手动清除Worm.Win32.Viking.k病毒

<BR>&nbsp; &nbsp;
<P>　　病毒描述：</P>
<P>　　该病毒属蠕虫类，病毒图标为压缩文件RAR图标，以迷惑用户点击运行。病毒运行后，将自身复制到系统文件夹%windows%下，文件名为rundll32.exe，释放病毒文件，修改注册表，添加启动项，以达到随机启动的目的，联接网络，开启端口，下载病毒文件，病毒尝试终止相关杀病毒软件，病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。该病毒对用户有一定危害。</P>
<P>　　行为分析：</P>
<P>　　1、病毒图标为压缩文件RAR图标，用以迷惑用户点击运行。</P>
<P>　　2、病毒运行后，将自身复制到系统文件夹下，并释放病毒文件：</P>
<P>　　%Windir%\rundll32.exe</P>
<P>　　%Program files%\_desktop.ini</P>
<P>　　病毒所在目录\vDll.dll文件</P>
<P>　　释放病毒文件到系统根目录下_desktop.ini</P>
<P>　　3、联接网络，开启端口，下载病毒文件：</P>
<P>　　联接网络：</P>
<P>　　TCP：61.152.116.22</P>
<P>　　端口：随机开启1024以上端口</P>
<P>　　病毒位置：　　　　　　　　病毒名称：</P>
<P>　　%Windir%\0sy.exe　　　　　Trojan-PSW.Win32.WOW.dj</P>
<P>　　%Windir%\1sy.exe</P>
<P>　　在系统盘的根目录下下载1.txt</P>
<P>　　系统盘根目录\BBWOW\BBMS_DLL.DLL　　Trojan-PSW.Win32.WOW.db</P>
<P>　　系统盘根目录\TODAYNEW\TODAYNEW.DLL</P>
<P>　　4、修改注册表，添加启动项，以达到随机启动的目的：</P>
<P>　　HKEY_CURRENT_USER\Software\Microsoft\Windows NT</P>
<P>　　\CurrentVersion\Windows</P>
<P>　　键值: 字串: "load "="C:\WINDOWS\rundl132.exe"</P>
<P>　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DownloadManager\</P>
<P>　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ver_down0</P>
<P>　　值: dsfsfaa[Startup]..AppName=ATISoftwarer=sss</P>
<P>　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\</P>
<P>　　键值: 字串: "ver_down1"="COM+[7:18:32]: Setup started -</P>
<P>　　[DATE:05,22,2006 TIME: 07:18 pm]11111"</P>
<P>　　HKEY_LOCAL_MACHINE\SOFTWARE\Soft\</P>
<P>　　HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\</P>
<P>　　HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\auto</P>
<P>　　值: "1"</P>
<P>　　5、病毒尝试终止相关杀病毒软件：</P>
<P>　　net stop "Kingsoft AntiVirus Service"</P>
<P>　　6、该病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。</P>
<P>　　注：%Windir%是一个可变路径。病毒通过查询操作系统来决定当前windir文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt，windows95/98/me/xp中默认的安装路径是C:\Windows</P>
<P>　　%Program files%是一个可变路径。病毒通过查询操作系统来决定当前Program files文件夹的位置。Windows操作系统中默认的安装路径是C:\Program Files。</P>
<P>　　% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。</P>
<P>　　清除方案 ：</P>
<P>　　手工清除请按照行为分析删除对应文件，恢复相关系统设置。</P>
<P>　　(1) 使用安天木马防线“进程管理”关闭病毒进程</P>
<P>　　(2) 删除病毒文件</P>
<P>　　系统根目录\_desktop.ini</P>
<P>　　系统盘根目录\1.txt</P>
<P>　　病毒所在目录\vDll.dll文件</P>
<P>　　%Windir%\rundll32.exe</P>
<P>　　%Program files%\_desktop.ini</P>
<P>　　%Windir%\0sy.exe</P>
<P>　　%Windir%\1sy.exe</P>
<P>　　(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项</P>
<P>　　HKEY_CURRENT_USER\Software\Microsoft\Windows NT</P>
<P>　　\CurrentVersion\Windows</P>
<P>　　键值: 字串: "load "="C:\WINDOWS\rundl132.exe"</P>
<P>　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft</P>
<P>　　\DownloadManager\</P>
<P>　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft</P>
<P>　　\Windows\ver_down0</P>
<P>　　值: dsfsfaa[Startup]..AppName=ATISoftwarer=sss</P>
<P>　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\</P>
<P>　　键值: 字串: "ver_down1"="COM+[7:18:32]: Setup started</P>
<P>　　- [DATE:05,22,2006 TIME: 07:18 pm]11111"</P>
<P>　　HKEY_LOCAL_MACHINE\SOFTWARE\Soft\</P>
<P>　　HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\</P>
<P>　　HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\auto</P>
<P>　　值: "1"</P> <BR>