最近有朋友问我关于这几个病毒的清理方法．口头上说的不是很详细，现在贴一个详细的分析和对策吧．

1、打开系统的“显示隐藏文件”并下载相应的杀毒软件和维金EXE修复工具（重要）

2、查看你的系统进程结束可疑的病毒木马程序(用户名为你的当前用户）如：rundl132.exesvchost32.exelogo1_.exe可能还有SERVICES.EXESMSS.EXE等伪装的系统木马。可以用tskill来结束这些进程。

3、找到木马所在的路径并删除，然后新建一个同名文件，并设置为只读属性（这点非常重要），（一般在C:windows,C:ProgramFiles你可以搜索来找到木马所在的路径。

4、修改注册表。在注册表里启动项目的所有木马启动项目，在注册表全面搜索Rundl132.exe和Logo1_.exe并删除.

5、用维金修复工具修复所有感染的exe文件。（可以到安全模式进行）

以下是这个病毒的原理（网上收集的）

进程文件：rundl132或rundl132.exe

进程位置：windir

程序名称：Troj_AutoCrat.b.enc或Worm.Viking.cp威金

程序用途：后门木马病毒以窃取信息为主。或最新的病毒名称：Worm.Viking.cp中文名：“威金”蠕虫变种CP

程序作者：

系统进程：否

后台程序：是

使用网络：是

硬件相关：否

安全等级：低

进程分析：该病毒修改win.ini文件实现自启动，使用与rundll32.exe相似的rundl132.exe文件名。病毒运行后打开后门端口，允许恶意攻击者控制计算机。

病毒名称：Worm.Viking.cp

中文名：“威金”蠕虫变种CP

释放vidll.dll到任何可执行文件目录下。

该病毒修改注册表创建Run/Timer项实现自启动，病毒文件包括：0Sy.exe1Sy.exe2Sy.exe3Sy.exe4Sy.exe5Sy.exe6Sy.exe7Sy.exe8Sy.exe9Sy.exe以及0～9.exe等等。

档案编号：CISRT2006004

病毒名称：Worm.Win32.Viking.i（AVP）

病毒别名：Worm.Viking.bp（瑞星）

病毒大小：27,194字节

加壳方式：UPack

样本MD5：fe498f7687658c33547d72151111b93f

发现时间：2006.5.30

更新时间：2006.6.1

关联病毒：

传播方式：通过QQ尾巴、恶意网站传播

技术分析：

1、运行后创建文件：

%Windows%rundl132.exe

vDll.dll（当前目录）

2、建立自启动项：

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindows]

"load"="%Windows%rundl132.exe"

3、vDll.dll将插入Explorer.exe或iexplore.exe进程。

4、病毒会使用net命令停止毒霸服务：

netstop"KingsoftAntiVirusService"

5、尝试访问共享网络ipc$和admin$，发送ICMP用“Hello,World”探测。

6、生成的一些记录文件：

C:gamevir.txt

C:1.txt

C:log.txt

7、变种Logo1_.exe会感染（捆绑）.exe文件，在这个rundl132.exe的测试中没有发现感染（捆绑）.exe文件的情况。

感染（捆绑）.exe文件，但不感染（捆绑）以下目录中的.exe：

system

system32

windows

DocumentsandSettings

SystemVolumeInformation

Recycled

winnt

ProgramFiles

WindowsNT

WindowsUpdate

WindowsMediaPlayer

OutlookExpress

InternetExplorer

ComPlusApplications

NetMeeting

CommonFiles

Messenger

MicrosoftOffice

InstallShieldInstallationInformation

MSN

MicrosoftFrontpage

MovieMaker

MSNGamingZone

8、尝试修改HOSTS文件：

%System32%driversetchosts

9、添加注册表信息：

[HKEY_LOCAL_MACHINESOFTWARESoftDownloadWWW]

"auto"="1"

10、尝试访问网络下载其它木马病毒，有WOW、征途、QQ尾巴等木马。

1.在系统目录下生成一些病毒文件，有0sy.exe,到9sy.exe，还有图标为QQ的，图为为迅雷的，为real播放器的，反正是很容易骗过你的图标，名称一律为rundl132.exe（32之前是个1不是l,rundll32.exe是系统文件，是不是很会骗人？）

2.把迅雷和winrar的程序文件替换掉使你无法运行这两个程序,其他的程序有没有被换掉我不知道,反正我看到了这两个软件是这样.

3.打开进程管理器可以看到有rundl1.execmd.exewinxxx.exexxx为数字且为随机的且在C:DocumentsandSettings你的用户名LocalSettingstemp下