微点交流论坛

标题: 关于LOGO1_.EXE病毒处理.最近常发作的病毒之一 [打印本页]

作者: paopaogege 时间: 2006-9-4 23:34 标题: 关于LOGO1_.EXE病毒处理.最近常发作的病毒之一

最近不少朋友都相继中了LOGO1_.EXE病毒..就连我自己也不小心中了
这个病毒特征我就不说了.最恶毒的地方是他迅速捆绑自身到任何可能的
EXE文件上.其对电脑造成的损失巨大,产生进程
Logo1_.exe
rundl132.exe
0Sy.exe
1Sy.exe
2Sy.exe
5Sy.exe
exerouter.exe
smss.exe
kill.exe
注意:以上进程都是在X:\WINDOWS 目录下
先结束这些进程再用下面的批处理删除

@echo ===============================================
@echo 关于LOGO1_.EXE病毒文件删除处理
@echo ===============================================
@echo 现在开始删除相关病毒文件...
@echo ===============================================
@echo Execute ATTRIB...

@echo off
attrib -s -r -a -h c:\windows\Logo1_.exe
attrib -s -r -a -h c:\windows\rundl132.exe
attrib -s -r -a -h c:\windows\0Sy.exe
attrib -s -r -a -h c:\windows\vDll.dll
attrib -s -r -a -h c:\windows\1Sy.exe

attrib -s -r -a -h c:\windows\2Sy.exe

attrib -s -r -a -h c:\windows\rundll32.exe
attrib -s -r -a -h c:\windows\3Sy.exe
attrib -s -r -a -h c:\windows\5Sy.exe
attrib -s -r -a -h c:\windows\1.com
attrib -s -r -a -h c:\windows\exerouter.exe
attrib -s -r -a -h c:\windows\exP10RER.com
attrib -s -r -a -h c:\windows\finders.com

attrib -s -r -a -h c:\windows\Shell.sys
attrib -s -r -a -h c:\windows\smss.exe

attrib -s -r -a -h c:\windows\kill.exe
attrib -s -r -a -h c:\windows\sws.dll
attrib -s -r -a -h c:\windows\sws32.dll

rem ===============================================
@echo Execute DELETE...

@echo off
del c:\windows\Logo1_.exe
del c:\windows\rundl132.exe
del c:\windows\0Sy.exe
del c:\windows\vDll.dll
del c:\windows\1Sy.exe
del c:\windows\2Sy.exe
del c:\windows\rundll32.exe
del c:\windows\3Sy.exe
del c:\windows\5Sy.exe
del c:\windows\1.com
del c:\windows\exerouter.exe
del c:\windows\exP10RER.com
del c:\windows\finders.com
del c:\windows\Shell.sys
del c:\windows\smss.exe
del c:\windows\kill.exe
del c:\windows\sws.dll
del c:\windows\sws32.dll

@echo ===============================================
@echo 清除LOGO1_.EXE病毒完成..请不要运行任何程序
@echo 现在重新安装没有感染的杀毒软件并全盘扫描!
@echo 注意:此病毒可迅速捆绑自身到任何一个EXE文件上
@echo    请一定要全盘杀毒扫描.推荐卡巴斯基杀毒
@echo ===============================================
echo. & pause

最后就是用卡巴全盘扫描了...感染文件太多.手动删非把你手删麻不可
修改注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot]winlogo 项
把WINLOGO 项后面的C:\WINNT\SWS32.DLL 干掉（就是删掉的意思^_^)
接下来把HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/Run 键中  /RunOnce/RunOnceEx  两个中其中有个是也是
C:\WINNT\SWS32.dll

看看杀毒后的系统:
缺少的了很多系统文件。系统处于危险状态。如果你有GHOST 备份。这个时候恢复一下。系统可以干净无损。如果没有请运行 SFC 命令检查文件系统。具体操作为运行-输入CMD 命令进入DOS 提示符。输入
SFC /scannow 提示放入系统光盘。--放进去吧。然后慢慢等。

再说一下此病毒的危害和特征
该病毒可以通过网络传播，传播周期为3分钟。如果是新做的系统处于中了毒的网络环境内，只要那个机器一上网，3分钟内必定中招。中招后
你安装　rising SkyNet Symantec McAfee Gate Rfw.exe RavMon.exe 　kill  NAV 等杀毒软件都无法补救你的系统，病毒文件 Logo1_.exe 为主体病毒，他自动生成病毒发作所需要的的 SWS32.DLL SWS.DLLL KILL.EXE 等文件。这些文件一但衍生。他将迅速感染系统内EXPLORE  等系统核心进程及所以.exe  的可执行文件，外观典型表现症状为传奇，泡泡堂，等游戏图标变色。此时系统资源可用率极低，你每重新启动一次，病毒就会发作一次，重新启动5次后系统基本崩溃。
   该病毒对于防范意识较弱，还原软件未能及时装到位的网吧十分致命，其网络传播速度十分快捷有效。旧版的杀毒软件无法检测，新版的无法彻底根杀。一但网吧内某台机器中了此病毒，那么该网吧所有未中毒的机器都处于危险状态。由于病毒发作贮留于内存。且通过EXPLORE.exe 进行传播。因此即使是装了还原精灵，还原卡的机器也同样会被感染。你重新启动后系统可以还原。但是你一但开机还是会被感染。
logo1_.exe( W32/HLLP.Philis.g) 病毒发作会生成另外几中病毒 PWSteal.Lemir.Gen 和 trojan.psw.lineage 等等。都是些非常厉害的后门程序。和外挂病毒相似，但是其威力是外挂病毒的50倍以上。在WIN98平台下，改病毒威害比较小。在WIN2000 /XP/2003 平台对于网吧系统是致命的
关于此病毒的技术报告如下
  病毒名称：W32/HLLP.Philis.g 或者（用著名杀毒软件麦咖啡（MACFEE ）检测结果，其他杀毒软件检测为  trojan类木马
　　病毒类型：木马程序
　　病毒长度：随机的
　　受影响的系统：Windows /98/NT/2000/XP/2003
　　病毒特征：
   假如你手动运行logo1_.exe 你的系统就GAMEOVER了。运行系统极度卡机。你重新启动后你会发现你所有游戏的.EXE 程序全部都感染了。用
最新杀毒软件杀完后。除了系统可以勉强运行。其他的你也别想运行了。
1  病毒体 C:\winnt 目录下logo1_.exe 。KILL.EXE sws32.dll 等文件是病毒
   发作后的文件。　　
2、生成病毒文件
　　病毒运行后，在c:\winnt 下自己拷贝生成病毒文件，文件的名称是可变，根
据不同的变种相应有不同的名称。好像一共有5个文件。其中由3个是.exe
   2 个是.DLL 文件。其中有KILL.EXE 等。具体的记不大清楚了。
　 3、修改注册表
　　病毒对注册表进行修改在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\IniFileMapping\system.ini\boot]
winlogo 项和
　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和
[HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/中添加键值=%System%（其中，和为可变的），使得在  下次系统启动时，病毒可随之自动运行。
　　4、盗取密码
　　病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码，将游戏密码发
送到该木马病毒的植入者手中。
　　5、阻止以下杀毒软件的运行
　　病毒试图终止包含下列进程的运行，这些多为杀毒软件的进程。包括卡八
斯基，金山公司的毒霸。瑞星等。98%的杀毒软件运行。
国产软件在中毒后都被病毒杀死，是病毒杀掉-杀毒软件。如金山，瑞星等。哪些软件可以认出病毒。但是认出后不久就阵亡了。。本人一直都支持国产，但是在电脑和手机方面就没办法支持了。

[ Last edited by paopaogege on 2006-9-4 at 23:39 ]

作者: wjker 时间: 2006-9-5 12:30
这么厉害给个连接!

作者: ZJD76 时间: 2006-9-8 23:32
这个木马和病毒不是一个，是落雪和其他的病毒同时中招了，落雪的手工清除办法现在网上已经很多了，其他的我就搞不清楚了，感染的原因可能是访问的网页上同时挂了好几个木马和病毒或者是积毒已久……。
顺便说下，现在新出的病毒的最大特点就是先杀查毒软件，然后再自己运行，这样的病毒和木马现在已经非常多了，我现在都是在网上找高手们的手工杀毒办法，杀软现在基本都是没多大用的，也就是杀杀老病毒而已，呵呵

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn