经过了两天的日夜奋战，今天凌晨时终于把viking变种完全搞定。在之前在这里

我也曾发过贴求助，但没有正确答案。所以在这里我把总结出的经验分享一下。
以下是我前两天的遭遇：
一次上网过后发现了一些可疑的进程。使用ecq-ps进程王来查看它们的路径，有

些是病毒文件。有些则是通过正常系统进程如“svchost.exe csrss.exe“等作为

勾子运行的dll和sys文件，我心里又想，这些小毛毒又来了，（我的系统装于04

年，一直使用至今，中过无数次病毒，都被我统统搞定了，心想这次又来一个杀

一个，来两个杀一双吧）。我用的双系统，重启进win98的dos手动删除以上路径

的文件，再进winxp，删除以上文件相关的注册表键值。再进服务里边检查一下发

现病毒残留的服务项目，还伪装得很好的。描述还和正常服务一个模样，什么管

理系统应用程序的128位密钥传输的许可证服务。看了我都想笑。不过再看看源路

径(文件名忘了)和依存关系，就露陷了。心想麻外行还可以。。二话不说

machine\system\currentcontrol\sevices\下揪出来删！
重启，观察进程。一切恢复正常。喝口水。看会网络电视休息了。。可是就在这

时真正的死神出现了。系统进程里突然暴出NN多病毒进程。瑞星也被关闭了，有

些是刚才的有些不是。我慌了。先删除染毒的瑞星。(是昨天才升级的最新版啊）

急忙用刚才的方法反复查杀多次，但每次启动后不久又会出现。。。且在98的纯

dos下删除病毒文件时提示access denied（拒绝访问）时应该是内存驻留型的。

于是冷启动再用windowsPE启动盘启动光盘里的PE操作系统，我想，PE内核都不一

样，我看你还咱办。于是在PE里边删除病毒文件，果然这次启动进程恢复正常了

。恢复完注册表。我就打开讯雷看一下我下载的工具软件，结果，又中标了。。

。我开始总结：应该是把EXE文件感染了。不然怎么会无端多出些病毒进程出来。

于是仔细看目录，发现被感染的exe文件下有exe.exe扩展名的文件，比如是

acdsee.exe就会有acdsee.exe.exe并且文件图标丢失（不是网上说的那种在同目

录下生成_desktop.ini文件，那是老版维金。我这个也有_desktop.ini，不过在

c:\下，而且在D盘还会生成autorun.inf 及iexplorer.pif文件) 于是删除所有

*.exe.exe文件，再次光盘启动删毒。这下进程虽然又恢复正常了。但是桌面上大

多数的图标变成白的了。。心想这下完了，病毒感染了大多数exe文件。很多年没

有遇到这样了。我又不敢启动这些程序，一启动包又中标，于是我安卡巴。安了6

。0307，升级最新，安全模式下扫，正常模式下扫。。扫不出一点东西。又安6。

04XX 还安5XXbeta最新的了，中英文都安过了，，扫不出。。。。。。。。。怒

火！！！！（网上明明说卡巴扫得到的，我想都是针对旧版维金吧）于是再来卖

咖啡(mcafee)，在线升级mcafee,扫描。。。结果卖咖啡也卖不脱。。。暴怒！！

！！再于是找到金山、瑞星的专杀工具来，也是一个扫不到。。。狂怒！！！！

。。我看了一下win98se\setup.exe的文件大小，和源光盘里的文件比较足足多了

近60K。而且每个受感染的文件都同样多了近60K ，证明感染的是都是vking！！

。。。江民的专杀工具能杀，不过还好我点停止点得快。。。因为我看了一下，

它的所谓杀大多数都是删除！！！删除了我好几个exe文件呢。就算保留，保留下

来的也是不能运行的僵尸文件。什么exe修复机根本不顶用。一边凉快！！

这下完了。绝望。这么多exe文件，打死我也不愿意格盘删'除。

在网上看了一下维金的免疫方法。突然想起什么。。经过自己内心激烈的思想斗

争于是作出了以下决定：

我做了个试验,先将C盘做了个ghost,然后双击一个感染文件,系统进程出现

viking,然后被双击这个exe文件图标,大小恢复正常.进程里首先出来三个文件。

ghost恢复恢复。。这下有点眉目了
就是在病毒原有目录下建一些0字节txt文件,改成病毒进程名,如:logon_1.exe 伪

装一下,把它们改成只读,然后一个一个的点exe文件,让EXE文件中的异常代码释放

入内存，再结束相应进程
说干就干。仿照先前三个文件在c:\windows\建立 logon_1.exe richdll.dll （

有些维金版本不是这个dll名字，变种有不同。路径也不同。但原理相同）再在

C:\windows\unistall下建立 RUNDL132.exe ，设只读
找出所有exe文件，网上说过只感染27Kb到10mb的exe文件，可我的10多20mb的文

件也中标了，再次证明不是网上说的那种viking。。。开始 一 一双击释放。。

。。。就这样。。。就这样。。它们快乐地流浪，就这样。它们为爱歌唱。。。

狼爱上。。。。啪！！完了跑题挨臭鸡蛋了。
*.*
不是。。我只是形容一下上千个文件一 一打开的漫长。。过了几个小时后。终于

完成。。舒展下酸痛的腰。。重建图标缓存。。。。冷启动。。。
。。。。。。。。大功告成。。。至此。全部viking一个不留

已经很久没有这样fighting过了
经过了这么长时间的周旋。已经对这个变种病毒的原理有初步了解。以下列出本

人总结出的该病毒特征及清除方案：
viking"维金"病毒 变种
应该算一个木马。互联网高度发展的产物
首先在被种植机器的系统盘下\windows目录下生成logon_1.exe RUNDL132.exe 还

有一个dll文件，我的是richdll.dll，还有网上说的dll.dll vtd.dll什么五花八

门的，反正就是dll文件,并加载入系统进程。删除不掉.
这些文件相互关联，结束进程并删除后马上又会出现。
自动禁用杀毒防火墙，并且感染防火墙文件
然后调用net share 命令打开$ipc命名管道共享。以传播到局域网上其它机器上.
释放出诸如rundll32.com services.exe finder.com iexplore.pif regedit.com

dxdiag.com
msconfig.com mhs.exe等文件,并修改注册表exe文件，网站链接，scr文件，未知

（打开方式）文件，等常用文件的关联为iexplore.pif或以上的其它某个病毒程

序.将exe文件改为自创的winfile文件类型，从而让每个exe文件运行时同时调用

病毒，这招太狠了；更改文件查找检索方式关联为finder.com ；把原本用

rundll32.exe文件调用的程序，如网上邻居属性，通过注册表改为带有

rundll32.com的命令行。在 Hkey_local_machine或

hkey_current_user\software\microsoft\windows\currentversion\run键值下添

加名为load等字样的木马加载项。在currentversion\logon下也有。。。另外还

改了些其它键值，这些只是较明显的。
检测可用驱动器。在其中生成_desktop.ini 或autorun.inf iexplore.pif 让双

击操作变为“自动播放病毒”所以只能右击打开了。。。
最最可恨的就是感染所有驱动器上大于大约27KB的exe文件。加上约60KB的数据，

文件图标丢失，目的在于被清除病毒后通过exe文件复活，当调用该句柄时自我释

放为logon_1.exe rundl132.exe
并且恢复exe文件以便让它正常运行。。。
同时会自动从网上下载多达几十种其它类型的病毒，QQ盗号木马，热门网络游戏

木马。至此，taskmgr任务管理器一团糟。。
因为木马众多会影响清除效率及难度，内存占用超大，危险系数也大。这点不得

不佩服。。

如果你的系统有以上状况，那么请follow they step:
首先你断开internet网,删除杀毒软件。因为它已被病毒感染，它在内存里只是添

麻烦而已

重新安装杀毒软件，比较可以的有卡巴斯基、mcafee、江民，推荐用卡巴，安完

马上重启。不要停留不然新的杀软会又中标的。安全模式下因为不能启用msiexec

所以很多软件安不了
冷启动或关机，拨电源也可，待光电鼠标灯不亮了再开机（呵呵太夸张了)
进入带网络连接的安全模式，（如果不能上网就还是进正常模式），用文件夹选

项里面打开显示所有文件；取消隐藏系统文件复选框，选中显示已知文件扩展名

；下载viking专杀工具，这里推荐江民的。下载"瑞星卡卡助手"用于以后修复注

册表，如果为exe文件最好改下后缀名。以后运行时再改回来。升级杀毒软件为最

新版。升了马上重启进入纯安全模式，只运行系统盘扫描。扫到的病毒名及路径

用笔记下来。
冷启动。。光盘或U盘启动dos，查找刚才记下来那些文件，有就删。我用的是

windowsPE启动盘启动。所以免去了dos命令带来的麻烦，最主要要找到并删除上

文说到的那些文件，这里很关键，一定要仔细找。
进入安全模式，运行regedit.exe （记住一定要输入.exe，因为如果没删干净，

exe文件会被再度被作为winfile文件类型中的病毒命令行打开。）
按ctrl+f查找以上述文件的文件名的键值删除。
进入正常模式，这时可能因为杀毒引起不能上网了，用刚才下载的“瑞星卡卡助

手”修复IE和注册表吧。顺便也扫一下刚才可能viking下载有的其它木马及残留

（切记不要启动宽带拨号程序，因为Enternet500这类拨号程序己被感染，如果是

xp下的默认拨号，也最好不要去动）
接下来进程应该干净了，就要处理被感染的exe文件了，如果你不想要这些文件可

以选择直接用专查工具把它们杀烂，或查找直接删除，还省了下边的步骤。因为

以下步骤最安全但容易累死人
仿制logon_1.exe rundl132.exe richdll.dll
新建文本文档.txt，建三个，分别改为以上三个文件名。并且设为只读。放在平

时它们感染的目录下。目录位置上文己提及。目的用于免疫，防止染毒exe文件释

放出同名病毒文件。
也可使用gpedit.msc，组策略中用户配置\管理模板\系统\不要运行windows程序

中，启用并添加logon_1.exe
rundl132.exe
也可使用mcafee杀毒软件中的文件规则，禁止在硬盘中新建*.exe *.com 文件
后两种限制方法我没试过，但理论上说是成立的
接下来按顺序分别查找每个盘上的exe文件。按大小排列结果，降序排列。旁边打

开个任务管理器窗口，记下任务条目及数量。如进程数：22
双击空白图标exe文件，注意任务管理器变化。例：如果双击game.exe则， 已染

毒现象：任务管理器会多出一个进程叫game.exe 这时你再双击。或反复再双击。

会看到又会多出game.exe，如果是基于16位兼容模式的程序，会出现一个ntvdm的

进程，不影响，可结束。稍后你可能会发现net 和 net1 进程一闪而过，持续不

到1秒，而后出现一个或多个cmd进程。这时请结束所有game.exe,cmd进程也会结

束。病毒从内存中得到释放。可以再次双击如果不再产生cmd进程或能恢复正常图

标，或能正常运行，证明该文件不再带毒。第二种情况：game.exe一会自动消失
或每双击一次多出一个game.exe而没其它进程。说明此文件未被感染
一个一个分区，一个一个文件的测试。修复。当然，你要是烦了，可以将不重要

的文件放一边。专心找自己心爱的exe文件。反正剩下的不重要的exe文件就留给

江民专杀来杀烂得了。。无所谓
辛苦工作完成后，也不必要重启，打开江民专杀来清理漏网之鱼吧。
查毒软推荐使用Mcafee（卖咖啡），查毒功能较强，且最强最具特色最实用之处

在于他可以像设置IP安全策略那样设置禁止任何类型文件的建立，写入，修改，

甚至读取！！，这在我们访问不可信站点或发现有木马苗头的时候大有帮助。即

使查不出来我也不准你建文件改文件！强吧？？
缺点就是占用内存资源太高，优化版的我都发现有七个进程。。晕。。。鱼和熊

掌不可兼得啊。。
写了这么多，我尽量想到的都想到了。我曾如此辛苦，故不希望大家都绕弯路。

但愿对大家有所帮助。
最后发表我的一点看法，杀毒软件只是一个辅助工具。每个厂商的杀软都有优点

有缺点。很多人就是把杀软看成无敌的了。认为中了毒，清一色杀毒扫描的做法

。其实，很多时候甚至是心理安慰，障眼法。。我是从dos时代一路走来的，中过

多种病毒。看到老师们用pctools及debug手动杀过不少毒，总结出：手动才是王

道！！手动万岁。。
在E时代，我们要发扬取长补短的做法，把杀软的效率化，全面化，结合人工的仔

细，灵活。这样才能尽心尽力像对待生活那样对待电脑