今天终于搞掉了威金新变种病毒，这种心理变态的制作者制作的可恶病毒，居然用旧的专杀工具和目前大多数杀毒软件都除不掉，感染所有EXE文件，被感染后文件不能运行。试了好多工具，瑞星的、金山的都太旧，终于用江民的专杀(这是11月15日升级的)清除掉了，感染文件清毒后可以正常运行，连趋势网络版也活了，差点要重装它。

该病毒的资料如下：
Viking变种 rundl132.exe Logo1_.exe RichDll.dll

病毒名称：Worm.Win32.Viking.bv（Kaspersky）
病毒别名：Worm.Viking.cz.57089（毒霸）
　　　　　 Worm.Viking.eu（瑞星）
病毒大小：57,089 字节
加壳方式：N/A

发现时间：2006.11
更新时间：2006.11
关联病毒：
传播方式：通过恶意网页传播、其它木马下载


技术分析
==========

Viking的一个变种，产生的文件位置和“传统”的有些不同。

运行后复制自身到系统目录下：
%Windows%\uninstall\rundl132.exe
释放dll注入Explorer.exe或iexplore.exe进程：
%Windows%\RichDll.dll

创建启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="%Windows%\uninstall\rundl132.exe"

调用命令停止金山毒霸旧版本服务：

net stop "Kingsoft Antivirus Service"

遍历目录感染exe文件，将自身捆绑在被感染exe文件前端（不感染部分系统文件和程序文件），并在所到目录下生成_desktop.ini文件，内容是感染日期，如2006/11/15。

设置注册表信息：

[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"

尝试从guajfskajiw.43242.com下载其它病毒或恶意程序。

被感染文件运行后会在系统目录生成文件：
%Windows%\Logo1_.exe

Logo1_.exe常驻内存，并释放%Temp%\$$??.bat“还原”被感染文件，bat内容为：

:try1
Del "被感染文件.exe"
if exist "被感染文件.exe" goto try1
ren "被感染文件.exe.exe" "原文件.exe"
if exist "被感染文件.exe.exe" goto try2
"原文件.exe"
:try2
del "%Temp%\$$??.bat"
---------------------
我的情况是病毒还有在%Windows%\down或intel文件夹和programe files\microsoft\下生成病毒文件，有rundl132.exe、svchost32.exe。

我的解决方法是用江民的专杀工具，运行后可以先检查更新，再扫描，可以多扫几次彻底清除病毒。原专杀程序是.exe文件，为了防止病毒感染，我改成.com结尾，运行是一样的(真不明白江民会没考虑这点)

点击下载VikingKiller

引用通告地址 (0)：
http://www.mseagle.cn/trackback_wyh.asp?tbID=382
http://www.mseagle.cn/trackback_wyh.asp?tbID=382&CP=GBK

标题:注册香港公司
链接:http://www.tannet.net
摘要:香港登尼特：专业注册公司、注册香港公司，注册上海公司，注册美国公司，注册深圳公司，中国及海外公司，香港公司注册，深圳公司注册，上海公司注册，中国公司注册。

太强了！我试了诺顿， McAfee，Ghost恢复系统全部都不行，就你这个能清除所有EXE文件附身的病毒！

谢谢,找了这么久,就只有你告诉的真有用,终于搞定了, thank you very much

谢谢你,对我帮助很大