logo1_.exe
關於 logo1_.exe基本介紹:
病毒名稱:[email protected]
病毒別名:virus.win32.delf.62976 , w32/hllp.philis.j ,w32.looked net-worm.win32.zorin.a
病毒型態:worm (網路蠕蟲)
病毒發現日期:2004/12/20
影響平台:windows 95/98/me , windows nt/2000/xp/2003
風險評估:散播程度:中;破壞程度:中.
主要症狀:
1、占用大量網速,使機器使用變得極慢。
2、會捆綁所有的exe檔案,只要一運用應用程式,在winnt下的logo1.exe圖示就會相應變成應用程式圖示。
3、有時還會時而不時地彈出一些程式框,有時候應用程式一起動就出錯,有時候起動了就被強行退出。
4、網咖中只感梁win2k pro版,server版及xp系統都不感染。
5、能繞過所有的還原軟體。
詳細技術信息:
病毒運行後,在%windir%生成 logo1_.exe 同時會在windws根目錄生成一個名為virdll.dll的檔案。
%windir%virdll.dll
該蠕蟲會在系統註冊表中生成如下鍵值:
auto = 1
盜取密碼
病毒試圖登入並盜取被感染計算機中網路遊戲傳奇2的密碼,將遊戲密碼傳送到該木馬病毒的植入者手中。阻止以下防毒軟體的運行病毒試圖終止包含下列進程的運行,這些多為防毒軟體的進程。 包括卡八斯基,金山公司的毒霸。瑞星等。98%的防毒軟體運行。國產軟體在中毒後都被病毒殺死,是病毒殺掉-防毒軟體。如金山,瑞星等。哪些軟體可以認出病毒。但是認出後不久就陣亡了。通過寫入文本信息改變%system%driversetchosts 檔案。這就意味著,當受感染的計算機瀏覽許多站點時(包括眾多反病毒站點),瀏覽器就會重定向到66.197.186.149。
病毒感染運行windows作業系統的計算機,並且通過開放的網路資源傳播。一旦安裝,蠕蟲將會感染受感染計算機中的.exe檔案。該蠕蟲是一個大小為82k的windows pe執行檔。通過本地網路傳播該蠕蟲會將自己複製到下面網路資源:
admin$
ipc$
症狀:
蠕蟲會感染所有.exe的檔案。但是,它不會感染路徑中包含下列字元串的檔案:
program files
common files
complus applicati
documents and settings
netmeeting
outlook express
recycled
system
System Volume Information
system32
windows
windows media player
windows nt
windowsupdate
winnt
蠕蟲會從記憶體中刪除下面列出的進程:
eghost.exe
iparmor.exe
kavpfw.exe
kwatchui.exe
mailmon.exe
ravmon.exe
z
網咖遭此病毒破壞造成大面積的卡機,癱瘓。危害程度可以和世界排名前十的愛情後門變種相比。該病毒可以通過網路傳播,傳播周期為3分鐘。如果是新做的系統處於中了毒的網路環境內,只要那個機器一上網,3分鐘內必定中招。中招後你安裝 rising skynet symantec mcafee gate rfw.exe ravmon.exe kill nav 等防毒軟體 都無法補救你的系統,病毒檔案 logo1_.exe 為主體病毒,他自動生成病毒發作所需要的的 sws32.dll sws.dlll kill.exe 等檔案。這些檔案一但衍生。他將迅速感染系統內explore 等系統核心進程 及所以.exe的執行檔,外觀典型表現症狀為 傳奇 ,泡泡堂,等遊戲圖示變色。 此時系統資源可用率極低,你每重新啟動一次,病毒就會發作一次。該病毒對於防範意識較弱,還原軟體未能及時裝到位的網咖十分致命,其網路傳播速度十分快捷有效。舊版的防毒軟體無法檢測,新版的無法徹底根殺。一但網咖內某台機器中了此病毒,那么該網咖所有未中毒的機器都處於危險狀態。由於病毒發作貯留於記憶體。且通過explore.exe 進行傳播。因此即使是裝了還原精靈,還原卡的機器也同樣會被感染。你重新啟動後系統可以還原。但是你一但開機還是會被感染。
病毒發作會生成另外病毒 pwsteal.lemir.gen 和 trojan.psw.lineage 等等。都是些非常厲害的後門程式。和外掛病毒相似,但是其威力是外掛病毒的50倍以上。在win98平台下,改病毒威害比較小。在win2000 /xp/2003
平台對於網咖系統是致命的。運行系統極度卡機。你重新啟動後你會發現你所有遊戲的.exe 程式全部都感染了最新防毒軟體殺完後。除了系統可以勉強運行。其他的你也別想運行了。
病毒清理辦法:
如果在病毒沒有發作情況下防毒是可以完全搞定的。如果發作了也不要防毒了。直接克盤恢復吧。
一、找到註冊表中
auto = 1
刪除downloadwww主鍵
二、找到
winlogo 項,把winlogo 項 後面的c:winntsws32.dll 刪掉,接下來把hkey_local_machine]software/microsoft/windows/currentversi 鍵中 /runonce/runonceex 兩個中其中有個是也是
c:winntsws32.dll
把類似以上的全部刪掉 注意不要刪除默認的鍵值(刪了的話後果自負)
如果沒有以上鍵值,則直接跳過此步驟
三 結束進程
按“ctrl+alt+del”鍵彈出任務管理器,找到logo1_.exe 等進程,結束進程,可以藉助綠鷹的進程管理軟體處理更方便。找到expl0rer.exe進程(注意第5個字母是數字0不是字母o),找到它後選中它並點擊“結束進程” 以結束掉(如果expl0rer.exe進程再次運行起來需要重做這一步)。
四 裝防毒軟體
裝完後不要重新啟動(切記)直接升級病毒庫,升級完後,把c:winnt 目錄下所有帶毒檔案刪除。然後運行防毒軟體開始防毒。殺完後。還有幾個防毒軟體無法刪掉的東西要把名字記下來。因為不同的系統有不同的名字。所以這裡說不清楚了。自己記下來。,重新啟動後再次防毒。記的把可疑的進程的結束。否則防毒軟體無法乾淨防毒。還有最重要的一點記的把防毒軟體無法清除的病毒設定為刪除檔案。一般要重複防毒3-5次才能殺乾淨。
五 看看防毒後的系統。
缺少的了很多系統檔案。系統處於危險狀態。如果你有ghost備份。這個時候恢復一下。系統可以乾淨無損。如果沒有請運行 sfc 命令檢查檔案系統。具體操作為 運行-輸入cmd 命令進入dos提示符。-輸入sfc
/scannow -- 提示放入系統光碟。--放進去吧。然後慢慢等。看看成果。防毒效果顯著。毒殺乾淨了。但是殺完毒後很多遊戲都玩不了。忙了一圈都不知道自己在忙什麼。 鬱悶吧。然後重新做系統吧。誰叫中毒的是網咖的系統防毒及重灌系統後的防範。有些網友在處理病毒的時候可能有這樣的感覺好不容易清除了,或者沒辦法重新裝了系統,但是沒多長時間有中了同樣的病毒,所以說有免疫程式實最好的了。
下面就將免疫程式公布如下,供網友們下載使用: 建議做系統的時候把默認共享關閉。關閉ipc$ admin$ 關閉554 關閉icmp路由。給administrator 組所有成員設定密碼。最好數字加英文
下載地址可以到http://www.e169.net的軟體下載中去找找,你可以直接通過下面的網址下載:
http://www.e169.net/showsoft.asp?id=28
檔案說明下載解壓後有3個檔案dellogo.bat放在winnt目錄下,98的用戶放到windows目錄下delshare.bat放到開始選單--程式---啟動項中,目的能讓計算機啟動後就刪除默認共享,從而阻止病毒對外傳播和再次感染的橋樑。ljl.reg下載後直接運行這個檔案,提示,信息導入註冊表後,說明寫入註冊表成功,目的是讓計算機重新啟動後能立刻刪除病毒主題檔案logo1_.exe檔案。要注意的實這個註冊表導入檔案是針對win2000系統的,如果您是其他的作業系統,請參考修改一下就可以。
以上操作只是阻斷傳播,如果怕在使用中感染此病毒,您還需要按照如下操作,這樣即使病毒感染,也不能運行主體病毒程式。當然這裡說的操作實針對win2000系統的,其他的系統可以參考操作:
運行 gpedit.msc 打開組策略
依次單擊用戶配置- 管理模組- 系統-指定不給windows運行的程式點啟用 然後 點顯示 添加 logo1_exe 也就是病毒的源檔案 。
在網上看到關於logo1_.exe病毒的情況,結合我在實際中清除病毒的經驗特總結一下,給中此病毒的網友以參 考,我是參考了“網星”和其他網友的帖子綜合的,不算我的原創喔,只能是幫助大家儘快清除這可惡的病毒。