手工查杀威金病毒,完全恢复exe程序

受Viking病毒感染后的exe是可以恢复的。本人中毒后，先后尝试过很多国内目前主流的杀毒软件，均无法查出存在病毒。在网上看到很多人的建议是完全格式化系统盘，删除全部exe文件...这种做法太恐怖了，会造成多么大的损失啊！

一、先说说中毒的过程:

(系统为 XP + sp2)

愚人节前一天,访问一个www.acess***.net的网站,突然页面打开变的很慢 .开始以为是广告导致的,也没太在意.后来跳出来一个错误信息,说一个应用程序是16位的,无法正常运行.这个文件位于当前用户所在的临时文件夹内(我的系统是经过优化处理的,将用户的临时文件夹和系统的临时文件夹指向另外一个旧硬盘上了,并且指定盘符为 Z:),很明显有问题!

(为了防止大家误访问病毒网站，我把后面的数字改为***了)

 

二、采取措施:

马上断网,拔掉所有U盘和移动硬盘. 到Z:盘 user_temp一看,果然多了几个win开头的 **.exe文件.

 

三、诊断

1、看c:盘(C盘是系统盘)根目录下,出现了_desktop.ini文件,里面是一个时间的日期格式: 2007/3/31 的字样.

2、在C:/windows/下出现Richdll.dll和Login_1.exe

3、在C:/windows/出现uninstall目录，里面是一个rundll32.dll

4、在系统进程里可以看到Login_1.exe

5、在C:/windows/system32下也出现了一些相同时间的新文件

四、其他现象

1、进入IE临时文件目录,查看cookie,发现带有acess***的cookie生成的时间和上面说的Richdll.dll和Login_1.exe的文件时间一致!   这就是病毒的来源

2、诺顿只是报警发现小偷等程序，无法查杀。

3、所有exe文件的图标都变了，变成普通exe的蓝方框。

五、杀毒

1、重新启动系统，进入安全模式

2、删除病毒文件
这两个是最主要的
C:/windows/下出现Richdll.dll和Login_1.exe
C:/windows/出现uninstall目录，里面是一个rundll32.dll

C:/_desktop.ini
C:/windows/system32/与Login_1.exe文件时间一致的exe文件

等等

删除注册表相关信息:

KEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run/load
KEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run/Wnipzisrv
KEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run/twin

六、免疫

1、在C:/windows/uninstall目录下创建一个新rundll32.dll。
方法如下：新建一个文本文件，改名为rundll32.dll
然后，将文件的属性增加只读属性。

2、C:/windows/创建Richdll.dll、Login_1.exe和Logo1_.exe
方法同上；然后，将文件的属性增加只读属性。

上述新建的文件长度都是 0 。

重新启动机器，防火墙会报一些程序要访问网络。全部禁止。这是威金携带的一些木马病毒导致的。

虽然威金病毒不再活动，但是那些附属的病毒还在。

七、恢复exe程序的使用

需要关注的有两个位置：
A、要恢复的exe程序所在的目录
B、系统进程

恢复步骤：

1、进入要恢复exe所在的目录

2、查看系统进程
进程里面没有要恢复的exe文件的名称，也没有cmd进程。

3、双击要恢复的exe程序，这里举例为Together.exe(其他的exe都已经恢复完了,而且用了一段时间,确保这个方法好用，所以才拿出来和大家共享)
鼠标闪动了一下，什么也没出现。
这时候，会发现在系统的进程里面多了一个Together.exe (注意：是系统进程，不是应用程序列表)

4、再次双击Together.exe文件

注意看当前文件目录：出现了一个Together.exe.exe，而且文件的图标是正常的。
而且在系统的进程中增加了cmd.exe的进程。而且在用户的临时目录中还出现了一个$$开始的bat文件，这个文件不要动，还有用！

5、结束Together.exe进程
会出现Together.exe.exe被改为Together.exe原来的文件被删除。系统进程中Together.exe和cmd.exe消失。
用户临时文件夹中只留下一些temp文件，原来的$$*.bat文件消失。

这时候，exe文件已经恢复了！

此方法在已经安装的exe文件上尝试过，对于未安装的exe文件未尝试，不知道能不能用！

八、还需要用其他的杀毒软件查杀其他附属的木马等病毒。

 

本文仅个人经验，使用请谨慎。出现未预期的后果，责任自负！

在此强烈谴责那些用技术信息诱引开发人员进入病毒网站的人！！！