viking.ix，威金变种。染毒后，在系统目录下释放病毒文件： C:\\windows\\logo1_exe C:\\windows\\rundl132.exe C:\\windows\\dll.dll 修改注册表，实现开机自启。自动从黑客指定站点下载“天堂杀手”以及“QQ大盗（QQpass）”等10余种木马病毒，盗取包括天堂、征途、梦幻西游、传奇等多种流行网络游戏玩家密码以及QQ的用户名和密码。还会在每个文件夹下生成_desktop.ini文件。

病毒特点

病毒表现

病毒特点

该毒最大的“优点”就是会自动查找你硬盘上的一些EXE文件。（附加：这种worm类病毒曾在DOS下是很让人头疼的事，曾是一个dir就感染了整个目录。）这样一来，即使你清掉内存中的病毒也于事无补，因为你总要运行电脑上的exe文件。但是对容量超过100MB的EXE文件不进行感染。染毒后的EXE文件只要运行就会自动释放logo1_exe 、rundl132.exe、dll.dll 至%Windir%中，%Windir%默认为C:\\Windows或者C:\\Winnt。 同时染毒文件图标恢复正常。

病毒表现

1. 某些杀毒软件的实时监控无法启动(例如:瑞星的实时监控中心)

2. 部分图标变得模糊

3. 进程里面出现例如 Logo_1.exe , 0Sy.exe等莫名其妙的东西

4. C盘隐藏文件出现 _desktop.ini(隐藏文件)

5. 磁盘的autorun被修改，以至于双击磁盘盘符时提示出错

步骤一:

1.在安全模式下结束以下进程： logo1_.exe rundl132.exe(注意第六个为数字1而不是L) explorer.exe(清除内存和病毒生成的文件后，又观察了病毒的运行结果，发现病毒是在windows目录下生成vdll.dll，logo1_.exe，dl132.exe这三个文件。又经过实验，vdll.dll注入exeplorer.exe是由logo1_.exe来完成。病毒会在开机自动执行中加入rundl132.exe) 另外有类似OS.exe的进程也一并结束掉~~！

2.到windows目录删除"logo1_.exe"、"rundl132.exe"、"vdll.dll"文件！（注意这些进程都是隐藏的，需要把系统设置为“显示隐藏文件”，设置的方法：打开“我的电脑”； 依次打开菜单“工具/文件夹选项”；然后在弹出的“文件夹选项”对话框中切换到“查看”页； 去掉“隐藏受保护的操作系统文件(推荐)”前面的对钩，让它变为不选状态； 在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项； 去掉“隐藏已知文件类型的扩展名”前面的对钩，也让它变为不选状态；最后点击“确定”。 ）

3.运行 gpedit.msc 打开组策略,依次单击用户配置- 管理模块- 系统-指定不给windows运行的程序, 点启用 然后 点显示 添加 logo1_exe 也就是病毒的源文件

4.找到并删除%Windir%下的Logo1_.exe、rundl132.exe、vDll.dll文件，其中vDll.dll可能在其他目录中，%Windir%默认为C:\\Windows或者C:\\Winnt。

打开注册表，索引到HKEY_LOCAL_MACHINE\\Software\\Soft\\DownloadWWW，删除auto键值；

打开注册表，索引到HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\WIndows，删除load键值；

打开%system%\\drivers\\etc下hosts文件，删除“127.0.0.1 localhost”一行后所有内容；

5.在windows目录下新建文件："logo1_.exe"、"rundl132.exe"、"vdll.dll"并把属性设为“只读”，这样病毒也就无法运行了 现在你的电脑基本上说可以对该病毒免疫了，即使中了该病毒，它也发作不了啦！最后这一点不怎么好办那些应用程序都被感染了病毒，如果中了病毒，下次重启后，就会弹出来“rundl132.exe不是有效的应 用程序”和“无法加载注册表中c;\\windows\\rundl132.exe”的对话框 要么删除所有被感染的应用程序，然后从其它地方复制没感染病毒的过来，要么就是在搜索里用“*.exe”找出所有的exe文件，然后每个运行一下:L最后从注册表里找出“rundl132.exe”的启动项，删掉就OK了

步骤二：

先按照步骤一在安全模式下清除%Windir%中的病毒原文件,并进行初级免疫,然后利用专杀工具如江民的威金专杀,奇诺的Anti-Virus Tools 2007对染毒文件进行杀毒彻底清除病毒根源。