logo1.exe是什么病毒，怎么可以彻底清除

威金Worm.viking资料(w32.Looked.p)&最新有效专杀工具!!2006年10月20日 星期五 13:05病毒类型：NetWorm 网络蠕虫
病毒名称：Worm.Viking（瑞星) , Worm.Win32.Viking.aa , bb(卡巴斯基), w32.Looked.p (诺顿) ；
统称威金。 如下资料转载自水木社区 !!

1、手动清除
发信人: ILOVEAPPLE (大海), 信区: Virus
标 题: Re: 有没有中过viking维金的,请问卡巴6对此有效否?
发信站: 水木社区 (Sat Sep 23 15:33:43 2006), 站内

可以这样：
先删除dll.dll(删除方法见置底)、log_1.exe、rundl123.exe等文件，或在安全模式下清除。
主要是dll.dll，这个文件会让windows的explorer.exe调用（这个传播方法较历害）。
然后根据病毒感染exe的特征，你可以用搜索查找所有的的*.exe文件，然后浏览一下文件，利用卡巴实时检测功能把查毒，清除（也可设置卡巴查杀配置，不过好几个选项，。。。）；最后执行如下命令清除病毒遗留文件：
如下命令 可以全选 用记事本保存成一个 killViking.bat 文件。

也可以一条一条的手动输入，开始菜单 运行 输入CMD回车，然后执行下面的每一条，按回车执行。

带echo , pause的可以忽略。

echo off
del %Windir%\ MH_FILE\ MH_DLL.dll
del %Windir%\MickNew\MickNew.dll
del %Windir%\TODAYZTKING\TODAYZTKING.DLL
del %Windir%\1.txt

del %Windir%\0Sy.exe
del %Windir%\1Sy.exe
del %Windir%\2Sy.exe
del %Windir%\rundl132.exe
del %Windir%\vDll.dll
del %Windir%\Dll.dll
del %Windir%\log_1.exe
del %Windir%\rundl123.exe

echo 正在清除_desktop.ini文件，请稍等......
del c:\_desktop.ini /f/s/q/a
del d:\_desktop.ini /f/s/q/a
del e:\_desktop.ini /f/s/q/a

echo 清除完毕！
pause

2、发信人: itrose (说不清楚), 信区: Virus
标 题: viking威金dll.dll变种暂时解决方案
发信站: 水木社区 (Tue Sep 12 18:59:31 2006), 站内

威金某变种,病毒文件:
c:\windows\rundl132.exe
c:\windows\dll.dll
在该文件夹下还可能有realplayer.exe excel.exe qq.exe等并不该出现的文件
此变种尚无专杀,我摸索出一种方法,目前看有效,请大家参考.
卸载WINRAR ,QQ,OFFICE,realplayer等知名软件,安全模式下删除上面提到的病毒文件.

3、被威金感染后的应用程序，一般都需要重装了。

4、总结

发信人: sihecun (如果有来生), 信区: Virus
标 题: Worm.Viking变种疯狂席卷国内互联网
发信站: 水木社区 (Thu Jun 8 22:39:08 2006), 站内

附件是瑞星的专杀(20060606)

http://community.highai.com/blogs/smallmo/archive/2006/06/02/88885.aspx

国内老牌的感染型蠕虫Worm.Viking变种正在国内快速传播中，金山、瑞星等国内反病毒厂商都对变种做了应急处理，小陌提醒广大国内用户紧快升级手中的杀毒软件来防范此家族的变种。

Viking家族的变种会感染pe文件，给中招用户带来不小麻烦，同时还具有网络感染、下载网络木马等其他功能。中招用户的典型特征为电脑中出现logo_1.exe、rundl132.exe文件。

同时该家族的Worm.Viking.i（瑞星Worm.Viking.bp）变种还通过qq尾巴传播，qq尾巴的形式：

h**p://www.qq.com.search_2.shtml.cgi-client-entry.photo.39pic.com/qq%E5%83%8F%E5%86%8C2/

以下是金山的报告：
金山：Worm.Viking.m http://vi.db.kingsoft.com/index.shtml?CODE=02&virusid=38415&action=viewgraph

病毒分析
病毒被激活后，释放以下文件：
%SystemRoot%\rundl132.exe
%SystemRoot%\logo_1.exe
病毒目录\vdll.dll

添加以下启动项：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="%SystemRoot%\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="%SystemRoot%\rundl132.exe"

感染所有分区下大小27KB-10MB的可执行文件（但不感染系统文件夹和programe files文件夹下的文件），并在被感染的文件夹中生成_desktop.ini。文件如果发现这个东西的话，恭喜恭喜，估计十有八九已遭遇不幸了，并且感染后会造成一些网友说的“EXE文件图标花了”

通过不安全的共享网络传播，网络可用时，枚举内网所有共享主机，并尝试用弱口令连接\IPC$、\admin$等共享目录，连接成功后进行网络感染。

结束一些国内的反病毒软件进程，如毒霸，瑞星，木马客星等。

vdll.dll注入Explorer或者Iexplore进程，当外网可用时，下载其他木马程序(如前段时间比较BT的红底黑色龙头图案的WINLOGON)。

将拿到的几个样本文件看了下，其中rundl132.exe为病毒文件，VThunder为感染后的文件，Thunder为原文件。
winhex将这3个文件打开，发现感染方式为“头寄生”，VThunder文件头被插入了rundl132的代码。
rundl132.exe
VThunder.exe
Thunder.exe
offset删除至00069E6后另存为，即可还原到原来的thunder了。

在这里提醒大家，对这个病毒防范胜于查杀。目前，包括毒霸在内的部分杀软可以较好的处理感染后的EXE文件，但部分杀软采取的方法却是直接删除（如卡巴斯基），这可不是件好事。因此，小空建议你，及时升级你的杀软，并打开实时监控；安装一款防火墙；关闭不必要的网络共享；通过在线更新等给系统打好补丁；给管理员帐户加上足够强壮的密码；对于来历不名的文件不要随意运行。

※ 来源:·水木社区 newsmth.net·[FROM: 221.221.27.*]

5、其他专杀

（1）瑞星的提取工具 http://it.rising.com.cn/Channels/Service/2006-07/1153119832d22607.shtml

（2）金山毒霸的专杀 http://db.kingsoft.com/download/3/246.shtml

（3） 强烈推荐的专杀 by nslog

流行感染EXE文件清除提取修复工具（威金、千橡等）

即.exe执行的时候生成一个同名的xxx~.exe，可以完美修复所有.exe可执行文件 版本更新为1.6

下载地址： http://nslog.cn.googlepages.com/Killqx_Gui_V16.rar
目前版本： v1.6
使用办法： 选择目录或者文件夹扫描便可。没有什么好说的。

威金病毒
要通过重装的办法彻底清除，你必须遵循以下操作顺序：
1、删除掉除系统文件夹以外的所有EXE文件，包括各个磁盘分区的，一个也不能留
2、重装系统
否则，象你那样，仅仅重装了系统，而染毒的EXE文件都还在，只要它们一运行，病毒就又复发了，所以你重装好多遍也没用

关于 Logo1_.exe

基本介绍

病毒名称 Worm@W32.Looked
病毒别名 Virus.Win32.Delf.62976 [Kaspersky], W32/HLLP.Philis.j [McAfee],W32.Looked [symantec] Net-Worm.Win32.Zorin.a
病毒型态 Worm (网络蠕虫)
病毒发现日期 2004/12/20
影响平台 Windows 95/98/ME , Windows NT/2000/XP/2003

风险评估

散播程度：中
破坏程度：中

主要症状:
1、占用大量网速，使机器使用变得极慢。
2、会捆绑所有的EXE文件，只要一运用应用程序，在winnt下的logo1.exe图标就会相应变成应用程序图标。
3、有时还会时而不时地弹出一些程序框，有时候应用程序一起动就出错，有时候起动了就被强行退出。
4、网吧中只感梁win2k pro版，server版及XP系统都不感染。
5、能绕过所有的还原软件。

详细技术信息：

病毒运行后，在%Windir%生成 Logo1_.exe 同时会在windws根目录生成一个名为 %WinDir%\virDll.dll
该蠕虫会在系统注册表中生成如下键值：

[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]盗取密码

病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码，将游戏密码发送到该木马病毒的植入者手中。

阻止以下杀毒软件的运行
病毒试图终止包含下列进程的运行，这些多为杀毒软件的进程。 包括卡八斯基，金山公司的毒霸。瑞星等。98%的杀毒软件运行。
国产软件在中毒后都被病毒杀死，是病毒杀掉-杀毒软件。如金山，瑞星等。哪些软件可以认出病毒。但是认出后不久就阵亡了。

通过写入文本信息改变病毒感染运行window*操作系统的计算机，并且通过开放的网络资源传播。一旦安装，蠕虫将会感染受感染计算机中的.**e文件。

该蠕虫是一个大小为82K的Windows PE可执行文件。

通过本地网络传播

该蠕虫会将自己复制到下面网络资源：

ADMIN$
IPC$

症状

蠕虫会感染所有.exe的文件。但是，它不会感染路径中包含下列字符串的文件：

\Program Files

Common Files

ComPlus Applications

Documents and Settings

NetMeeting

Outlook Express

Recycled

system

System Volume Information

system32

windows

Windows Media Player

Windows NT

WindowsUpdate

winnt
蠕虫会从内存中删除下面列出的进程：

EGHOST.EXE
IPARMOR.EXE
KAVPFW.EXE
KWatchUI.EXE
MAILMON.EXE
Ravmon.exe
ZoneAlarm

网吧遭此病毒破坏造成大面积的卡机，瘫痪。危害程度可以和世界排名前十的爱情后门变种相比。该病毒可以通过网络传播，传播周期为3分钟。如果是新做的系统处于中了毒的网络环境内，只要那个机器一上网，3分钟内必定中招。中招后你安装 rising SkyNet Symantec McAfee Gate Rfw.exe RavMon.exe kill NAV 等杀毒软件 都无法补救你的系统，病毒文件 Logo1_.exe 为主体病毒，他自动生成病毒发作所需要的的 SWS32.DLL SWS.DLLL KILL.EXE 等文件。这些文件一但衍生。他将迅速感染系统内EXPLORE 等系统核心进程 及所以.exe 的可执行文件，外观典型表现症状为 传奇 ，泡泡堂，等游戏图标变色。 此时系统资源可用率极低，你每重新启动一次，病毒就会发作一次。
该病毒对于防范意识较弱，还原软件未能及时装到位的网吧十分致命，其网络传播速度十分快捷有效。旧版的杀毒软件无法检测，新版的无法彻底根杀。一但网吧内某台机器中了此病毒，那么该网吧所有未中毒的机器都处于危险状态。由于病毒发作贮留于内存。且通过EXPLORE.exe 进行传播。因此即使是装了还原精灵，还原卡的机器也同样会被感染。你重新启动后系统可以还原。但是你一但开机还是会被感染。

病毒发作会生成另外病毒 PWSteal.Lemir.Gen 和 trojan.psw.lineage 等等。都是些非常厉害的后门程序。和外挂病毒相似，但是其威力是外挂病毒的50倍以上。在WIN98平台下，改病毒威害比较小。在WIN2000 /XP/2003 平台对于网吧系统是致命的

运行系统极度卡机。你重新启动后你会发现你所有游戏的.EXE 程序全部都感染了

最新杀毒软件杀完后。除了系统可以勉强运行。其他的你也别想运行了。

病毒清理办法

如果在病毒没有发作情况下杀毒是可以完全搞定的。如果发作了也不要杀毒了。直接克盘恢复吧。

一、找到注册表中[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]删除DownloadWWW主键

二、找到
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot]
winlogo 项
把WINLOGO 项 后面的C:\WINNT\SWS32.DLL 删掉
接下来把HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/Run 键中 /RunOnce/RunOnceEx 两个中其中有个是也是

C:\WINNT\SWS32.dll
把类似以上的全部删掉 注意不要删除默认的键值（删了的话后果自负）

如果没有以上键值，则直接跳过此步骤

三 结束进程

按“Ctrl+Alt+Del”键弹出任务管理器，找到logo1_.exe 等进程，结束进程，可以借助绿鹰的进程管理软件处理更方便。找到EXPL0RER.EXE进程（注意第5个字母是数字0不是字母O），找到它后选中它并点击“结束进程”以结束掉（如果EXPL0RER.EXE进程再次运行起来需要重做这一步）。

四 装杀毒软件
装完后不要重新启动（切记）直接升级病毒库，升级完后，把C:\winnt 目录下所有带毒文件删除。然后运行杀毒软件开始杀毒。
杀完后。还有几个杀毒软件无法删掉的东西要把名字记下来。因为不同的系统有不同的名字。所以这里说不清楚了。自己记下来。,重新启动后再次杀毒。记的把可疑的进程的结束。否则杀毒软件无法干净杀毒。还有最重要的一点记的把杀毒软件无法清除的病毒设置为删除文件。一般要重复杀毒3-5次才能杀干净。
五。看看杀毒后的系统。
缺少的了很多系统文件。系统处于危险状态。如果你有GHOST 备份。这个时候恢复一下。系统可以干净无损。如果没有请运行 SFC 命令检查文件系统。具体操作为 运行-输入CMD 命令进入DOS 提示符。-输入SFC /scannow -- 提示放入系统光盘。--放进去吧。然后慢慢等。
看看成果。杀毒效果显著。毒杀干净了。但是杀完毒后很多游戏都玩不了。忙了一圈都不知道自己在忙什么。郁闷吧。然后重新做系统吧。谁叫中毒的是网吧的系统

杀毒及重装系统后的防范

有些网友在处理病毒的时候可能有这样的感觉好不容易清除了，或者没办法重新装了系统，但是没多长时间有中了同样的病毒，所以说有免疫程序实最好的了。下面就将免疫程序公布如下，供网友们下载使用：
建议做系统的时候把默认共享关闭。关闭IPC$ ADMIN$ 关闭554 关闭ICMP路由。给ADMINISTRATOR 组所有成员设置密码。最好数字加英文
现在地址可以到本站的软件下载中去找找，你可以直接通过下面的网址下载：http://whit.net.**/*own/SoftView.Asp?SoftID=100

文件说明下载解压后有3个文件
dellogo.bat放在winnt目录下，98的用户放到windows目录下
delshare.bat放到开始菜单--程序---启动项中，目的能让计算机启动后就删除默认共享，从而阻止病毒对外传播和再次感染的桥梁。
ljl.reg下载后直接运行这个文件，提示，信息导入注册表后，说明写入注册表成功，目的是让计算机重新启动后能立刻删除病毒主题文件
logo1_.exe文件。要注意的实这个注册表导入文件是针对win2000系统的，如果您是其他的操作系统，请参考修改一下就可以。

以上操作只是阻断传播，如果怕在使用中感染此病毒，您还需要按照如下操作，这样即使病毒感染，也不能运行主体病毒程序。
当然这里说的操作实针对win2000系统的，其他的系统可以参考操作：

运行 gpedit.msc 打开组策略
依次单击用户配置- 管理模块- 系统-指定不给windows运行的程序

点启用 然后 点显示 添加 logo1_exe 也就是病毒的源文件 。