xp- xp.exe- 進程信息
進程檔案: xp或者 xp.exe.exe
進程名稱: Win32.Logogo
出品者: 未知N/A
屬於: Win32.Logogo
系統進程: 否
後台程式: 是
使用網路: 是
硬體相關: 否
常見錯誤: 未知N/A
記憶體使用: 未知N/A
間諜軟體: 否
廣告軟體: 否
病毒: 是
木馬: 是
最近電腦突然卡,發現進程了多了很多個xp.exe
感覺不對,馬上用線上防毒http://www.antidu.cn/board/online/ 查殺
瑞星報毒!!!
logogogo最新變種XP.exe的分析(Win32.Logogo)
File: logogogo.exe
Size: 17196 bytes
AV命名:Win32.Logogo.a(瑞星)
1.病毒有兩個參數啟動自身
-down 和-worm分別執行的是下載和感染操作
2.衍生如下副本:
%systemroot%\system\logogogo.exe
在每個磁碟分區根目錄下釋放XP.exe和autorun.inf達到通過移動存儲傳播的目的
3.創建註冊表啟動項目
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
<logogogo><%systemroot%\system\logogogo.exe> []
達到開機啟動的目的
在HKLM\SOFTWARE下面創建logogo子鍵,用以記錄病毒安裝成功的信息。
4.在HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下面創建映像劫持項目,指向病毒本身。
5.感染除如下資料夾內的*.exe檔案
windows
winnt
recycler
system volume information
並不感染如下exe檔案
被感染檔案尾部被加入一個名為.ani的節。被感染檔案運行後會釋放一個名為ani.ani的臨時檔案並運行,該檔案即為病毒主體logogogo.exe
6.連線網路下載木馬
讀取http://dow.*.us/xxx.txt的下載列表
然後下載
http://dow.*.com/1.exe~http://dow.*.com/20.exe到%systemroot%\system下面
並以SYSTEM128.tmp作為下載檔案過程中的臨時檔案
7.病毒同時會獲得當前機器名,作業系統版本,MAC地址等信息
8.病毒體內留有作者留下的廣告信息:“出售下載者 QQ 2892*”
解決辦法:
下載sreng: http://www.antidu.cn/board/helpst/
首先重啟計算機進入安全模式下(開機後不斷 按F8鍵 然後出來一個高級選單 選擇第一項 安全模式 進入系統)
解壓sreng
(注意:如果winrar也被感染,請重裝winrar後再解壓檔案,推薦重裝winrar)
1.打開sreng
啟動項目 註冊表 刪除如下項目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<logogogo><%systemroot%\system\logogogo.exe> []
並刪除所有紅色的IFEO項目
修復-系統修復-重置winsock
2.刪除如下檔案
%systemroot%\system32\rsmyhpm.dll
%systemroot%\system32\KVBatch01.dll
%systemroot%\system32\kapjezy.dll
%systemroot%\system32\avwgemn.dll
%systemroot%\system32\avzxfmn.dll
%systemroot%\system32\avwldmn.dll
%systemroot%\system32\rarjepi.dll
%systemroot%\system32\ratbjpi.dll
%systemroot%\system32\kawdczy.dll
%systemroot%\system32\kvdxsima.dll
%systemroot%\system32\raqjdpi.dll
%systemroot%\system32\kaqhizy.dll
%systemroot%\system32\sidjczy.dll
%systemroot%\system32\kvmxhma.dll
%systemroot%\system32\swjqbzc.dll
%Program Files%\Internet Explorer\PLUGINS\Wn_Sys8x.Sys
3.重啟計算機後
雙擊我的電腦,工具,資料夾選項,查看,單擊選取"顯示隱藏檔案或資料夾" 並清除"隱藏受保護的作業系統檔案(推薦)"前面的鉤。在提示確定更改時,單擊“是” 然後確定
點擊 選單欄下方的 資料夾按鈕(搜尋右邊的按鈕)
在左邊的資源管理器中單擊打開系統所在盤
刪除%systemroot%\system\logogogo.exe
%systemroot%\system32\qdshm.dll
在左邊的資源管理器中單擊打開每個盤
刪除各個盤根目錄下的XP.exe和autorun.inf
4.打開sreng
啟動項目 註冊表
雙擊AppInit_DLLs把其鍵值清空
5.使用防毒軟體全盤防毒修復被感染的exe檔案(如果防毒軟體也被感染,請重裝防毒軟體以免造成反覆感染)
這是之前logogo.exe病毒的最新變種,此次變種可謂是該系列病毒的一個標誌性的變種,如同原先的crsss化身成為“禽獸”病毒一樣...
