又见维金变种，与此前的差不多，还是围着这几个rundl132.exe、logo_1.exe、vidll.dll、_desktop.ini来转圈，以下是简单分析
1、释放自身以及感染exe文件后生成
C:\WINDOWS\rundl132.exe
C:\WINDOWS\logo_1.exe
病毒所在目录\vidll.dll

2、添加注册表信息
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load" "C:\WINDOWS\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load" "C:\WINDOWS\rundl132.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"

3、感染部分exe文件，并在被感染exe文件所在目录释放_desktop.ini

4、修改hosts文件
C:\WINDOWS\system32\drivers\etc\hosts

5、vidll.dll插入到进程explorer.exe或iexplore.exe

6、停掉部分安全软件的进程

解决过程：

1、关闭rundl132.exe的进程，并删除
C:\WINDOWS\rundl132.exe

2、搜索找到并删除vidll.dll
可以通过SSM自动启动来禁用vidll.dll，重新启动后删除vidll.dll
或停止其插入的进程，再删除该dll文件,如果它插入了explorer.exe这个进程，那么
打开任务管理器（ALT+CTRL+Delete），结束掉explorer.exe这个进程，删除vidll.dll文件
然后用任务管理器上面的标签 文件＝＝＝新建任务＝＝＝浏览，找到并运行
C:\WINDOWS\Explorer.exe

3、删除其在注册表中创建的信息及其他病毒文件_desktop.ini、logo_1.exe

4、修复被更改的hosts文件，hosts文件用记事本打开
C:\WINDOWS\system32\drivers\etc\hosts

PS：
1、该病毒主要是通过弱口令、局域网共享、运行被感染exe文件等途径来进行传播的，所以需要打好系统补丁、关闭共享、对Administrator权限的密码进行强化等等，也可以说，关于此类病毒，防比治更重要！

2、对于其感染的exe文件，下面这段可以保存为批处理用于还原exe文件，根据实际情况，部分内容可能需要更改
:try1
Del "test.exe"
if exist "test.exe" goto try1
ren "test.exe.exe" "test.exe"
if exist "test.exe.exe" goto try2
"test.exe"
:try2
del "%Temp%\$$??.bat"

3、可以尝试较早以前几个杀软公司开发的维金专杀工具