logo1_.exe病毒如何解决
发布网友
发布时间:2022-04-24 12:47
共4个回答
懂视网
时间:2022-04-24 17:08
中了“logo1_.exe”病毒请上网查找相关清除方法,本工具只是清除被感染文件里面的病毒,因没有太多时间,没做注册表自动恢复功能;)
中毒的现象:会在所有含有exe文件的目录下建立一个隐藏的“_desktop.ini”文件,里面记录了病毒感染的日期。如果删除该文件,病毒会重复感染已感染的应用程序并重新生成“_desktop.ini”文件;很多被病毒感染的应用程序会出现很模糊的ICO图标。
网上传说该病毒每三分钟活动一次哦,还说新装的机器在带毒的网络工作,三分钟之内就会被遭毒手,装新系统的朋友小心了。
为防止不小心的朋友运行病毒文件,我已经将“.exe”后缀去掉了。大家可以添加“.exe”后缀名对比杀毒前和杀毒后的ICO图标变换情况。
再次提醒:未使用本工具清除“病毒样本”里的病毒之前,千万别运行“病毒样本”程序。否则马上中标 :D
保存为:Logo1_Kill.js运行即可
代码如下:
TaskKill("logo1_.exe");
TaskKill("rundl132.exe");
var window, lstKill, pnlScan, form1 = new Form;
form1.Run();
function Form()
{
var IE = WSH.GetObject("", "InternetExplorer.Application");
IE.ToolBar = 0;
IE.StatusBar = 0;
IE.Width = 350;
IE.Height = 360;
IE.Navigate("about:blank");
var document = IE.document;
document.body.scroll = "no";
document.body.style.font = "9pt 宋体";
window = document.frames;
document.body.charset = "gb2312";
document.bgColor = "menu";
document.body.style.border = 0;
document.title = "Logo1_.exe 病毒清除工具";
this.Run = function()
{
var btnKill = new Button("清除病毒");
var filebox = new FileBox;
var grpScan = new Group;
var grpKill = new Group("快速清除病毒");
var dirPath = new TextBox;
var btnScan = new Button("开始扫描");
pnlScan = new Panel;
lstKill = new ListBox;
dirPath.value = "D:\";
grpScan.Text.data = "目录扫描";
pnlScan.Text.data = "准备就绪";
lstKill.style.width = "100%";
lstKill.style.height = "2in";
AddControl(grpKill);
grpKill.Add(filebox);
grpKill.Add(btnKill);
AddControl(grpScan);
grpScan.Add(dirPath);
grpScan.Add(btnScan);
grpScan.Add(pnlScan);
grpScan.Add(lstKill);
btnKill.onclick = btnKill_Clicked;
btnScan.onclick = btnScan_Clicked;
IE.Visible = true;
try
{
while(!window.closed)
{
if(btnScan.disabled)
{
try
{
var FSO = new ActiveXObject("Scripting.FileSystemObject");
var Folder = FSO.getFolder(dirPath.value);
FolderList(Folder);
}
catch(err)
{
window.alert(err.message);
}
btnScan.disabled = false;
window.alert("扫描完成。");
}
WSH.Sleep(1000);
}
}
catch(err)
{}
function btnKill_Clicked()
{
var FilePath = filebox.value;
if(FilePath && Check(FilePath))
{
if(window.confirm("发现病毒,是否清除?"))
{
try
{
Backup(FilePath);
}
catch(Err){}
while(Check(FilePath)) Clear(FilePath);
window.alert("清除了一个病毒。");
}
}
else
{
window.alert("未发现病毒。");
}
}
function btnScan_Clicked()
{
while(lstKill.options.length) lstKill.options.remove(0);
btnScan.disabled = true;
}
}
function AddControl(obj)
{
document.body.appendChild(obj);
}
function FileBox()
{
var obj = document.createElement("input");
obj.type = "file";
return obj;
}
function Button(text)
{
var obj = document.createElement("input");
obj.type = "button";
obj.value = text;
return obj;
}
function TextBox()
{
return document.createElement("input");
}
function Panel()
{
var Div = document.createElement("div");
Div.Add = function(Obj)
{
this.appendChild(Obj);
}
Div.Text = document.createTextNode();
Div.Add(Div.Text);
Div.style.overflow = "hidden";
return Div;
}
function Group(Title)
{
var fieldset = document.createElement("fieldset");
var legend = document.createElement("legend");
fieldset.Text = document.createTextNode();
fieldset.Text.data = Title;
legend.appendChild(fieldset.Text);
fieldset.Add = function(Obj)
{
this.appendChild(Obj);
}
fieldset.Add(legend);
fieldset.style.marginBottom = "2mm";
return fieldset;
}
function ListBox()
{
var select = document.createElement("select");
select.multiple = true;
select.Add = function(text)
{
var opt = window.Option(text);
select.options.add(opt);
}
return select;
}
}
function TaskKill(Process)
{
var WinMgmts = GetObject("WinMgmts://127.0.0.1");
var ProcList = WinMgmts.ExecQuery("select * from win32_process");
var ProcList = new Enumerator(ProcList);
while(!ProcList.atEnd())
{
if(ProcList.item().Name.toLowerCase() == Process.toLowerCase())
ProcList.item().terminate();
ProcList.moveNext();
}
}
function Check(SourcePath)
{
var Code = "MZKERNEL32.DLLx00x00LoadLibraryAx00x00x00x00GetProcAddressx00x00|x00x00BKwdwing@";
var Stream = new ActiveXObject("Adodb.Stream");
Stream.Open();
Stream.Charset = "gb2312";
Stream.LoadFromFile(SourcePath);
var Body = Stream.ReadText(60);
Stream.Close();
Body = Body.replace(/[sS]x00x00BK/, "|x00x00BK");
return Body == Code;
}
function Clear(SourcePath)
{
var Stream = new ActiveXObject("Adodb.Stream");
Stream.Open();
Stream.LoadFromFile(SourcePath);
var Body = Stream.ReadText(500 * 1024);
Stream.Close();
var Match = "";
while(Match.length < 21) Match += "x00";
Match += "MZ";
var C = 0, Temp = "";
while(C< Body.length && Temp.indexOf(Match) <0)
{
var Uni = Body.substr(C, 1000);
C += 1000;
Temp += Decode(Uni);
}
var Position = Temp.indexOf(Match) + 21;
Stream.Type = 1;
Stream.Open();
Stream.LoadFromFile(SourcePath);
Stream.Position = Position;
Body = Stream.Read();
Stream.Position = 0;
Stream.SetEOS();
Stream.Write(Body);
Stream.SaveToFile(SourcePath, 2);
Stream.Close();
}
function Backup(SourcePath)
{
var FSO = new ActiveXObject("Scripting.FileSystemObject");
var File = FSO.GetFile(SourcePath);
File.Copy(SourcePath + ".logo1_vir", false);
}
function Decode(text)
{
return text.replace(/([u0000-uffff])/g, function($1)
{
var uni = $1.charCodeAt(0).toString(16);
while(uni.length < 4) uni = "0" + uni;
uni = uni.replace(/(w{2})(w{2})/g, "%$2%$1");
return unescape(uni);
});
}
function ScanFiles(Folder)
{
var Files = new Enumerator(Folder.Files);
while(!Files.atEnd())
{
if(Files.item().Name.slice(-4).toLowerCase() == ".exe")
{
var Path = Files.item().Path;
pnlScan.Text.data = Path;
if(Check(Path))
{
try
{
Backup(Path);
}
catch(err){}
while(Check(Path)) Clear(Path);
lstKill.Add(Path + " (OK)");
}
WSH.Sleep(50);
}
Files.moveNext();
}
}
function FolderList(Folder)
{
ScanFiles(Folder);
var Folders = new Enumerator(Folder.SubFolders);
WSH.Sleep(50);
while(!Folders.atEnd())
{
if(Folders.item().Path.match(/\/g).length > 255) continue;
pnlScan.Text.data = Folders.item().Path + "\";
FolderList(Folders.item());
Folders.moveNext();
}
}
热心网友
时间:2022-04-24 14:16
*的Logo1_.exe病毒关于 Logo1_.exe(W32/HLLP.Philis.g trojan.pwsteal.gen ) 病毒解决方案及免疫补丁的制作!
W32/HLLP.Philis.g 病毒,最近发作比较平繁。造成好多朋友网吧遭此病毒破坏造成大面积的卡机,瘫痪。我查遍了好多病毒,和自己收集的病毒样本做了比较,发现此病毒极度*。危害程度可以和世界排名前十的爱情后门变种相比。该病毒可以通过网络传播,传播周期为3分钟。如果是新做的系统处于中了毒的网络环境内,只要那个机器一上网,3分钟内必定中招。中招后你安装 rising SkyNet Symantec McAfee Gate Rfw.exe RavMon.exe kill NAV 等杀毒软件 都无法补救你的系统,病毒文件 Logo1_.exe 为主体病毒,他自动生成病毒发作所需要的的 SWS32.DLL SWS.DLLL KILL.EXE 等文件。这些文件一但衍生。他将迅速感染系统内EXPLORE 等系统核心进程 及所以.exe 的可执行文件,外观典型表现症状为传奇 ,泡泡堂,等游戏图标变色。 此时系统资源可用率极低,你每重新启动一次,病毒就会发作一次,重新启动5次后系统基本崩溃。
该病毒对于防范意识较弱,还原软件未能及时装到位的网吧十分致命,其网络传播速度十分快捷有效。旧版的杀毒软件无法检测,新版的无法彻底根杀。一但网吧内某台机器中了此病毒,那么该网吧所有未中毒的机器都处于危险状态。由于病毒发作贮留于内存。且通过EXPLORE.exe 进行传播。因此即使是装了还原精灵,还原卡的机器也同样会被感染。你重新启动后系统可以还原。但是你一但开机还是会被感染。
logo1_.exe( W32/HLLP.Philis.g) 病毒发作会生成另外几中病毒 PWSteal.Lemir.Gen 和 trojan.psw.lineage 等等。都是些非常厉害的后门程序。和外挂病毒相似,但是其威力是外挂病毒的50倍以上。在WIN98平台下,改病毒威害比较小。在WIN2000 /XP/2003 平台对于网吧系统是致命的
关于此病毒的技术报告如下
病毒名称:W32/HLLP.Philis.g 或者 (用著名杀毒软件麦咖啡(MACFEE )检测结果,其他杀毒软件检测为 trojan类木马
病毒类型:木马程序
病毒长度:随机的
受影响的系统:Windows /98/NT/2000/XP/2003
病毒特征:
假如你手动运行logo1_.exe 你的系统就GAMEOVER了。运行系统极度卡机。你重新启动后你会发现你所有游戏的.EXE 程序全部都感染了。用
最新杀毒软件杀完后。除了系统可以勉强运行。其他的你也别想运行了。
1 病毒体 C:\winnt 目录下logo1_.exe 。KILL.EXE sws32.dll 等文件是病毒发作后的文件。 2、生成病毒文件
病毒运行后,在c:\winnt 下自己拷贝生成病毒文件,文件的名称是可变,根据不同的变种相应有不同的名称。好像一共有5个文件。其中
由3个是.exe 2 个是.DLL 文件。其中有KILL.EXE 等。具体的记不大清楚了。
3、修改注册表
病毒对注册表进行修改,在 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot]
winlogo 项和
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和
[HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/中添加键值=%System%(其中,和为可变的),使得在 下次系统启动时,病毒可随之自动运行。
4、盗取密码
病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码,将游戏密码发送到该木马病毒的植入者手中。
5、阻止以下杀毒软件的运行
病毒试图终止包含下列进程的运行,这些多为杀毒软件的进程。 包括卡八斯基,金山公司的毒霸。瑞星等。98%的杀毒软件运行。
国产软件在中毒后都被病毒杀死,是病毒杀掉-杀毒软件。如金山,瑞星等。哪些软件可以认出病毒。但是认出后不久就阵亡了。。本人一 直都支持国产,但是在电脑和手机方面就没办法支持了。郁闷 中~~~
进程如下 :
rising
SkyNet
Symantec
McAfee
Gate
Rfw.exe
RavMon.exe
kill
NAV
KAV
LAST 最后说一下解决方案 都是本人个人经验 有不足之处还请各位多多补充。
先下载好你认为比较好的杀毒软件。此时不要安装。就是安装了也是白安装。所有软件安装后很快就被感染。这里不推荐使用金山,瑞星,江明,SPANT 等。推荐使用卡八斯基5.0版 和我最喜欢的麦咖啡杀毒软件。
请先去把系统设置为“显示隐藏文件”,因为病毒以隐藏属性伪装,不做此设置将无法看到它,设置的方法如下
打开“我的电脑”;
依次打开菜单“工具/文件夹选项”;
然后在弹出的“文件夹选项”对话框中切换到“查看”页;
去掉“隐藏受保护的操作系统文件(推荐)”前面的对钩,让它变为不选状态;
在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项;
去掉“隐藏已知文件类型的扩展名”前面的对钩,也让它变为不选状态;
最后点击“确定”。
二、修改注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot]winlogo 项
把WINLOGO 项 后面的C:\WINNT\SWS32.DLL 干掉(就是删掉的意思^_^)
接下来把HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/Run 键中 /RunOnce/RunOnceEx 两个中其中有个是也是
C:\WINNT\SWS32.dll
把类似以上的全部删掉 注意不要删除默认的键值(删了的话后果自负)
三 结束进程
按“Ctrl+Alt+Del”键弹出任务管理器,找到SWS32 进程,名字记不大清楚了,反正看到最多的进程就杀杀杀!!!!还有几个很少看到的进程。什么AUS***之类的都干掉他。找到EXPL0RER.EXE进程(注意第5个字母是数字0不是字母O),找到它后选中它并点击“结束进程”以结束掉木马进程。然后迅速做下面一步,只所以要迅速是因为如果动作慢的话,木马可能会自动恢复而再次运行起来,这样就无法删除掉其他木马文件了(如果EXPL0RER.EXE进程再次运行起来需要重做这一步)。
四 装杀毒软件
装完后不要重新启动(切记)直接升级病毒库,升级完后,把C:\winnt 目录下所有带毒文件删除。然后运行杀毒软件开始杀毒。
杀完后。还有几个杀毒软件无法删掉的东西要把名字记下来。因为不同的系统有不同的名字。所以这里说不清楚了。自己记下来。
重新启动后再次杀毒。记的把可疑的进程的结束。否则杀毒软件无法干净杀毒。还有最重要的一点记的把杀毒软件无法清除的病毒设置为删除文件。一般要重复杀毒3-5次才能杀干净。
五。看看杀毒后的系统。
缺少的了很多系统文件。系统处于危险状态。如果你有GHOST 备份。这个时候恢复一下。系统可以干净无损。如果没有请运行 SFC 命令检查文件系统。具体操作为 运行-输入CMD 命令进入DOS 提示符。-输入SFC /scannow -- 提示放入系统光盘。--放进去吧。然后慢慢等。
看看成果。杀毒效果显著。毒杀干净了。但是杀完毒后很多游戏都玩不了。忙了一圈都不知道自己在忙什么。郁闷吧。然后重新做系统吧。谁叫中毒的是网吧的系统。
PS:如果在病毒没有发作情况下杀毒是可以完全搞定的。如果发作了也不要杀毒了。直接克盘恢复吧。
在短短的28小时内我接到3个网吧老板的电话。。。。。。。。做技术员真命苦。。。。。。
这是本人第一次写这么长的资料。也是忙碌1年半后潜水1年半后。重新的回到技术员的身份(以前我经常发招聘的帖。不过PS哦我不是老板,招人都是帮朋友招的。我还是网管是大家的同行和朋友)。爱情后门,爱情后门变种。FUNLOVE 变种等病毒曾经把我朋友弄的网吧一度处于停业状态。写此文的目的就是希望大家同行群策群力做好预防工作。最好能够自己写出个免疫补丁。希望所有人的技术都在进步~~~~网星祝福所有网管兄弟天天开心。
PS:做系统的时候把默认共享关闭。关闭IPC$ ADMIN$ 关闭554 关闭ICMP路由。给ADMINISTRATOR 组所有成员设置密码。最好数字加英文(爱情后门病毒可以**简单的密码而进行大规模的快速传播)。 关闭了这些服务加上杀毒软件。LOGO1.exe 基本上拿你没折了。但是如果是批量克盘 建议客户机不要使用卡八等杀毒软件。克盘时网线拔掉,克好盘要迅速装好还原精灵 。为什么要迅速,不用我说了吧。
辛辛苦苦写的手都酸了。。天不知觉的也亮起来了。。。。转贴时希望大家珍惜我的劳动成果。经过一段时间的观察,我找到了可以改病毒的免疫补丁(只适用于没有感染该病毒或者已经感染该病毒但是没有发作的机器)其实很简单只要每次开机删除病毒体文件 LOGO1_1.exe 那么即使感染了该病毒的机器也可以救回来。用这个方法本人救活了2家网吧180台机器。目前为止情况正常。
LOGO1_.exe 免疫补丁制作如下:
1 编写批处理文件。开机自动删除logo1_.exe 作用是即使中了该病毒,由于开机后自动删除该病毒。那么该病毒永远无法发作。
批处理文件内容如下:
del c:\winnt\logo1_.exe (就这一行。先保存为记事本,然后保存为.bat的批处理文件。
2 设置改批处理开机自动运行。
修改注册表 加入以下项
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"auto"="E:\\网络游戏\\auto.bat"
把上端文本保存为 .REG 文件。然后导入注册表。{ E:\\网络游戏\\auto.bat } 该路径为你刚刚编写批处理所在的目录。很重要。
好了到此为止你可以安心睡觉去了。。不用再怕那可恶的LOGO1_.exe 了。。
本人再次强调一点。如果该病毒已经在你电脑里发作了。那么还是不要去救了。。直接重新克盘吧。
如果没有发作。那么用上面方法可以救活你的电脑。判断依据是 看看网络游戏图标有没有变色。还有
c:\winnt 目录下有没有KILL.exe sws.dll sws32.dll 文件。
热心网友
时间:2022-04-24 15:34
W32/HLLP.Philis.g 病毒,最近发作比较平繁。造成好多朋友网吧遭此病毒破坏造成大面积的卡机,瘫痪。我查遍了好多病毒,和自己收集的病毒样本做了比较,发现此病毒极度*。危害程度可以和世界排名前十的爱情后门变种相比。该病毒可以通过网络传播,传播周期为3分钟。如果是新做的系统处于中了毒的网络环境内,只要那个机器一上网,3分钟内必定中招。中招后你安装 rising SkyNet Symantec McAfee Gate Rfw.exe RavMon.exe kill NAV 等杀毒软件 都无法补救你的系统,病毒文件 Logo1_.exe 为主体病毒,他自动生成病毒发作所需要的的 SWS32.DLL SWS.DLLL KILL.EXE 等文件。这些文件一但衍生。他将迅速感染系统内EXPLORE 等系统核心进程 及所以.exe 的可执行文件,外观典型表现症状为传奇 ,泡泡堂,等游戏图标变色。 此时系统资源可用率极低,你每重新启动一次,病毒就会发作一次,重新启动5次后系统基本崩溃。
该病毒对于防范意识较弱,还原软件未能及时装到位的网吧十分致命,其网络传播速度十分快捷有效。旧版的杀毒软件无法检测,新版的无法彻底根杀。一但网吧内某台机器中了此病毒,那么该网吧所有未中毒的机器都处于危险状态。由于病毒发作贮留于内存。且通过EXPLORE.exe 进行传播。因此即使是装了还原精灵,还原卡的机器也同样会被感染。你重新启动后系统可以还原。但是你一但开机还是会被感染。
logo1_.exe( W32/HLLP.Philis.g) 病毒发作会生成另外几中病毒 PWSteal.Lemir.Gen 和 trojan.psw.lineage 等等。都是些非常厉害的后门程序。和外挂病毒相似,但是其威力是外挂病毒的50倍以上。在WIN98平台下,改病毒威害比较小。在WIN2000 /XP/2003 平台对于网吧系统是致命的
关于此病毒的技术报告如下
病毒名称:W32/HLLP.Philis.g 或者 (用著名杀毒软件麦咖啡(MACFEE )检测结果,其他杀毒软件检测为 trojan类木马
病毒类型:木马程序
病毒长度:随机的
受影响的系统:Windows /98/NT/2000/XP/2003
病毒特征:
假如你手动运行logo1_.exe 你的系统就GAMEOVER了。运行系统极度卡机。你重新启动后你会发现你所有游戏的.EXE 程序全部都感染了。用
最新杀毒软件杀完后。除了系统可以勉强运行。其他的你也别想运行了。
1 病毒体 C:\winnt 目录下logo1_.exe 。KILL.EXE sws32.dll 等文件是病毒发作后的文件。 2、生成病毒文件
病毒运行后,在c:\winnt 下自己拷贝生成病毒文件,文件的名称是可变,根据不同的变种相应有不同的名称。好像一共有5个文件。其中
由3个是.exe 2 个是.DLL 文件。其中有KILL.EXE 等。具体的记不大清楚了。
3、修改注册表
病毒对注册表进行修改,在 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot]
winlogo 项和
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和
[HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/中添加键值=%System%(其中,和为可变的),使得在 下次系统启动时,病毒可随之自动运行。
4、盗取密码
病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码,将游戏密码发送到该木马病毒的植入者手中。
5、阻止以下杀毒软件的运行
病毒试图终止包含下列进程的运行,这些多为杀毒软件的进程。 包括卡八斯基,金山公司的毒霸。瑞星等。98%的杀毒软件运行。
国产软件在中毒后都被病毒杀死,是病毒杀掉-杀毒软件。如金山,瑞星等。哪些软件可以认出病毒。但是认出后不久就阵亡了。。本人一 直都支持国产,但是在电脑和手机方面就没办法支持了。郁闷 中~~~
进程如下 :
rising
SkyNet
Symantec
McAfee
Gate
Rfw.exe
RavMon.exe
kill
NAV
KAV
LAST 最后说一下解决方案 都是本人个人经验 有不足之处还请各位多多补充。
先下载好你认为比较好的杀毒软件。此时不要安装。就是安装了也是白安装。所有软件安装后很快就被感染。这里不推荐使用金山,瑞星,江明,SPANT 等。推荐使用卡八斯基5.0版 和我最喜欢的麦咖啡杀毒软件。
请先去把系统设置为“显示隐藏文件”,因为病毒以隐藏属性伪装,不做此设置将无法看到它,设置的方法如下
打开“我的电脑”;
依次打开菜单“工具/文件夹选项”;
然后在弹出的“文件夹选项”对话框中切换到“查看”页;
去掉“隐藏受保护的操作系统文件(推荐)”前面的对钩,让它变为不选状态;
在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项;
去掉“隐藏已知文件类型的扩展名”前面的对钩,也让它变为不选状态;
最后点击“确定”。
二、修改注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot]winlogo 项
把WINLOGO 项 后面的C:\WINNT\SWS32.DLL 干掉(就是删掉的意思^_^)
接下来把HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/Run 键中 /RunOnce/RunOnceEx 两个中其中有个是也是
C:\WINNT\SWS32.dll
把类似以上的全部删掉 注意不要删除默认的键值(删了的话后果自负)
三 结束进程
按“Ctrl+Alt+Del”键弹出任务管理器,找到SWS32 进程,名字记不大清楚了,反正看到最多的进程就杀杀杀!!!!还有几个很少看到的进程。什么AUS***之类的都干掉他。找到EXPL0RER.EXE进程(注意第5个字母是数字0不是字母O),找到它后选中它并点击“结束进程”以结束掉木马进程。然后迅速做下面一步,只所以要迅速是因为如果动作慢的话,木马可能会自动恢复而再次运行起来,这样就无法删除掉其他木马文件了(如果EXPL0RER.EXE进程再次运行起来需要重做这一步)。
四 装杀毒软件
装完后不要重新启动(切记)直接升级病毒库,升级完后,把C:\winnt 目录下所有带毒文件删除。然后运行杀毒软件开始杀毒。
杀完后。还有几个杀毒软件无法删掉的东西要把名字记下来。因为不同的系统有不同的名字。所以这里说不清楚了。自己记下来。
重新启动后再次杀毒。记的把可疑的进程的结束。否则杀毒软件无法干净杀毒。还有最重要的一点记的把杀毒软件无法清除的病毒设置为删除文件。一般要重复杀毒3-5次才能杀干净。
五。看看杀毒后的系统。
缺少的了很多系统文件。系统处于危险状态。如果你有GHOST 备份。这个时候恢复一下。系统可以干净无损。如果没有请运行 SFC 命令检查文件系统。具体操作为 运行-输入CMD 命令进入DOS 提示符。-输入SFC /scannow -- 提示放入系统光盘。--放进去吧。然后慢慢等。
看看成果。杀毒效果显著。毒杀干净了。但是杀完毒后很多游戏都玩不了。忙了一圈都不知道自己在忙什么。郁闷吧。然后重新做系统吧。谁叫中毒的是网吧的系统。
PS:如果在病毒没有发作情况下杀毒是可以完全搞定的。如果发作了也不要杀毒了。直接克盘恢复吧。
在短短的28小时内我接到3个网吧老板的电话。。。。。。。。做技术员真命苦。。。。。。
这是本人第一次写这么长的资料。也是忙碌1年半后潜水1年半后。重新的回到技术员的身份(以前我经常发招聘的帖。不过PS哦我不是老板,招人都是帮朋友招的。我还是网管是大家的同行和朋友)。爱情后门,爱情后门变种。FUNLOVE 变种等病毒曾经把我朋友弄的网吧一度处于停业状态。写此文的目的就是希望大家同行群策群力做好预防工作。最好能够自己写出个免疫补丁。希望所有人的技术都在进步~~~~网星祝福所有网管兄弟天天开心。
PS:做系统的时候把默认共享关闭。关闭IPC$ ADMIN$ 关闭554 关闭ICMP路由。给ADMINISTRATOR 组所有成员设置密码。最好数字加英文(爱情后门病毒可以**简单的密码而进行大规模的快速传播)。 关闭了这些服务加上杀毒软件。LOGO1.exe 基本上拿你没折了。但是如果是批量克盘 建议客户机不要使用卡八等杀毒软件。克盘时网线拔掉,克好盘要迅速装好还原精灵 。为什么要迅速,不用我说了吧。
辛辛苦苦写的手都酸了。。天不知觉的也亮起来了。。。。转贴时希望大家珍惜我的劳动成果。经过一段时间的观察,我找到了可以改病毒的免疫补丁(只适用于没有感染该病毒或者已经感染该病毒但是没有发作的机器)其实很简单只要每次开机删除病毒体文件 LOGO1_1.exe 那么即使感染了该病毒的机器也可以救回来。用这个方法本人救活了2家网吧180台机器。目前为止情况正常。
LOGO1_.exe 免疫补丁制作如下:
1 编写批处理文件。开机自动删除logo1_.exe 作用是即使中了该病毒,由于开机后自动删除该病毒。那么该病毒永远无法发作。
批处理文件内容如下:
del c:\winnt\logo1_.exe (就这一行。先保存为记事本,然后保存为.bat的批处理文件。
2 设置改批处理开机自动运行。
修改注册表 加入以下项
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"auto"="E:\\网络游戏\\auto.bat"
把上端文本保存为 .REG 文件。然后导入注册表。{ E:\\网络游戏\\auto.bat } 该路径为你刚刚编写批处理所在的目录。很重要。
好了到此为止你可以安心睡觉去了。。不用再怕那可恶的LOGO1_.exe 了。。
本人再次强调一点。如果该病毒已经在你电脑里发作了。那么还是不要去救了。。直接重新克盘吧。
如果没有发作。那么用上面方法可以救活你的电脑。判断依据是
热心网友
时间:2022-04-24 17:09
http://www.jps8.com/Article/networksafe/200702/Article_20070201140033_5824.html
一:logo1_.exe病毒分析
打开你的电脑,在任务栏里点击右键,选择任务管理器,如果你发现有一个logo1_.exe的进程,那么很不信啊,你的电脑中了威金病毒了。写这个病毒的人算是比较厉害的。下面我们看看这个病毒的表现吧。Viking变种 rundl132.exe Logo1_.exe RichDll.dll 解决方案
档案编号:CISRT2006070
病毒名称:Worm.Win32.Viking.bv(Kaspersky)
病毒别名:Worm.Viking.cz.57089(毒霸)
Worm.Viking.eu(瑞星)
病毒大小:57,089 字节
加壳方式:N/A
样本MD5:4d86b211bf98a21f8a4d9f7b9e7d8dd4
样本SHA1:0f2bac5df8ce9cde15dd8d7f147977799d02634c
发现时间:2006.11
更新时间:2006.11
关联病毒:
传播方式:通过恶意网页传播、其它木马下载
技术分析
Viking的一个变种,产生的文件位置和“传统”的有些不同。
运行后复制自身到系统目录下:
%Windows%\uninstall\rundl132.exe
释放dll注入Explorer.exe或iexplore.exe进程:
%Windows%\RichDll.dll
创建启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="%Windows%\uninstall\rundl132.exe"
调用命令停止金山毒霸旧版本服务:
net stop "Kingsoft Antivirus Service"
遍历目录感染exe文件,将自身*在被感染exe文件前端(不感染部分系统文件和程序文件),并在所到目录下生成_desktop.ini文件,内容是感染日期,如2006/11/15。
设置注册表信息:
[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"
尝试从guajfskajiw.43242.com下载其它病毒或恶意程序。
被感染文件运行后会在系统目录生成文件:
%Windows%\Logo1_.exe
Logo1_.exe常驻内存,并释放%Temp%\$$??.bat“还原”被感染文件,bat内容为:
:try1
Del "被感染文件.exe"
if exist "被感染文件.exe" goto try1
ren "被感染文件.exe.exe" "原文件.exe"
if exist "被感染文件.exe.exe" goto try2
"原文件.exe"
:try2
del "%Temp%\$$??.bat"
1 病毒体 C:\winnt 目录下logo1_.exe 。KILL.EXE sws32.dll 等文件是病毒发作后的文件。
2、生成病毒文件
病毒运行后,在c:\winnt 下自己拷贝生成病毒文件,文件的名称是可变,根据不同的变种相应有不同的名称。好像一共有5个文件。其中由3个是.exe 2 个是.DLL 文件。其中有KILL.EXE 等。具体的记不大清楚了。
3、修改注册表
病毒对注册表进行修改,在 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\IniFileMapping\system.ini\boot] winlogo 项和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和[HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/中添加键值=%System%(其中,和为可变的),使得在下次 系统启动时,病毒可随之自动运行。
4、盗取密码
病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码,将游戏密码发送到该木马病毒的植入者手中。
5、阻止以下杀毒软件的运行
病毒试图终止包含下列进程的运行,这些多为杀毒软件的进程。 包括卡八斯基,金山公司的毒霸。瑞星等。98%的杀毒软件运行。
国产软件在中毒后都被病毒杀死,是病毒杀掉-杀毒软件。如金山,瑞星等。哪些软件可以认出病毒。但是认出后不久就阵亡了。。本人一 直都支持国产,但是在电脑和手机方面就没办法支持了。郁闷 中~~~
进程如下 :
rising
SkyNet
Symantec
McAfee
Gate
Rfw.exe
RavMon.exe
kill
NAV
KAV
二、 解决方法。病毒专杀logo1_.exe专杀。
1.在杀毒软件可以正常工作的情况下,将你的杀毒软件升级到最新版本,重启计算机后按F8进入安全模式下全盘查杀病毒。
2.完成步骤1或者步骤1无法完成时,分别下载以下专杀工具依次在安全模式下运行查杀病毒:
1)农夫山泉有点甜写的VIKING病毒专杀工具
下载地址和使用说明:http://hi.baidu.com/dnxk/blog/item/8330db80aa1553d79123d918.html
2)瑞星公司出的VIKING病毒专杀工具
下载地址见http://it.rising.com.cn/Channels/Service/2006-07/1153119832d22607.shtml
3)江民公司出的VIKING病毒专杀工具
下载地址:http://www.jiangmin.com/download/VikingKiller.exe
下载完成后请在线更新到最新版本。
4)金山公司出的VIKING病毒专杀工具
下载地址见:http://tool.ba.net/zhuansha/246.shtml
5)安天实验室出的VIKING病毒专杀工具
适用系统:WIN 2000/XP/2003 大小:164K
说明:安天实验室发布针对近期高危流行威金(维金)病毒的专杀工具,此专杀工具可以清除所有威金(维金)变种,可以恢复被感染的EXE文件,并附带U盘免疫功能。
下载地址:http://www.antiy.com/download/KillViking.zip
3.如果步骤1和2仍不能彻底清除病毒,建议重新格式化全部磁盘后重新安装操作系统。重新安装好操作系统后不要急于联网,要安装好杀毒软件和防火墙后,进行必要的安全设置(详见反病毒可能需要用到的方法及操作:http://bbs.kingsoft.com/viewthread.php?fid=3162&tid=15451563&extra=page%3D1及http://hi.baidu.com/dnxk/blog/item/40c3b877b6ca8c1bb151b943.html),然后联网,用WINDOWS UPDATE打全系统补丁。
对于感染病毒后无法运行的可执行文件,需要重新下载或复制。
关于修复被病毒感染的EXE文件,请查看下文:
无须重新格式化所有分区,就能修复被威金感染的.EXE文件
http://forum.ikaka.com/topic.asp?board=28&artid=8210101
查杀要点:
1)局域网内的计算机感染此病毒后,首先应断开网络连接
2)设置复杂的帐户密码,停用多余帐户
3)关闭网络共享
4)感染病毒的计算机应完全隔离,不要从染毒计算机复制任何文件
参考资料:http://www.jps8.com/Article/networksafe/200702/Article_20070201140033_5824.html
