1 确认打过这个补丁
（没打过就下载给装打印机的机器打补丁）
补丁(KB917537)(1)http://support.microsoft.com/kb/917537
提供一个下载地址:  http://bdedu.hfcas.ac.cn/Soft/ShowSoft.asp?SoftID=57

补丁（2）http://down1.tech.sina.com.cn/download/down_page/1125763200/17128.shtml

 (KB896423) （没打过就下载给装打印机的机器打补丁）>>点击下载

2 检查联打印机的所有机器 是否有威金病毒！（用手动清除或者专杀排查）

介绍专杀工具

1、江民专杀 “威金”专杀官方下载  http://kvup.jiangmin.com/download/VikingKiller.rar

注意：装了 AutoCAD的机器，可能无法使用该专杀，因为默认的SCR打开方式已经被AUTOCAD修改。系统默认的SCR是屏幕保护程序，是可以被执行的，江民正是利用这个特点。可以先修改默认的打开方式，方法：参考sreng

2、瑞星的提取工具 http://it.rising.com.cn/Channels/Service/2006-07/1153119832d22607.shtml

3、金山毒霸的专杀 http://db.kingsoft.com/download/3/246.shtml

4、民间专杀工具

（1） 民间专杀1 by MJ0011

流行感染EXE文件清除提取修复工具（威金、千橡等）
即.exe执行的时候生成一个同名的xxx~.exe，可以完美修复所有.exe可执行文件
目前版本： v1.7
使用办法： 选择目录或者文件夹扫描便可。没有什么好说的。
下载地址 http://www.newsmth.net/bbscon.php?bid=78&id=262837 <--随时更新

（2）民间专杀2
Viking的肆虐让很多受害者忍无可忍，更可气的是专业软件公司提供的专杀工具竟然无法彻底清除。
  无奈之余自己动手写了一个，请需要的朋友到这里下载：

http://www.chenoe.com/developer/library/abc.com by 魏滔序民间版

  该工具可以有效解除被感染的exe中的病毒并还原exe文件。网上的大部分工具是直接删除exe文件。还具有免疫功能。   
下载后直接运行即可查杀，如果查杀几次都有无法关闭的进程的，重新启动一下计算机继续查杀应该可以杀掉。直到病毒数为0时为止。
  另外提供该工具中结束进程部分的代码，结束进程一般采用TerminateProcess函数，但是对于比较顽固的进程就要用非常规的手段来Kill了。  我的方法是，先提高本程序为Debug级别的权限。再用TerminateProcess关闭，如果失败就枚举该进程中的线程并用TerminateThread关闭。然后再用TerminateProcess结束进程。这样就基本上可以关闭99％的非系统进程了。  还有，对于被注入了病毒dll的进程，要先枚举进程中的模块并判断。然后决定是否Kill，Kill方法同上。

(3) 民间专杀3 萧心（农夫） 可升级的专杀
介绍及下载详见 http://www.blogcn.com.cn/user1/525/archives/2006/66927.shtml

二、威金的手动清除的方法

可以这样：
先删除dll.dll(删除方法见置底)、log_1.exe、rundl123.exe等文件，或在安全模式下清除。
主要是dll.dll，这个文件会让windows的explorer.exe调用（这个传播方法较历害）。
然后根据病毒感染exe的特征，你可以用搜索查找所有的的*.exe文件，然后浏览一下文件，利用卡巴实时检测功能把查毒，清除（也可设置卡巴查杀配置，不过好几个选项，。。。）；最后执行如下命令清除病毒遗留文件：
如下命令 可以全选 用记事本保存成一个 killViking.bat 文件。

也可以一条一条的手动输入，开始菜单 运行 输入CMD回车，然后执行下面的每一条，按回车执行。

带echo , pause的可以忽略。

echo off
del %Windir%\ MH_FILE\ MH_DLL.dll
del %Windir%\MickNew\MickNew.dll
del %Windir%\TODAYZTKING\TODAYZTKING.DLL
del %Windir%\1.txt

del %Windir%\0Sy.exe
del %Windir%\1Sy.exe 
del %Windir%\2Sy.exe 
del %Windir%\rundl132.exe   
del %Windir%\vDll.dll 
del %Windir%\Dll.dll
del %Windir%\log_1.exe
del %Windir%\rundl123.exe

echo 正在清除_desktop.ini文件，请稍等......
del c:\_desktop.ini /f/s/q/a
del d:\_desktop.ini /f/s/q/a
del e:\_desktop.ini /f/s/q/a

echo 清除完毕！
pause

2、发信人: itrose (说不清楚), 信区: Virus
标  题: viking威金dll.dll变种暂时解决方案
发信站: 水木社区 (Tue Sep 12 18:59:31 2006), 站内

威金某变种,病毒文件:
c:\windows\rundl132.exe
c:\windows\dll.dll
在该文件夹下还可能有realplayer.exe excel.exe qq.exe等并不该出现的文件
此变种尚无专杀,我摸索出一种方法,目前看有效,请大家参考.
卸载WINRAR ,QQ,OFFICE,realplayer等知名软件,安全模式下删除上面提到的病毒文件.

3、总结

国内老牌的感染型蠕虫Worm.Viking变种正在国内快速传播中，金山、瑞星等国内反病毒厂商都对变种做了应急处理，小陌提醒广大国内用户紧快升级手中的杀毒软件来防范此家族的变种。

Viking家族的变种会感染pe文件，给中招用户带来不小麻烦，同时还具有网络感染、下载网络木马等其他功能。中招用户的典型特征为电脑中出现logo_1.exe、rundl132.exe文件。

同时该家族的Worm.Viking.i（瑞星Worm.Viking.bp）变种还通过qq尾巴传播，qq尾巴的形式：

h**p://www.qq.com.search_2.shtml.cgi-client-entry.photo.39pic.com/qq%E5%83%8F%E5%86%8C2/

以下是金山的报告：
 金山：Worm.Viking.m  http://vi.db.kingsoft.com/index.shtml?CODE=02&virusid=38415&action=viewgraph


病毒分析
病毒被激活后，释放以下文件： 
%SystemRoot%\rundl132.exe 
%SystemRoot%\logo_1.exe 
病毒目录\vdll.dll 

添加以下启动项： 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"load"="%SystemRoot%\rundl132.exe" 
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] 
"load"="%SystemRoot%\rundl132.exe" 

感染所有分区下大小27KB-10MB的可执行文件（但不感染系统文件夹和programe files文件夹下的文件），并在被感染的文件夹中生成_desktop.ini。文件如果发现这个东西的话，恭喜恭喜，估计十有八九已遭遇不幸了，并且感染后会造成一些网友说的“EXE文件图标花了” 

通过不安全的共享网络传播，网络可用时，枚举内网所有共享主机，并尝试用弱口令连接\IPC$、\admin$等共享目录，连接成功后进行网络感染。 

结束一些国内的反病毒软件进程，如毒霸，瑞星，木马客星等。 

vdll.dll注入Explorer或者Iexplore进程，当外网可用时，下载其他木马程序(如前段时间比较BT的红底黑色龙头图案的WINLOGON)。 

将拿到的几个样本文件看了下，其中rundl132.exe为病毒文件，VThunder为感染后的文件，Thunder为原文件。 
winhex将这3个文件打开，发现感染方式为“头寄生”，VThunder文件头被插入了rundl132的代码。 
rundl132.exe 
VThunder.exe 
Thunder.exe 
offset删除至00069E6后另存为，即可还原到原来的thunder了。 

在这里提醒大家，对这个病毒防范胜于查杀。目前，包括毒霸在内的部分杀软可以较好的处理感染后的EXE文件，但部分杀软采取的方法却是直接删除（如卡巴斯基），这可不是件好事。因此，小空建议你，及时升级你的杀软，并打开实时监控；安装一款防火墙；关闭不必要的网络共享；通过在线更新等给系统打好补丁；给管理员帐户加上足够强壮的密码；对于来历不名的文件不要随意运行。