W32/HLLP.Philis.j
不知道这个发布过了没。
我本人也在上个月中过了。斗争了2个星期，最后告败，只好格了硬盘。前面在跟YS PM的时候发现他也说中了威金，所以想提醒大家一下。

现在介绍一下这个病毒的症状，也好让各位有所了解

病毒名称：W32/HLLP.Philis.j
病毒性格：针对.exe文件，中毒后，该文件会比原来增加62,976 bytes。而且图标消失，但是并不影响该程序运行。并且散播病毒到所有的硬盘上，影响任何.exe文件。
在windows文件夹下创造一个Logo1_.exe执行文件，还会增加一个rundl132.exe文件在windows/uninstall下，以及virDll.dll。
另外在reg中增加了几个程序在开机时启动，具体文件自己看到了就明白了。都是temp下面的。
并且还会在增加一个HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW                  "auto" = 1

还会主动block以下几个防火墙程序。
RAVMON.EXE
ZONEALARM
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE

除以下情况外。不能对加过密码的Admin或者用户帐号进行散播。
以及文件路径中包含以下字符的
System
System32
Windows
Document and Settings
System Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
Netmeeting
Common Files
Messenger
Microsoft Office
InstallShield
Installation Information
MSN Microsoft
Frontpage
Movie Maker
MSN Gaming Zone

===================================================================

解决方法：

如果已经被散播的一塌糊涂了的话。
1。直接format把所有的中毒文件全删了。
2。为了避免再中，重装后立即给自己的账号加密码。
3。start->run->gpedit.msc, user configuration->administrative template->system, Do not run specific windows application, choose enable, click on show, add -> Logo1_.exe ->ok, add -> rundl132.exe -> ok.
4。安装一个杀毒软件，如果不高兴也可以装一个杀木马软件如(ewideo)，防火墙随便。

如果还没有散播的很厉害，只是发现有这个现象
1。查杀所有被影响文件
2。给自己的账户加密
3。gpedit照上面的作。
4。regedit，删除 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面一切可疑文件，如果不懂就算了
5。关闭system restore,升级你的杀毒软件。


好运。

还好,很久没中招了

怪不得最近上q很少见到刚刚

葡萄,从你头像里匀几部手机玩玩先

中招了。。我向来懒得杀毒，除非能5分钟内手工搞定（没任何杀毒和查毒软件以及防火墙……）
发现中招后，安全模式，删了源文件，重启根本无效。

2分钟GHOST恢复以下，正常，却发现D盘N多工具没图标了（类似熊猫烧香），随便运行个，果然再次中招，搜索以下，处理方式都很麻烦。懒得折腾，直接GHOST再恢复，在没毒的情况下删除了所有没图标的EXE。顺便打了微软的官方补丁，搞定，手工，总共历时10分钟，比杀毒查毒快多了。
P.S我工具基本都打包备份的，删除的EXE解压覆盖就行了，保存工具记录的INI和TXT不感染的……

中文补丁地址如下：（TNND我装的英文系统，还不能用这个补丁，找了半天才找到英文补丁，就不提供了，估计只有刚刚在用英文系统吧）

http://download.microsoft.com/download/6/2/2/62259943-9b98-4521-bc18-7139cc5e877f/WindowsXP-KB917537-x86-CHS.exe

补充。。。
1，基本只感染10M以下的EXE
2，部分EXE不受感染，例如QQ和FLASH XP还有VSTART等
3，此病毒很少单独发作的，一般症状是木马群，出现LOGO1，和其他很多怪异进程，杀起来麻烦死……

我第一次中的时候根本不知道那是什么，就感觉电脑很卡，知道后已经全军覆没了……………………

很久没中过病毒了，深表同情。

N久没中毒过了，继续飘～

我也很奇怪是哪里中来这个破病毒的。不过我QQ和MSN不上1个月是因为我之前本本上的硬盘挂了。后来修好后，也懒得重装了，跟病毒无关。

借地方问一下
开机到出现桌面一秒钟就死机是什么情况？
所谓一秒钟，就是鼠标还能动一下就定住了
如果什么都不动也是死，键盘也无反应，按Ctrl+Alt+Del也没反应
我没有杀毒软件，上安全模式看了看也没发现可疑文件（以前有两次中毒发现C盘或者其他盘打开后都有病毒文件，删了就好）
我现在就是用安全模式上的网……

看看你HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面是否有什么程序出问题了。
还有你的机箱电源，风扇啥的都工作正常？
如果问题没有解决的，请另外开贴，好让其他朋友一起来帮忙。

开机除了有之前非正常关机的一个检测过程，其他的都正常，没感觉哪有问题
看了一下注册表
就觉得有两个以前在设置开机启动时以前没什么印象
  名称                   类型                   数据
（默认）            REG_SZ               （数值未设置）
load                     REG_SZ               C:\WINDOWS\uninstall\rundl132.exe
不知道是否有问题？

[ 本帖最后由 玩无止境 于 2007-4-21 04:00 PM 编辑 ]

貌似是威金，可能是你之前没杀干净

我确实看见有个rundl132.exe文件在windows/uninstall下
但是如果是病毒文件，恢复系统后应该就不会存在了啊
但是我怎么恢复都死机

你说的恢复系统是指系统还原还是重装？
非系统盘中毒同样有可能重新感染新装的系统

实在杀不了就FORMAT吧

参照我的方式吧。。。。先删除了所有没图标的EXE。然后重装

对于那个rundl132.exe的杀法可以去gpedit.msc中禁止掉，或者找个比较NB的杀毒/杀木马软件来吧。

我先在安全模式下删除rundl132.exe，然后进msconfig把启动项的rundl132禁止
现在暂时能用了，看看过两天怎么样