一个关于威金病毒的问题
前几天我发现机子中了威金病毒,虽然最后搞定了但自己还是有些疑问,随后也提出了自己的一些问题,但是大家的回答都还是让我感到有些模糊和疑惑,也许是我问得不清楚吧,对次我再一次提出这个问题,希望各位大侠能仔细的帮我解释一下,谢谢大家了!!!!
在网上找了一些资料问题终于得到解决。在解决的过程中有下面这样一个步骤:
[hkey_local_machinesoftwaresoftdownloadwww]
auto = 1 删除downloadwww键
我的问题是:
1:请各位大侠给我解释一下这个键下的Soft\DownLoadWWW是什么意思?它是病毒编写者在编写时的一个名字而已呢?还是有什么其他的固定用途所以才把名字写成DownLoadWWW?如果它只是一个名字的话那病毒编写者把DownLoadWWW换成123,那是不是我们在注册表里面看到的就会是Soft\123呢?
2:auto=1又是什么意思?
3:为什么要在这里把它删除掉? 如果不删除的话会有什么后果?为什么?
4:Soft\DownLoadWWW这个东东是病毒编写者在编写病毒时就在程序里面写好了要在hkey_local_machine\software这项里添加的子项呢?还是系统自动把它添加在hkey_local_machine\software下面的?
5:有些人给的答案是说auto=1是表示该项自动运行的意思,但我有点疑问的就是,如果我需要让QQ或者是其他程序自动运行的话那我在注册表对应的QQ项下面加上一个auto=1可以吗?如果不行的话那又是为什么呢?
6:在注册表的hkey_local_machine\software项里面加上一个Soft\DownLoadWWW,而且还要在DownLoadWWW里面加上auto=1这项有必要吗?要让它自动运行的话在Run、Runonce、RunonceEx、Runvices、Winlogon等这些项里不是也一样可以实现吗?请问这里的这个Soft\DownLoadWWW项和上面讲的这几个自启动项有什么区别?
7:就威金病毒而言Logo1_.exe、Soft、DownLoad这三个名字之间应该是个什么对应关系啊?(我的意思是说,如果Logo1_.exe是可在任务管理器中看到的进程名、Soft是可在注册表里看到的程序名称的话,那DownLoad又算是什么呢?)
8:此病毒的传播方式是怎样的?(我的意思是说:是通过上网浏览网站时不小心中的恶意代码还是通过系统的某些端口进来的?)
我问的问题可能很多人会觉得很烦琐也可能问的方式不对,因小弟对系统安全这方面的东西很感兴趣但又苦于无人指点,所以只好拜托各位大侠在给小弟解释时以上8个问题尽量每个问题都回答到,最好是在回答时也像我提问题这样第一个问题、第二个问题..... 对应我的问题回答就好了,这样我也能知道到底是怎么一回事,就算是帮助我在这方面的知识得以提高吧。
忠心谢谢大家,感激不尽!!!!
参考答案:我也看过这个文章,最后也没管用
最近由于单位的电脑感染了威金病毒(也有叫维金的)才开始研究了一下这个东西,首先着重说明一点,这个病毒太厉害,我反正是服了,不过最后努力总算是把这个问题解决了。
假如你按ctrl+alt+del三个键出现windows任务管理器窗口,再按进程选项卡,如果里面有logo1_.exe或者RUNDL132.EXE(这是一个伪装,因为在任务管理器里是小写的,和正常的进程rundll32很像,注意不要看错了,一个是L32,一个是132,要是都小写了不仔细看就看不出来了),那么,恭喜你,你中了威金病毒了。
或者假如说你的电脑经常死机,并且你发现原来可以执行的.exe文件,还有你下载的那些软件的安装程序图标有一天忽然发现全都变成一个四四方方的蓝顶白框的图标,再有屏幕左下角如果出现了一个类似窗口标题框的长条,上面有时候有字,有时候没字。那么你十有八九是中了这个病毒,他就是把那些可执选择exe文件感染了,比如说原来你的电脑里有个QQ.exe,它就会把这个可以运行的正常程序更改为qq.exe.exe并隐藏起来,并再重新弄一个qq.exe的病毒文件,等你双击运行的时候,运行的可是病毒呀,想想就可怕,它所能造成的后果我也没全见过,听说好像出变种了,我们这出现的情况就是电脑忽然死机,或者根本无法进入到winxp就死机了。
网上关于手动删除这个病毒的方法很多,什么先结束病毒进程,然后手动删除病毒文件,再制作假的病毒文件防止病毒进程,还有删除注册表项什么的,我都试过了,一句话,不管用。再者,还有网上说了瑞星和金山的专杀工具,也是不管用。我感觉就是,只要winXP已经中了这个病毒了,你就不可能彻底清除。它能阻止卡巴、瑞星、金山、诺顿的开机监控,并且你用杀毒软件杀也是没有用的。因为你已经中毒了。上面说的那些方法都不太好使(也许在别的地方行,我这不行,所以这么说,呵呵)
最后我是这么解决的,也确实解决了。如果你想彻底点,很简单,重新分区安装系统,这是最好的办法了,连毒不用杀了,肯定干净,不过这几乎不适合任何人,谁电脑里没有有用的东西呀,所以就要用到下面的方法。
1、格式化C盘,重新用XP盘安装系统。
2、XP系统安装完毕后,不在碰C盘已外的任何分区,一旦按了,就有可能把病毒进程调入内存,因为C盘刚刚格式化了,是不会有病毒的。所以不碰别的地方,是内存中是绝对不会有病毒的。
3、先不要着急安装驱动和任何软件,马上安装杀毒软件,推荐瑞星2006(在这里说明一点,如果安装完瑞星没有启动监控中心,就说明安装失败,或者说你先前的操作可能涉及到了别的分区),然后马上把瑞星升级到最新版本。
4、上瑞星官方下载威金病毒专杀工具运行就可以了。
在扫描完毕后即使你确定有威金病毒,专杀工具也有可能提示没有发现病毒,不要纳闷,在这是不会显示的,打开瑞星2006主程序,在操作——历史记录中,选监控日专中的所有监控,如果有威金病毒的话,它会在这显示出来,并不会在专杀中显示出来。如下图:
(这是我的博客,上面有图片)
上面右边那3个就是威金病毒了(Worm ViKing. ff),先前没有重装系统,可就是已经感染了该病毒的时候,用专杀工具还有瑞星杀毒就都不行的。
只要完整的用瑞星专杀工具扫描一次(一定要配合瑞星2006,好像只有专杀是不行的,而且瑞星的监控也要正常运行,这就是上面为什么说瑞星装完监控不启动不行了。)那么你的电脑中就不会有这种病毒,而且由于瑞星已经升级为最新版本,以后出现这种病毒也会自动杀掉了。
以上这种方法我用着很成功,也很简单,值得一试,我反正就感觉到了,只要你的电脑中了这种病毒了,不重装系统是不是可能了。