打印机自动打印日期,你中毒了!
 
有朋友遇到这种情况:
打印机很容易自动打印,出的是白纸,纸的左上角会有当天的日期显示。正常打印的时候,也会出了好几张空白的带日期的白纸,然后才打出所需的内容。
他以为是打印机设置的问题,其实,是中毒了。中的是维金病毒
 
综合了一下网络上的各种解决办法,大家可以各取所需。
 
可以先试试这个简单版本的办法,不行的话再试详细版本。
 
先结束这两个任务:logo1_.exe和rundl132.exe
关掉默认共享。(最好什么都别共享)
断网后,把windows目录里的logo1_.exe   rundl132.exe这两个删掉。
写一个批处理器把整个硬盘每个目录下的   _desktop.ini都删掉。
进入注册表:找到这一个项DisallowRun,把logo1_.exe  rundl132.exe   kill.dll等启动项删掉。其它地方可能还有它们的启动项,用查找方法删掉。
运行:msconfig   把rundl132.exe去掉。
有些exe图标已被感染,(图标变花了),建议重装这个软件。
 
以下是网友提供的一个详细版本,小生略有改动。
维金病毒(LOGO1_.EXE) 病毒的彻底清除方法
最近这种毒比较猖獗,常加载在某些网页当中,此病毒异常厉害,可关闭杀毒软件等防护进程,一发不可收拾。我是在BAIDU中搜索影片的时候,找到的一个网页,里面加载了这种病毒,真他X恶心,竟然在BAIDU搜索的第一页,所以请大家小心!!

  废话不多说,先介绍一下此病毒带来的东东!!
中了_desktop.ini,病毒的请进..专杀工具下载
该病毒为Windows平台下集成可执行文件感染、网络感染、通过网络下载***、后门程序或其它病毒的复合型病毒,病毒运行后将自身伪装成系统正常文件,以迷惑用户,通过修改注册表项使病毒开机时可以自动运行,同时病毒通过线程注入技术绕过防火墙的监视,连接到病毒作者指定的网站下载特定的***或其它病毒,同时病毒运行后枚举内网的所有可用共享,并尝试通过弱口令方式***其它机器,进而感染目标计算机。
运行过程过感染用户机器上的可执行文件,造成用户机器运行速度变慢,破坏用户机器的可执行文件,给用户安全性构成危害。
病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。
1、病毒运行后将自身复制到Windows文件夹下,文件名为:
  %Windir%\rundl132.exe
2、运行被感染的文件后,病毒将病毒体复制到为以下文件:
  %Windir%\logo_1.exe
3、同时病毒会在病毒文件夹下生成:
  %病毒当前目录下%\vidll.dll
4、病毒从Z盘开始向前搜索所有可用分区中的exe文件,然后感染所有大小27kb-10mb的可执行文件,感染完毕在被感染的文件夹中生成:
_desktop.ini (文件属性:系统、隐藏。)
5、病毒会尝试修改%SysRoot%\system32\drivers\etc\hosts文件。
6、病毒通过添加如下注册表项实现病毒开机自动运行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="%Windir%\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="%Windir%\rundl132.exe"
7、病毒运行时尝试查找窗体名为:"RavMonClass"的程序,查找到窗体后发送消息关闭该程序。
8、枚举以下杀毒软件进程名,查找到后终止其进程:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe
regsvc.exe
RavMon.exe
mcshield.exe
9、同时病毒尝试利用以下命令终止相关杀病毒软件:
net stop "Kingsoft AntiVirus Service"
这些都是这病毒到你机器中要干的,呵呵,真恶心,由于是下午中的,下班之后,我告诉我同事,叫他帮忙清理一下,我回家了,结果好家伙,把我整个C盘全格了,害的我几天的工作相当于白做(因为好多重要文件我都放在桌面,郁闷!),今天下午有空,就仔细研究了一下这病毒,顺便附上解决方法给大家,让大家心里有个低,遇到了也好解决。
 
第一种解决方法:全部格式化硬盘(此法不可取!呵呵)
第二种解决方法:
    一、找到注册表中[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]
"auto" = "1"
删除DownloadWWW主键
   二、找到
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot]
winlogo 项
把WINLOGO 项 后面的C:\WINNT\SWS32.DLL 删掉
接下来把HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/Run 键中 /RunOnce/RunOnceEx 两个中其中有个也是.
C:\WINNT\SWS32.dll
把类似以上的全部删掉 注意不要删除默认的键值(删了的话后果自负)
如果没有以上键值,则直接跳过此步骤
 
   三 结束进程
按“Ctrl+Alt+Del”键弹出任务管理器,找到logo1_.exe 等进程,结束进程,。找到EXPL0RER.EXE进程(注意第5个字母是数字0不是字母O),找到它后选中它并点击“结束进程”以结束掉(如果EXPL0RER.EXE进程再次运行起来需要重做这一步)。

第三种解决方法:
      如果你的电脑都可以独立的话,那就最好都断开网线
如果不是独立的,那就把那些共享的网盘或文件夹取消掉,尤其是不能在共享的网盘或文件夹上放*.exe的执行文件。
接下来杀毒:
1、在每台(断开网线)的电脑上新建一个文件文件,输入下面内容:
del c:\_desktop.ini /f/s/q/a
del d:\_desktop.ini /f/s/q/a
del e:\_desktop.ini /f/s/q/a
del f:\_desktop.ini /f/s/q/a
……
当然你的电脑要几个盘就自己加上去,输完后保存为BAT批处理文件,然后执行一下,用来删除此台电脑上每个文件夹里的隐藏文件_desktop.ini。
2、清理完后删除c:\winnt或c:\windows文件夹下的几个文件
logo_1.exe-此文件如删除不了,到安全模式删,还是不行,要到纯DOS下去删
vdll.dll或dll.dll
rundl132.exe--说明一下,这里后面三个是132(一三二),不是L32
1Sy.exe
2Sy.exe
Sy.exe
同时在开始-运行里输入 gpedit.msc 来打开组策略
  依次单击用户配置- 管理模块- 系统-指定不给windows运行的程序,点启用,然后点显示,添加logo1_exe 也就是病毒的源文件(也可以把上面要删除的几个都添加进去)。
3、删除注册表相关内容:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\rundl132.exe"
找到注册表中[hkey_local_machine\software\soft\downloadwww]
auto = 1
删除downloadwww主键
4、以进行以上三个过程中时,不要运行电脑上的任何*.exe执行文件,否则又会自动生成病毒文件的,最后就是用U盘拷贝最新的卡巴斯基6.0,并升级到最新的病毒库,进行电脑杀毒,包括关键区域和我的电脑,这在卡巴的界面上的扫描里有这两个选项。(主要是清除感染的*.exe文件中的病毒)这个病毒是可以清除的,清除掉后,那个感染的EXE文件还是可以正常用的,一点都不会破坏的。
第四种解决方法:
Viking(维金)病毒免疫器 v0.1
名   称:Viking 病毒免疫器
版   本:0.1
文件大小:1,341 字节
编写语言:MASM
压缩方式:FSG v2.0
运行平台:Win2k/xp/2003
文件MD5值:f7c3ae45e3d150aadcb614cc1c7f3d87
病毒分析报告:Analysis.txt(注:各变种版本可能会有所差异,本文档仅供参考)
相关文件说明:
AntiViking.exe.........................................免疫器主程序
Analysis.txt...........................................病毒分析文档
Readme.txt.............................................说明文档
说明:
  这段时间viking病毒闹的比较严重,在短时间内出现的变种版本也是很多的,于是乎做了这个小东西对该病毒进行免疫,这个工具主要用于防止在本机运行感染后的程序再对本地文件进行感染,目前还不支持直接运行病毒原体的情况的免疫:-((本想加个驱动进行对原体也进行免疫,但可能导致和其它反病毒软件冲突,所以放弃了)。关于防止运行病毒原体进行网络传播的方法:
1、去除弱口令,用以防止ipc、admin方式进行连接(这个都所有用户);
2、关闭网络共享(对于普通家庭用户);
3、开网络共享,但是设置为只读共享(对于网吧用户);
4、开网络共享,设置可写共享,但必须设置访问密码(对于特殊用户)。
运行AntiViking.exe后,程序会在Windows目录下生成Rundl132.exe和Logo1_.exe文件,同时程序会将自身加入以下注册表自启动项:
主键: [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
键值: AntiViking
程序的终止:使用进程管理器终止AntiVking.exe进程即可。
最后就是要打上补丁,劝大家及早打上补丁!!