为什么每天都会扫描到logo_1.exe和rundl123.exe

我的系统是win2000（机器连接在一局域网中）之前中了威金，我用了专杀工具和赛门铁克杀了，但是后来机器每天都会有拦截到logo_1.exe和rundl132.exe(威金释放的2个病毒）的报告，并且2个文件都可以被 隔离或者删除，只是每天都会拦截到，很烦人。希望能找到消灭病毒源的办法，大家研究一下。

威金蠕虫(Worm.Viking)

主要症状:
1、占用大量网速，使机器使用变得极慢。
2、会捆绑所有的EXE文件，只要一运用应用程序，在winnt/windows下的logo1.exe图标就会相应变成应用程序图标。
3、有时还会时而不时地弹出一些程序框，有时候应用程序一起动就出错，有时候起动了就被强行退出。

详细技术信息：

病毒运行后，在%Windir%生成 Logo1_.exe 同时会在windws根目录生成一个名为"virDll.dll"的文件。

%WinDir%\virDll.dll
该蠕虫会在系统注册表中生成如下键值：

[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]
"auto" = "1"

盗取密码

病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码，将游戏密码发送到该木马病毒的植入者手中。

阻止以下杀毒软件的运行

病毒试图终止包含下列进程的运行，这些多为杀毒软件的进程。 包括卡八斯基，金山公司的毒霸。瑞星等。98%的杀毒软件运行。

国产软件在中毒后都被病毒杀死，是病毒杀掉-杀毒软件。如金山，瑞星等。哪些软件可以认出病毒。但是认出后不久就阵亡了。

通过写入文本信息改变"%System%\drivers\etc\hosts" 文件。这就意味着，当受感染的计算机浏览许多站点时（包括众多反病毒站点），浏览器就会重定向到66.197.186.149。

病毒感染运行windows操作系统的计算机，并且通过开放的网络资源传播。一旦安装，蠕虫将会感染受感染计算机中的.exe文件。

网吧遭此病毒破坏造成大面积的卡机，瘫痪。危害程度可以和世界排名前十的爱情后门变种相比。该病毒可以通过网络传播，传播周期为3分钟。如果是新做的系统处于中了毒的网络环境内，只要那个机器一上网，3分钟内必定中招。中招后你安装 rising SkyNet Symantec McAfee Gate Rfw.exe RavMon.exe kill NAV 等杀毒软件 都无法补救你的系统，病毒文件 Logo1_.exe 为主体病毒，他自动生成病毒发作所需要的的 SWS32.DLL SWS.DLLL KILL.EXE 等文件。这些文件一但衍生。他将迅速感染系统内EXPLORE 等系统核心进程 及所以.exe 的可执行文件，外观典型表现症状为 传奇 ，泡泡堂，等游戏图标变色。 此时系统资源可用率极低，你每重新启动一次，病毒就会发作一次。

该病毒对于防范意识较弱，还原软件未能及时装到位的网吧十分致命，其网络传播速度十分快捷有效。旧版的杀毒软件无法检测，新版的无法彻底根杀。一但网吧内某台机器中了此病毒，那么该网吧所有未中毒的机器都处于危险状态。由于病毒发作贮留于内存。且通过EXPLORE.exe 进行传播。因此即使是装了还原精灵，还原卡的机器也同样会被感染。你重新启动后系统可以还原。但是你一但开机还是会被感染。

病毒发作会生成另外病毒 PWSteal.Lemir.Gen 和 trojan.psw.lineage 等等。都是些非常厉害的后门程序。和外挂病毒相似，但是其威力是外挂病毒的50倍以上。在WIN98平台下，该病毒威害比较小。在WIN2000 /XP/2003 平台对于网吧系统是致命的，运行系统极度卡机。你重新启动后你会发现你所有游戏的.EXE 程序全部都感染了，最新杀毒软件杀完后。除了系统可以勉强运行。其他的你也别想运行了。

病毒清理办法

如果在病毒没有发作情况下杀毒是可以完全搞定的。如果发作了也不要杀毒了。直接克盘恢复吧。

一、找到注册表中[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]
"auto" = "1"
删除DownloadWWW主键

二、找到
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot]
winlogo 项
把WINLOGO 项 后面的C:\WINNT\SWS32.DLL 删掉
接下来把[HKEY_LOCAL_MACHINE\SOFTWARE/Microsoft/Windows/CurrentVersion/Run]键中 /RunOnce/RunOnceEx 两个中其中有个是也是

C:\WINNT\SWS32.dll
把类似以上的全部删掉 注意不要删除默认的键值（删了的话后果自负）

如果没有以上键值，则直接跳过此步骤

三 结束进程

按“Ctrl+Alt+Del”键弹出任务管理器，找到logo1_.exe 等进程，结束进程，可以借助绿鹰的进程管理软件处理更方便。找到EXPL0RER.EXE进程（注意第5个字母是数字0不是字母O），找到它后选中它并点击“结束进程”以结束掉（如果EXPL0RER.EXE进程再次运行起来需要重做这一步）。

四 装杀毒软件

装完后不要重新启动（切记）直接升级病毒库，升级完后，把C:\winnt 目录下所有带毒文件删除。然后运行杀毒软件开始杀毒。杀完后。还有几个杀毒软件无法删掉的东西要把名字记下来。因为不同的系统有不同的名字。所以这里说不清楚了。自己记下来。,重新启动后再次杀毒。记的把可疑的进程的结束。否则杀毒软件无法干净杀毒。还有最重要的一点记的把杀毒软件无法清除的病毒设置为删除文件。一般要重复杀毒3-5次才能杀干净。

五 看看杀毒后的系统

缺少的了很多系统文件。系统处于危险状态。如果你有GHOST 备份。这个时候恢复一下。系统可以干净无损。如果没有请运行 SFC 命令检查文件系统。具体操作为 运行-输入CMD 命令进入DOS 提示符。-输入SFC /scannow -- 提示放入系统光盘。--放进去吧。然后慢慢等。看看成果。杀毒效果显著。毒杀干净了。但是杀完毒后很多游戏都玩不了。然后重新做系统吧。谁叫中毒的是网吧的系统

以上操作只是阻断传播，如果怕在使用中感染此病毒，您还需要按照如下操作，这样即使病毒感染，也不能运行主体病毒程序。当然这里说的操作实针对win2000系统的，其他的系统可以参考操作：

运行gpedit.msc 打开组策略依次单击用户配置- 管理模块- 系统-指定不给windows运行的程序点启用 然后 点显示 添加 logo1_.exe 也就是病毒的源文件。

开始－－运行－－gpedit.msc---用户配置－－－管理模板－－系统－－双击 不要运行指定的windows应用程序－－ 选启用－－显示－－点添加 把rundl132.exe ,logo_1.exe等添加进去就可以 这种病毒可以跳过杀毒软件，系统还原，等等。

这是中了VKING病毒了，RUNDL132.EXE的图标会是你系统中其它EXE文件的图标,杀毒吧,呵呵!

1、 先进入安全模式； 2、 进入各盘删除go.exe, autorun.inf两个文件，分别建立go.exe和autorun.inf两个文件夹，点击文件夹右键，将属性改为只读、存档、隐藏； 3、 进入c:\windows\system\目录，将logo_1.exe用unlocker.exe删除，同时把system32.vxd，system32.dat两个文件删除，同时还有1.exe,5.exe,7.exe,a1.exe,a123.exe,conime.exe都要删除！分别建立logo_1.exe和logo_1.exe。tmp两个文件夹，点击文件夹右键，将属性改为只读、存档、隐藏； 4、 进入注册表，就是开始－运行－regedit，用编辑－查找命令，搜索logo_1.exe，将如下选项删除， [hkey_local_machine\software\microsoft\windows\currentversion\run] [n/a] [hkey_local_machine\software\microsoft\windows\currentversion\policies\explorer\run] [n/a] 5、 点击重启，再次进入安全模式检查c:\windows\system\目录下是否还有logo_1.exe文件，不是你建的文件夹，如果有说明上面的步骤不彻底，只好重做，当然检查是否还有system32.vxd，system32.dat。如果没有，接着检查各盘下是否还有go.exe, autorun.inf文件，如果还是你建的文件夹，那么就留着它，这就是该病毒的免疫方法； 6、 重启进入正常模式，再检查一遍，应该没问题了； 7、 上网观察效果，如果没有异常，立马升级杀毒软件，全面杀毒，因为该病毒改动杀毒软件的某些功能，杀毒软件在染毒期间处于半瘫痪状态，查不出这个病毒感染过的执行文件，这一点很重要！ 8、 杀毒软件把感染过的文件也清除掉了，你就重装软件吧； 9、 如果不想做第8、9条的话，就等exe被感染的文件的专杀（修复）工具出现吧。