Logo_1.exe

Logo_1.exe是一個電腦病毒檔案,感染後還會釋放一個同名檔案後輟為 .exe.tmp。

運行樣本

釋放檔案

C:\WINDOWS\system\logo_1.exe

C:\WINDOWS\system\SYSTEM32.vxd

C:\WINDOWS\system\SYSTEM32.dat

每個盤根目錄下生成

X:\go.exe

X:\autorun.inf

寫入註冊表

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]

"ntaskldr"="C:\WINDOWS\system\logo_1.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ntaskldr"="C:\WINDOWS\system\logo_1.exe"

最噁心的部分介紹下..

logo_1.exe 運行後 調用 cmd.exe 執行命令 cmd.exe /c dir X:\*.exe /s /b >>C:\WINDOWS\system\SYSTEM32.vxd.dat

X為某個盤..

運行命令後感染X盤裡的所有 .exe 檔案...

感染後還會釋放一個同名檔案後輟為 .exe.tmp

system volume information

recycled

這倆個資料夾內的.exe檔案..感染後釋放的同名檔案後輟為 .exe.dat

如果中毒的電腦打開 我的電腦 時.. logo_1.exe 會連網下載⒏個木馬程式..

分別為:

C:\WINDOWS\system\jwm.exe

C:\WINDOWS\system\mhh.exe

C:\WINDOWS\system\ztd.exe

C:\WINDOWS\system\mir.exe

C:\WINDOWS\system\wo3.exe

C:\WINDOWS\system\ienet.exe

C:\WINDOWS\system\wol.exe

C:\WINDOWS\system\wll.exe

被感染的檔案..頭部寫入: 19,738 位元組 尾部寫入:5 位元組

地址=00407F80

反彙編=MOV EDX,2_.0040847C

文本字串=瑞星 卡巴 金山 諾盾 愛老虎油!!!!!!

作者留下的..

作者:mopery

清除指南

1. 防毒前關閉系統還原(Win2000系統可以忽略):右鍵 我的電腦 ,屬性,系統還原,在所有驅動器上關閉系統還原 打勾即可。

清除IE的臨時檔案:打開IE 點工具-->Internet選項 : Internet臨時檔案,點“刪除檔案”按鈕 ,將 刪除所有脫機內容 打勾,點確定刪除。

2.用強制刪除工具 PowerRMV

分別填入下面的檔案(包括完整的路徑) ,勾選“抑止殺滅對象再次生成”,點殺滅

C:\WINDOWS\system\logo_1.exe

C:\WINDOWS\system\SYSTEM32.vxd

C:\WINDOWS\system\SYSTEM32.dat

C:\WINDOWS\system\jwm.exe

C:\WINDOWS\system\mhh.exe

C:\WINDOWS\system\ztd.exe

C:\WINDOWS\system\mir.exe

C:\WINDOWS\system\wo3.exe

C:\WINDOWS\system\ienet.exe

C:\WINDOWS\system\wol.exe

C:\WINDOWS\system\wll.exe

C:\Autorun.inf

C:\go.exe

D:\Autorun.inf

D:\go.exe

E:\Autorun.inf

E:\go.exe

F:\Autorun.inf

F:\go.exe

如果還有G H盤等依次輸入

G:\autorun.inf

G:\go.exe 等。不再贅述。

重啟計算機 然後再進入安全模式執行如下的操作

--------------------------------------------------------------

以下的操作都要求安全模式下進行。

[安全模式?重啟電腦時按住F8 選擇進入安全模式]

--------------------------------------------------------------

3. 用工具 SREng 刪除如下各項

【如下操作有風險,必須看懂上面的方法再操作。】

啟動項目 -->註冊表 的如下項

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

<ntaskldr><C:\WINDOWS\system\logo_1.exe> [N/A]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]

<ntaskldr><C:\WINDOWS\system\logo_1.exe> [N/A]

4、EXE被感染的檔案的專殺(修復)工具製作中,將第一時間發布。

請收藏本網址,以備查看。

相關詞條

相關搜尋

熱門詞條

聯絡我們