查看: 3438|回复: 14
收起左侧

求助 logo1_.exe病毒 有什么好办法

[复制链接]
asdasd
发表于 2007-7-11 11:28:36 | 显示全部楼层 |阅读模式
一:logo1_.exe病毒分析



打开你的电脑,在任务栏里点击右键,选择任务管理器,如果你发现有一个logo1_.exe的进程,那么很不信啊,你的电脑中了威金病毒了。写这个病毒的人算是比较厉害的。下面我们看看这个病毒的表现吧。Viking变种 rundl132.exe Logo1_.exe RichDll.dll 解决方案

档案编号:CISRT2006070
病毒名称:Worm.Win32.Viking.bv(Kaspersky)
病毒别名:Worm.Viking.cz.57089(毒霸)
Worm.Viking.eu(瑞星)
病毒大小:57,089 字节
加壳方式:N/A
样本MD5:4d86b211bf98a21f8a4d9f7b9e7d8dd4
样本SHA1:0f2bac5df8ce9cde15dd8d7f147977799d02634c
发现时间:2006.11
更新时间:2006.11
关联病毒:
传播方式:通过恶意网页传播、其它木马下载
技术分析
Viking的一个变种,产生的文件位置和“传统”的有些不同。
运行后复制自身到系统目录下:
%Windows%\uninstall\rundl132.exe
释放dll注入Explorer.exe或iexplore.exe进程:
%Windows%\RichDll.dll
创建启动项:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="%Windows%\uninstall\rundl132.exe"


调用命令停止金山毒霸旧版本服务:

net stop "Kingsoft Antivirus Service"


遍历目录感染exe文件,将自身捆绑在被感染exe文件前端(不感染部分系统文件和程序文件),并在所到目录下生成_desktop.ini文件,内容是感染日期,如2006/11/15。

设置注册表信息:

[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"


尝试从guajfskajiw.43242.com下载其它病毒或恶意程序。

被感染文件运行后会在系统目录生成文件:
%Windows%\Logo1_.exe

Logo1_.exe常驻内存,并释放%Temp%\$$??.bat“还原”被感染文件,bat内容为:

:try1
Del "被感染文件.exe"
if exist "被感染文件.exe" goto try1
ren "被感染文件.exe.exe" "原文件.exe"
if exist "被感染文件.exe.exe" goto try2
"原文件.exe"
:try2
del "%Temp%\$$??.bat"

1 病毒体 C:\winnt 目录下logo1_.exe 。KILL.EXE sws32.dll 等文件是病毒发作后的文件。
2、生成病毒文件
病毒运行后,在c:\winnt 下自己拷贝生成病毒文件,文件的名称是可变,根据不同的变种相应有不同的名称。好像一共有5个文件。其中由3个是.exe 2 个是.DLL 文件。其中有KILL.EXE 等。具体的记不大清楚了。
3、修改注册表
病毒对注册表进行修改,在 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\IniFileMapping\system.ini\boot] winlogo 项和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和[HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/中添加键值=%System%(其中,和为可变的),使得在下次 系统启动时,病毒可随之自动运行。
4、盗取密码
病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码,将游戏密码发送到该木马病毒的植入者手中。
5、阻止以下杀毒软件的运行
病毒试图终止包含下列进程的运行,这些多为杀毒软件的进程。 包括卡八斯基,金山公司的毒霸。瑞星等。98%的杀毒软件运行。
国产软件在中毒后都被病毒杀死,是病毒杀掉-杀毒软件。如金山,瑞星等。哪些软件可以认出病毒。但是认出后不久就阵亡了。。本人一 直都支持国产,但是在电脑和手机方面就没办法支持了。郁闷 中~~~
进程如下 :
rising
SkyNet
Symantec
McAfee
Gate
Rfw.exe
RavMon.exe
kill
NAV
KAV
mds
发表于 2007-7-11 11:30:28 | 显示全部楼层
置顶工具帖里有专杀,你试下!
还不行就用SREng扫个报告上来!
magic659117852
发表于 2007-7-11 11:33:17 | 显示全部楼层
关闭系统还原..清空临时文件,,,

http://www.jiangmin.com/download/zhuansha04.htm 江民威金专杀
http://www.chenoe.com/AntiVirus/魏滔序威金专杀

安全模式各扫一遍,,,

再点击这里下载SREng  扫描一个log贴上来,扫描时请尽量关闭其他手动打开的程序

选择"智能扫描"功能,把保存的log贴上来
1、解压缩sreng2.zip   
2、运行SREng2.exe
3. 如果下载后不能运行请删除已下载的,然后重新下载.下载后首先不要运行先将下载的SREng.exe重命名为SREng.com(SREng.scr\SREng.bat\SREng.pif)或者abc.exe运行.
4、智能扫描=》扫描=》保存报告
5、把日志SREngLOG.log中的报告完整复制粘贴上来,[全选(Ctrl+a) >>复制(Ctrl+c) >>粘贴(Ctrl+v)] 上来,不要修改
danger
发表于 2007-7-11 11:34:21 | 显示全部楼层
试试

VikingKiller.rar

122.67 KB, 下载次数: 21

asdasd
 楼主| 发表于 2007-7-11 11:42:09 | 显示全部楼层
感谢大侠们   试试看
asdasd
 楼主| 发表于 2007-7-11 11:43:45 | 显示全部楼层
现在我的电脑连RAR都被破坏了  郁闷
asdasd
 楼主| 发表于 2007-7-11 11:56:56 | 显示全部楼层
各位大侠这个是log报告帮忙看看




  1. 2007-07-11,11:54:33

  2. System Repair Engineer 2.5.16.900
  3. Smallfrogs ([url]http://www.KZTechs.com[/url])

  4. Windows XP Professional Service Pack 2 (Build 2600) - 管理权限用户 - 完整功能

  5. 以下内容被选中:
  6.     所有的启动项目(包括注册表、启动文件夹、服务等)
  7.     浏览器加载项
  8.     正在运行的进程(包括进程模块信息)
  9.     文件关联
  10.     Winsock 提供者
  11.     Autorun.inf
  12.     HOSTS 文件
  13.     进程特权扫描


  14. 启动项目
  15. 注册表
  16. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  17.     <ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe>  [(Verified)Microsoft Windows Publisher]
  18. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  19.     <AVP><"C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe">  [Kaspersky Lab]
  20.     <Flashget><; C:\PROGRA~1\FLASHGET\Flashget.exe /min>  [FlashGet.com]
  21.     <IMJPMIG8.1><; >  [N/A]
  22.     <PHIME2002A><; >  [N/A]
  23.     <PHIME2002ASync><; >  [N/A]
  24. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
  25.     <shell><Explorer.exe>  [(Verified)Microsoft Windows Publisher]
  26.     <Userinit><C:\WINDOWS\system32\userinit.exe,>  [(Verified)Microsoft Windows Publisher]
  27.     <UIHost><logonui.exe>  [(Verified)Microsoft Windows Publisher]
  28. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon]
  29.     <WinlogonNotify: klogon><C:\WINDOWS\system32\klogon.dll>  [Kaspersky Lab]
  30. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\<{12d0ed0d-0ee0-4f90-8827-78cefb8f4988}]
  31.     <IE7 Uninstall Stub><C:\WINDOWS\system32\ieudinit.exe>  [Microsoft Corporation]
  32. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}]
  33.     <Internet Explorer><%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE>  [N/A]
  34. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]
  35.     <Outlook Express><%systemroot%\system32\shmgrate.exe OCInstallUserConfigOE>  [N/A]
  36. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}]
  37.     <Themes Setup><%SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll>  [N/A]
  38. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
  39.     <Microsoft Outlook Express 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install>  [N/A]
  40. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}]
  41.     <NetMeeting 3.01><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Remove.PerUser.NT>  [(Verified)Microsoft Windows Publisher]
  42. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
  43.     <Microsoft Windows Media Player><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp.inf,PerUserStub>  [(Verified)Microsoft Windows Publisher]
  44. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
  45.     <通讯簿 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install>  [N/A]

  46. ==================================
  47. 启动文件夹
  48. N/A

  49. ==================================
  50. 服务
  51. [卡巴斯基反病毒6.0个人版 / AVP][Stopped/Auto Start]
  52.   <"C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r><Kaspersky Lab>
  53. [Help and Support / helpsvc][Stopped/Disabled]
  54.   <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%WINDIR%\PCHealth\HelpCtr\Binaries\pchsvc.dll><N/A>
  55. [Human Interface Device Access / HidServ][Stopped/Disabled]
  56.   <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
  57. [NetMeeting Remote Desktop Sharing / mnmsrvc][Stopped/Disabled]
  58.   <><N/A>

  59. ==================================
  60. 驱动程序
  61. [Intel(r) 82801 Audio Driver Install Service (WDM) / ac97intc][Stopped/Manual Start]
  62.   <system32\drivers\ac97intc.sys><Intel Corporation>
  63. [Service for Realtek AC97 Audio (WDM) / ALCXWDM][Running/Manual Start]
  64.   <system32\drivers\ALCXWDM.SYS><Realtek Semiconductor Corp.>
  65. [ADMtek AN983/AN985/ADM951X 10/100Mbps Fast Ethernet Adapter / AN983][Running/Manual Start]
  66.   <system32\DRIVERS\AN983.sys><ADMtek Incorporated.>
  67. [Creative SBLive! Gameport / ctljystk][Stopped/Manual Start]
  68.   <system32\DRIVERS\ctljystk.sys><Creative Technology Ltd.>
  69. [HSFHWBS2 / HSFHWBS2][Running/Manual Start]
  70.   <system32\DRIVERS\HSFBS2S2.sys><Conexant Systems, Inc.>
  71. [HSF_DP / HSF_DP][Running/Manual Start]
  72.   <system32\DRIVERS\HSFDPSP2.sys><Conexant Systems, Inc.>
  73. [ialm / ialm][Running/Manual Start]
  74.   <system32\DRIVERS\ialmnt5.sys><Intel Corporation>
  75. [kl1 / kl1][Running/Boot Start]
  76.   <\SystemRoot\system32\drivers\kl1.sys><Kaspersky Lab>
  77. [klif / klif][Running/System Start]
  78.   <\??\C:\WINDOWS\system32\drivers\klif.sys><Kaspersky Lab>
  79. [mdmxsdk / mdmxsdk][Running/Auto Start]
  80.   <system32\DRIVERS\mdmxsdk.sys><Conexant>
  81. [nv / nv][Stopped/Manual Start]
  82.   <system32\DRIVERS\nv4_mini.sys><NVIDIA Corporation>
  83. [Direct Parallel Link Driver / Ptilink][Running/Manual Start]
  84.   <system32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.>
  85. [Realtek RTL8139(A/B/C)-based PCI Fast Ethernet Adapter NT Driver / rtl8139][Stopped/Manual Start]
  86.   <system32\DRIVERS\RTL8139.SYS><Realtek Semiconductor Corporation>
  87. [Secdrv / Secdrv][Stopped/Manual Start]
  88.   <system32\DRIVERS\secdrv.sys><N/A>
  89. [winachsf / winachsf][Running/Manual Start]
  90.   <system32\DRIVERS\HSFCXTS2.sys><Conexant Systems, Inc.>
  91. [11575250 / 11575250][Running/]
  92.   <2 - 系统找不到指定的文件。
  93. ><N/A>

  94. ==================================
  95. 浏览器加载项
  96. [Flashget Catch Url Class]
  97.   {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} <C:\Program Files\FlashGet\jccatch.dll, [url]www.flashget.com[/url]>
  98. [gFlash Class]
  99.   {F156768E-81EF-470C-9057-481BA8380DBA} <C:\Program Files\FlashGet\getflash.dll, >
  100. [Web反病毒统计]
  101.   {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} <C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll, Kaspersky Lab>
  102. [QQ]
  103.   {c95fe080-8f5d-11d2-a20b-00aa003c157b} <C:\Program Files\Tencent\QQ\QQ.EXE, TENCENT>
  104. [快车]
  105.   {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} <C:\PROGRA~1\FLASHGET\flashget.exe, FlashGet.com>
  106. [快车(FlashGet)]
  107.   {E0E899AB-F487-11D5-8D29-0050BA6940E3} <C:\Program Files\FlashGet\fgiebar.dll, Amaze Soft>
  108. [BitComet工具栏]
  109.   {3F1ABCDB-A875-46c1-8345-B72A4567E486} <C:\Program Files\BitComet\BitCometBar\BitCometBar0.6.dll, >
  110. [Flashget Catch Url Class]
  111.   {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} <C:\Program Files\FlashGet\jccatch.dll, [url]www.flashget.com[/url]>
  112. [BitComet工具栏]
  113.   {3F1ABCDB-A875-46C1-8345-B72A4567E486} <C:\Program Files\BitComet\BitCometBar\BitCometBar0.6.dll, >
  114. [360SafeLive]
  115.   {87515F61-A66C-4319-A0E0-D416CB8059E3} <C:\Program Files\360safe\live.dll, 360safe.com>
  116. [SearchAssistantOC]
  117.   {B45FF030-4447-11D2-85DE-00C04FA35C89} <%SystemRoot%\system32\shdocvw.dll, N/A>
  118. [Shockwave Flash Object]
  119.   {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash9c.ocx, Adobe Systems, Inc.>
  120. [快车(FlashGet)]
  121.   {E0E899AB-F487-11D5-8D29-0050BA6940E3} <C:\Program Files\FlashGet\fgiebar.dll, Amaze Soft>
  122. [gFlash Class]
  123.   {F156768E-81EF-470C-9057-481BA8380DBA} <C:\Program Files\FlashGet\getflash.dll, >
  124. [&使用快车(FlashGet)下载]
  125.   <C:\Program Files\FlashGet\jc_link.htm, N/A>
  126. [&使用快车(FlashGet)下载全部链接]
  127.   <C:\Program Files\FlashGet\jc_all.htm, N/A>
  128. [导出到 Microsoft Office Excel(&X)]
  129.   <res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000, N/A>
  130. [添加到QQ自定义面板]
  131.   <C:\Program Files\Tencent\QQ\AddPanel.htm, N/A>
  132. [添加到QQ表情]
  133.   <C:\Program Files\Tencent\QQ\AddEmotion.htm, N/A>
  134. [用QQ彩信发送该图片]
  135.   <C:\Program Files\Tencent\QQ\SendMMS.htm, N/A>
  136. [用比特精灵下载(&B)]
  137.   <D:\Program Files\BitSpirit\bsurl.htm, N/A>

  138. ==================================
  139. 正在运行的进程
  140. [PID: 484 / SYSTEM][\SystemRoot\System32\smss.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
  141. [PID: 556 / SYSTEM][\??\C:\WINDOWS\system32\csrss.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
  142. [PID: 580 / SYSTEM][\??\C:\WINDOWS\system32\winlogon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
  143.     [C:\WINDOWS\system32\klogon.dll]  [Kaspersky Lab, 6.0.2.621]
  144.     [C:\WINDOWS\system32\msacm32.drv]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
  145. [PID: 624 / SYSTEM][C:\WINDOWS\system32\services.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
  146. [PID: 636 / SYSTEM][C:\WINDOWS\system32\lsass.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
  147. [PID: 788 / SYSTEM][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
  148. [PID: 848 / NETWORK SERVICE][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
  149. [PID: 916 / SYSTEM][C:\WINDOWS\System32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
  150. [PID: 1020 / NETWORK SERVICE][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
  151. [PID: 1092 / LOCAL SERVICE][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
  152. [PID: 1344 / Administrator][C:\WINDOWS\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
  153.     [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scrchpg.dll]  [Kaspersky Lab, 6.0.2.621]
  154.     [C:\WINDOWS\system32\msacm32.drv]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
  155.     [C:\WINDOWS\system32\igfxpph.dll]  [Intel Corporation, 3.0.0.4342]
  156.     [C:\WINDOWS\system32\hccutils.DLL]  [Intel Corporation, 3.0.0.4342]
  157.     [C:\WINDOWS\system32\igfxres.dll]  [Intel Corporation, 3.0.0.4342]
  158.     [C:\WINDOWS\system32\igfxsrvc.dll]  [Intel Corporation, 3.0.0.4342]
  159.     [C:\WINDOWS\system32\igfxdev.dll]  [Intel Corporation, 3.0.0.4342]
  160.     [C:\Program Files\FlashGet\fgmgr.dll]  [[url]www.flashget.com[/url], 1, 8, 0, 1001]
  161.     [C:\WINDOWS\RichDll.dll]  [N/A, ]
  162.     [C:\Program Files\WinRAR\rarext.dll]  [N/A, ]
  163.     [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\ShellEx.dll]  [Kaspersky Lab, 6.0.2.621]
  164.     [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\MSVCR80.dll]  [Microsoft Corporation, 8.00.50727.42]
  165.     [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\MSVCP80.dll]  [Microsoft Corporation, 8.00.50727.42]
  166.     [C:\Program Files\FlashGet\jccatch.dll]  [[url]www.flashget.com[/url], 1, 8, 0, 1003]
  167.     [C:\Program Files\Microsoft Office\OFFICE11\msohev.dll]  [Microsoft Corporation, 11.0.5510]
  168. [PID: 1468 / SYSTEM][C:\WINDOWS\system32\spoolsv.exe]  [Microsoft Corporation, 5.1.2600.2696 (xpsp_sp2_gdr.050610-1519)]
  169.     [C:\WINDOWS\system32\ZLhp1020.DLL]  [Zenographics, Inc., 5, 53, 3723, 0]
  170.     [C:\WINDOWS\system32\ZLM.dll]  [Zenographics, Inc., 5, 50, 1416, 0]
  171.     [C:\WINDOWS\System32\spool\PRTPROCS\W32X86\IMFPrint.DLL]  [Zenographics, Inc., 5, 54, 330, 0]
  172.     [C:\WINDOWS\system32\Imf32.dll]  [Zenographics, Inc., 5, 60, 1204, 0]
  173.     [C:\WINDOWS\system32\ZTAG32.dll]  [Zenographics, Inc., 5, 60, 1210, 0]
  174.     [C:\WINDOWS\system32\ZSPOOL.dll]  [Zenographics, Inc., 5, 51, 709, 0]
  175.     [C:\WINDOWS\System32\spool\PRTPROCS\W32X86\mdippr.dll]  [Microsoft Corporation, 11.3.2175.0]
  176. [PID: 1632 / Administrator][C:\WINDOWS\system32\ctfmon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
  177. [PID: 1768 / LOCAL SERVICE][C:\WINDOWS\System32\alg.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
  178. [PID: 2980 / SYSTEM][C:\WINDOWS\Logo1_.exe]  [, 1.0.0.0]
  179. [PID: 2772 / Administrator][F:\1\SREngPS.EXE]  [Smallfrogs Studio, 2.5.16.900]
  180.     [F:\1\Upload\3rdUpd.DLL]  [Smallfrogs Studio, 2, 1, 0, 15]

  181. ==================================
  182. 文件关联
  183. .TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
  184. .EXE  OK. ["%1" %*]
  185. .COM  OK. ["%1" %*]
  186. .PIF  OK. ["%1" %*]
  187. .REG  OK. [regedit.exe "%1"]
  188. .BAT  OK. ["%1" %*]
  189. .SCR  OK. ["%1" /S]
  190. .CHM  OK. ["C:\WINDOWS\hh.exe" %1]
  191. .HLP  OK. [%SystemRoot%\system32\winhlp32.exe %1]
  192. .INI  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
  193. .INF  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
  194. .VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
  195. .JS   OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
  196. .LNK  OK. [{00021401-0000-0000-C000-000000000046}]

  197. ==================================
  198. Winsock 提供者
  199. N/A

  200. ==================================
  201. Autorun.inf
  202. N/A

  203. ==================================
  204. HOSTS 文件
  205. 127.0.0.1       localhost

  206. ==================================
  207. 进程特权扫描
  208. 特殊特权被允许: SeLoadDriverPrivilege [PID = 2980, C:\WINDOWS\LOGO1_.EXE]

  209. ==================================
  210. API HOOK
  211. RVA  错误: LoadLibraryA (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
  212. RVA  错误: LoadLibraryExA (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
  213. RVA  错误: LoadLibraryExW (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
  214. RVA  错误: LoadLibraryW (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
  215. RVA  错误: GetProcAddress (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)

  216. ==================================
  217. 隐藏进程
  218. N/A

  219. ==================================


复制代码
asdasd
 楼主| 发表于 2007-7-11 12:01:29 | 显示全部楼层
另外这个病毒会不会感染移动硬盘
mds
发表于 2007-7-11 12:53:32 | 显示全部楼层

回复 #8 asdasd 的帖子

启动项目
注册表
<IMJPMIG8.1><; >  [N/A]
    <PHIME2002A><; >  [N/A]
    <PHIME2002ASync><; >  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}]
    <Internet Explorer><%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]
    <Outlook Express><%systemroot%\system32\shmgrate.exe OCInstallUserConfigOE>  [N/A]

服务
[NetMeeting Remote Desktop Sharing / mnmsrvc][Stopped/Disabled]
  <><N/A>

驱动程序
[11575250 / 11575250][Running/]
  <2 - 系统找不到指定的文件。
以上都可以用SRE去删除!

C:\WINDOWS\Logo1_.exe
C:\WINDOWS\RichDll.dll
这个是威金变种
结束LOGO1进程用冰刃删除
magic659117852
发表于 2007-7-11 13:29:35 | 显示全部楼层
使用XDelBox删除以下文件:(XDelBox1.3下载)
使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入,导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。

c:\windows\logo1_.exe
c:\WINDOWS\uninstall\logo1_.exe
c:\windows\rundl132.exe
c:\windows\uninstall\rundl132.exe
c:\windows\richdll.dll

有提示找不到的请忽略。。。

SREng--启动项目--服务--驱动程序 选中"隐藏已认证的微软项目"  选中下面列出的驱动,点"删除服务",点"设置" 弹出的窗口中点"否NO"(不能删除的就禁用:启动类型改为disabled--点中修改启动类型,点设置)
   
[11575250 / 11575250]    <>

其他不用删。。。。
下载临时文件清理工具清理一下
http://hzqedison.mm9mm.com/hanhua/ATF-Cleaner-cn.exe
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 20:11 , Processed in 0.127201 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表