查看: 1921|回复: 6
收起左侧

中了logo1_.exe病毒了!

[复制链接]
++++++
发表于 2007-2-23 16:07:17 | 显示全部楼层 |阅读模式
在网上搜索了一下,还是没有什么有效的解决办法!
请问有谁中过这个病毒,应该怎么解决
谢谢拉
所有的exe文件的图标都换了!
hzq277284
头像被屏蔽
发表于 2007-2-23 16:11:59 | 显示全部楼层
wangjay1980
发表于 2007-2-23 16:14:21 | 显示全部楼层
这个病毒卡吧应该能查杀
yangjie119
发表于 2007-2-23 16:14:22 | 显示全部楼层
威金的变种 我在机器上实验过 不是很难弄的
Program Files\svhost32.exe
  Program Files\micorsoft\svhost32.exe
  windows\explorer.exe
  windows\logo1_exe
  windows\rundll32.exe
  windows\rundl132.exe
  windows\intel\rundl132.exe
  windows\dll.dll
将这些文件在安全模式下杀死 并用专杀再扫一遍  我当时为了测试卡巴 把文件运行后发现多了以上的文件 呵呵
++++++
 楼主| 发表于 2007-2-23 17:00:14 | 显示全部楼层
现在似乎好多了
谢谢各位
请问怎么查看病毒是否被完全清除?
ssmart
发表于 2007-3-1 20:03:51 | 显示全部楼层
我也中了,在想办法让我的那些exe脱壳。。。
cbz107
发表于 2007-3-1 20:49:39 | 显示全部楼层
如果你觉得文章很长,你可以跳过一一:logo1_.exe病毒分析直接到二、病毒专杀

http://www.jps8.com/Article/netw ... 201140033_5824.html

一:logo1_.exe病毒分析



打开你的电脑,在任务栏里点击右键,选择任务管理器,如果你发现有一个logo1_.exe的进程,那么很不信啊,你的电脑中了威金病毒了。写这个病毒的人算是比较厉害的。下面我们看看这个病毒的表现吧。Viking变种 rundl132.exe Logo1_.exe RichDll.dll 解决方案

档案编号:CISRT2006070
病毒名称:Worm.Win32.Viking.bv(Kaspersky)
病毒别名:Worm.Viking.cz.57089(毒霸)
Worm.Viking.eu(瑞星)
病毒大小:57,089 字节
加壳方式:N/A
样本MD5:4d86b211bf98a21f8a4d9f7b9e7d8dd4
样本SHA1:0f2bac5df8ce9cde15dd8d7f147977799d02634c
发现时间:2006.11
更新时间:2006.11
关联病毒:
传播方式:通过恶意网页传播、其它木马下载
技术分析
Viking的一个变种,产生的文件位置和“传统”的有些不同。
运行后复制自身到系统目录下:
%Windows%\uninstall\rundl132.exe
释放dll注入Explorer.exe或iexplore.exe进程:
%Windows%\RichDll.dll
创建启动项:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="%Windows%\uninstall\rundl132.exe"


调用命令停止金山毒霸旧版本服务:

net stop "Kingsoft Antivirus Service"


遍历目录感染exe文件,将自身捆绑在被感染exe文件前端(不感染部分系统文件和程序文件),并在所到目录下生成_desktop.ini文件,内容是感染日期,如2006/11/15。

设置注册表信息:

[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"


尝试从guajfskajiw.43242.com下载其它病毒或恶意程序。

被感染文件运行后会在系统目录生成文件:
%Windows%\Logo1_.exe

Logo1_.exe常驻内存,并释放%Temp%\$$??.bat“还原”被感染文件,bat内容为:

:try1
Del "被感染文件.exe"
if exist "被感染文件.exe" goto try1
ren "被感染文件.exe.exe" "原文件.exe"
if exist "被感染文件.exe.exe" goto try2
"原文件.exe"
:try2
del "%Temp%\$$??.bat"

1 病毒体 C:\winnt 目录下logo1_.exe 。KILL.EXE sws32.dll 等文件是病毒发作后的文件。
2、生成病毒文件
病毒运行后,在c:\winnt 下自己拷贝生成病毒文件,文件的名称是可变,根据不同的变种相应有不同的名称。好像一共有5个文件。其中由3个是.exe 2 个是.DLL 文件。其中有KILL.EXE 等。具体的记不大清楚了。
3、修改注册表
病毒对注册表进行修改,在 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\IniFileMapping\system.ini\boot] winlogo 项和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和[HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/中添加键值=%System%(其中,和为可变的),使得在下次 系统启动时,病毒可随之自动运行。
4、盗取密码
病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码,将游戏密码发送到该木马病毒的植入者手中。
5、阻止以下杀毒软件的运行
病毒试图终止包含下列进程的运行,这些多为杀毒软件的进程。 包括卡八斯基,金山公司的毒霸。瑞星等。98%的杀毒软件运行。
国产软件在中毒后都被病毒杀死,是病毒杀掉-杀毒软件。如金山,瑞星等。哪些软件可以认出病毒。但是认出后不久就阵亡了。。本人一 直都支持国产,但是在电脑和手机方面就没办法支持了。郁闷 中~~~
进程如下 :
rising
SkyNet
Symantec
McAfee
Gate
Rfw.exe
RavMon.exe
kill
NAV
KAV





二、 解决方法。病毒专杀logo1_.exe专杀。



1.在杀毒软件可以正常工作的情况下,将你的杀毒软件升级到最新版本,重启计算机后按F8进入安全模式下全盘查杀病毒。

2.完成步骤1或者步骤1无法完成时,分别下载以下专杀工具依次在安全模式下运行查杀病毒:

1)农夫山泉有点甜写的VIKING病毒专杀工具

下载地址和使用说明:http://hi.baidu.com/dnxk/blog/item/8330db80aa1553d79123d918.html

2)瑞星公司出的VIKING病毒专杀工具

下载地址见http://it.rising.com.cn/Channels ... 3119832d22607.shtml

3)江民公司出的VIKING病毒专杀工具

下载地址:http://www.jiangmin.com/download/VikingKiller.exe

下载完成后请在线更新到最新版本。

4)金山公司出的VIKING病毒专杀工具

下载地址见:http://tool.duba.net/zhuansha/246.shtml

5)安天实验室出的VIKING病毒专杀工具

适用系统:WIN 2000/XP/2003 大小:164K

说明:安天实验室发布针对近期高危流行威金(维金)病毒的专杀工具,此专杀工具可以清除所有威金(维金)变种,可以恢复被感染的EXE文件,并附带U盘免疫功能。

下载地址:http://www.antiy.com/download/KillViking.zip

3.如果步骤1和2仍不能彻底清除病毒,建议重新格式化全部磁盘后重新安装操作系统。重新安装好操作系统后不要急于联网,要安装好杀毒软件和防火墙后,进行必要的安全设置(详见反病毒可能需要用到的方法及操作:http://bbs.kingsoft.com/viewthre ... &extra=page%3D1http://hi.baidu.com/dnxk/blog/item/40c3b877b6ca8c1bb151b943.html),然后联网,用WINDOWS UPDATE打全系统补丁。
对于感染病毒后无法运行的可执行文件,需要重新下载或复制。

关于修复被病毒感染的EXE文件,请查看下文:

无须重新格式化所有分区,就能修复被威金感染的.EXE文件

http://forum.ikaka.com/topic.asp?board=28&artid=8210101

查杀要点:

1)局域网内的计算机感染此病毒后,首先应断开网络连接

2)设置复杂的帐户密码,停用多余帐户

3)关闭网络共享

4)感染病毒的计算机应完全隔离,不要从染毒计算机复制任何文件
参考资料:http://www.jps8.com/Article/netw ... 201140033_5824.html
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 09:39 , Processed in 0.135857 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表