昨天晚上因为被威金的新变种感染,所以就研究了一整个晚上,直到现在为止还没有睡觉
昨天晚上发的求助贴http://forum.ikaka.com/topic.asp?board=28&artid=8209838。此变种威金跟之前的威金不一样,其RUNDL123.EXE不再是在WINDOWS文件夹下,而是在WINDOWS\UNINSTALL下,而且生成的.DLL是RICHDLL.DLL文件。本人的电脑里只装诺吨10.0和MACFEE这两款杀软,此时诺吨10.0对此变种的威金主文件不能检测是病毒,而MACFEE确能把RUNDL123.EXE杀掉,但是LOGO1_.EXE就检测不到是病毒,不知道是不是我的这两个杀软也被威金感染到的缘故,所以检测不到LOGO1_.EXE是病毒。
而且发现此威金病毒与之前的威金病毒有不同之处,就是之前的都会在每个文件夹下声称_desktop.ini,而这个威金病毒却不是,只是生成在系统盘跟目录下;之前的威金都把所有的.EXE都变成模糊的图标,而这个却不是,只是把图标变空白了。
其中已经用金山与瑞星的专杀都无法检测,还用非杀软业界出的威金专杀,是范贤义制作,也都无法修复被感染的文件,不是修复不了,而是检测不到被感染的文件,看来以上的工具只能是对付老威金了。但是本人并未安装瑞星,金山,江民,咔吧等杀软来测试,也不知道这些杀软能不能杀。
以下办法只是适合有重要文件而不想删除的人,适合有终生学习精神的人,因为以下办法很费时间,鼠标不停的点到烦死人。
杀法如下:
第一:要安装MACFEE杀软,然后在MACFEE的主程序里的“有害程序策略”里的“用户定义的检测”添加logo1.exe和RICHDLL.DLL,既然MACFEE能检测到RUNDL123.EXE,所以就不能添加RUNDL123.EXE这个了。
以上做法是要释放被威金感染的.EXE的代码,当释放后MACFEE就能直接把以上的文件都杀掉,当然正常的那个.EXE不会有事。
第二:在未杀的时候,先要将MACFEE设置密码,因为威金LOGO1_.EXE出来的话,MACFEE会自动禁用监控,所以要设置密码。
以上的目的是:当MACFEE发现病毒是,不会被病毒所强行停止监控,MACFEE监控一但停止,那么之前所做的功夫就白费了,因为还会再次感染所有.EXE,我就是做了几次试验后才发觉的。
第三:利用系统自带的搜索来搜索除系统盘外的.EXE,还要搜索系统盘里的Program Files文件夹。
第四:在搜索到的.EXE文件,只要有图标的就不用理会,只要没有图标的,也就是只是中间空白的就需要点击,当点击后,MACFEE就会弹出病毒的消息筐,显示的是删除。
你会发现其中有写.EXE文件后面还有多出一个.EXE后缀,而且杀的时候要注意任务管理器的程序,不要不停的点击,因为任务管理器里程序一多,就会有死机的迹象,而且还会发现没点击一个.EXE文件都会在任务管理器里出现一两个CMD.EXE程序。
附件:
35062220061114113233.jpg 
