夾"選中!
【1】.按CTRL+ALT+DEL在任務管理器中把rundl132.exe,logo1_.exe結束掉(沒有的話,不用操作),刪除C盤內的logo1_.exel和rundl132.exe(不知道在哪裡的,可以打開我的電腦按CTRL+F然後搜索rundl132.exe,logo1_.exe)
【2】.因為DLL.dll模塊被寫入到explorer中,所以刪除不掉.不過能有辦法刪除、打開任務管理把進程中的explorer.exe結束掉,接著桌面變消失了,不怕!選中任務管理器的「檔案(F)」——「新任務(運行。。)(N)」然後運行explorer.exe桌面就又出來了!接著把在C:盤下的DLL.dll刪除掉(按CTRL+F查找它,然後刪除)
【3】.在運行中輸入regedit查找註冊表鍵值:
[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]將其刪除,然後按CTRL+F查找註冊表鍵值rundl132.exe及在這項中的所有鍵值將其刪除
【4】.打開我的電腦按CTRL+F然後搜索_desktop.ini,把找到的所有_desktop.ini 刪除(刪除後圖示還顯示在那裡,別管它,關掉後在查一次看看是否還有)
4.將上面的步驟統統完成之後,病毒就已經不能再複製了,接下來就是刪掉原有的卡巴,然後再重新將卡巴裝一次,重啟,殺毒(這時就只需將剩下的木馬給消滅掉就可以了),殺完毒之後再重啟,在我的電腦裡搜索看有沒有_desktop.ini的檔案,如果沒有的話就恭喜你病毒全部消滅,如果還有的話就重複以上步驟直至病毒全部消滅。
5.防止再次感染 運行 gpedit.msc 打開組策略
依次單擊用戶配置- 管理模塊- 系統-指定不給windows運行的程序點啟用 然後 點顯示 添加 logo1_exe 也就是病毒的源檔案 。
留言列表
