这么复杂的东东都中，最近真是不爽啊，发现的时候电脑已经身中多个木马病毒，病毒的安装文件自己都下载到本机上了，实在太猖狂了，杀了半天，因为感染了系统的.exe文件，删除之后，系统就挂掉了，无奈之下，只好重装系统，没想到系统刚装上就又中，实在太快，还来不及装什么防火墙，杀毒软件的，估计局域网这个病毒已泛滥，好在仅仅就这一个，处理了一下，控制住了。处理的方式就是按照下面提到的病毒文件，进入安全模式后删除。（如果你的系统文件已经被感染了，建议在使用杀毒软件是特别留心一下，注意删除的是哪些文件，从其他好的机器复制过来，不然就和我一样，忘了就只好重装了）

处理过程：（不会用注册表的先下载装个雅虎助手）

1、（开机的时候不断按F8）进入安全模式，打开系统目录（在c:\winnt\ ,xp在c:\windows\，system32目录下最好也检查一下） ，按“详细信息”方式查看，按时间倒排序，这样最近被修改的文件很快就可以看到，删除以下文件rundl132.exe(注意第5个是数字1而不是字母l) vdll.dll dll.dll log_1.exe(和这个名字接近的也删掉)

2、打开注册表，删除 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 中的不正常启动，如包含rundll32.exe 的内容

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\WINNT\rundl132.exe"
（如果不常使用注册表可以先安装一个雅虎助手，选择“强力修复”来处理）

找到注册表中[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]  删除DownloadWWW主键 （这个雅虎助手处理不了）

3、搜索电脑，查询条件为“*desktop.ini”，删除所有搜索到的“_desktop.ini”(注意，有个“_”下划线)文件。

4、搜索电脑中名为“安装”的文件夹，打开，查看里面是否是一堆的可执行的安装文件，如果有，你的电脑应该已经加中了其他木马，hoho,按照下面提到的木马逐个去杀吧，实在很痛苦，其中好像有个落雪木马 smss（winlogon），可以参考我的另外一篇blog的smss病毒处理办法，有专杀工具的。

好了，重新启动电脑，基本搞定。

http://www.motoyi.com/Down/Specialized/200705/Down_20.shtml这是威金蠕虫的专杀工具，我杀完之后，用这个查了一下，已经查不出了，当然你也可以试试直接用这个专杀工具杀哈，不过不知管不管用。

以下是这个病毒的有关资料 :

该病毒同时具有文件型病毒、蠕虫病毒、病毒下载器等类病毒的特点，进入用户的电脑之后，它会从网上疯狂下载多个木马、QQ尾巴等安装在中毒电脑中，窃取用户的网络游戏密码，严重时造成系统完全崩溃。

通过QQ自动发送如下消息：
看看啊. 我最近的照片~ 才扫描到QQ象册上的 ^_^ !h**p://www.qq.com.search_2.shtml.cgi-client-entry.photo.39pic.com/qq%E5%83%8F%E5%86%8C4/
看LOG时注意到rundl132.exe这个文件，此外，某个杀软会不断提示logo_1.exe这个东西。

病毒被激活后，释放以下文件：
%SystemRoot%\rundl132.exe
%SystemRoot%\logo_1.exe
病毒目录\vdll.dll

添加以下启动项：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\WINNT\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\WINNT\rundl132.exe"

感染所有分区下大小27KB-10MB的可执行文件（但不感染系统文件夹和programe files文件夹下的文件），并在被感染的文件夹中生成_desktop.ini。文件如果发现这个东西的话，恭喜恭喜，估计十有八九已遭遇不幸了感染后会造成一些网友说的“EXE文件图标花了”

通过不安全的共享网络传播，网络可用时，枚举内网所有共享主机，并尝试用弱口令连接\\IPC$、\admin$等共享目录，连接成功后进行网络感染。

结束一些国内的反病毒软件进程，如毒霸，瑞星，木马客星等。

vdll.dll注入Explorer或者Iexplore进程，当外网可用时，下载其他木马程序。

对这个病毒防范胜于查杀。部分杀软对感染该病毒的EXE文件采取的方法是直接删除，这可不是件好事，及时升级你的杀软，并打开实时监控；安装一款防火墙；关闭不必要的网络共享；通过在线更新等给系统打好补丁；给管理员帐户加上足够强壮的密码；对于来历不名的文件不要随意运行。

样本文件共三个，如下，其中rundl132.exe为病毒文件，VThunder为感染后的文件，Thunder为原文件。
winhex将这3个文件打开，发现感染方式为“头寄生”，VThunder文件头被插入了rundl132的代码。offset删除至00069E6后另存为，即可还原到原来的thunder了。