logo1_.exe是什么進(jìn)程
2020-07-07 19:26:17
供稿:網(wǎng)友
是病毒
病毒類型:木馬程序
受影響的系統(tǒng):Windows /98/NT/2000/XP/2003
病毒特征: 假如你手動(dòng)運(yùn)行l(wèi)ogo1_.exe 你的系統(tǒng)就GAMEOVER了。運(yùn)行系統(tǒng)極度卡機(jī)。你重新啟動(dòng)后你會(huì)發(fā)現(xiàn)你所有游戲的.EXE 程序全部都感染了。用最新殺毒軟件殺完后。除了系統(tǒng)可以勉強(qiáng)運(yùn)行。其他的你也別想運(yùn)行了。
1 病毒體 C:/winnt 目錄下logo1_.exe 。KILL.EXE sws32.dll 等文件是病毒發(fā)作后的文件。
2、生成病毒文件
病毒運(yùn)行后,在c:/winnt 下自己拷貝生成病毒文件,文件的名稱是可變,根據(jù)不同的變種相應(yīng)有不同的名稱。好像一共有5個(gè)文件。其中由3個(gè)是.exe 2 個(gè)是.DLL 文件。其中有KILL.EXE 等。具體的記不大清楚了。
3、修改注冊(cè)表
病毒對(duì)注冊(cè)表進(jìn)行修改,在 [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/IniFileMapping/system.ini/boot] winlogo 項(xiàng)和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和[HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/中添加鍵值=%System%(其中,和為可變的),使得在下次 系統(tǒng)啟動(dòng)時(shí),病毒可隨之自動(dòng)運(yùn)行。
4、盜取密碼
病毒試圖登陸并盜取被感染計(jì)算機(jī)中網(wǎng)絡(luò)游戲傳奇2的密碼,將游戲密碼發(fā)送到該木馬病毒的植入者手中。
5、阻止以下殺毒軟件的運(yùn)行
病毒試圖終止包含下列進(jìn)程的運(yùn)行,這些多為殺毒軟件的進(jìn)程。 包括卡八斯基,金山公司的毒霸。瑞星等。98%的殺毒軟件運(yùn)行。
國產(chǎn)軟件在中毒后都被病毒殺死,是病毒殺掉-殺毒軟件。如金山,瑞星等。哪些軟件可以認(rèn)出病毒。但是認(rèn)出后不久就陣亡了。。本人一 直都支持國產(chǎn),但是在電腦和手機(jī)方面就沒辦法支持了。郁悶 中~~~
進(jìn)程如下 :
rising
SkyNet
Symantec
McAfee
Gate
Rfw.exe
RavMon.exe
kill
NAV
KAV
LAST 最后說一下解決方案 都是本人個(gè)人經(jīng)驗(yàn) 有不足之處還請(qǐng)各位多多補(bǔ)充。
先下載好你認(rèn)為比較好的殺毒軟件。此時(shí)不要安裝。就是安裝了也是白安裝。所有軟件安裝后很快就被感染。這里不推薦使用金山,瑞星,江明,SPANT 等。推薦使用卡八斯基5.0版 和我最喜歡的麥咖啡殺毒軟件。
請(qǐng)先去把系統(tǒng)設(shè)置為“顯示隱藏文件”,因?yàn)椴《疽噪[藏屬性偽裝,不做此設(shè)置將無法看到它,設(shè)置的方法如下
打開“我的電腦”;
依次打開菜單“工具/文件夾選項(xiàng)”;
然后在彈出的“文件夾選項(xiàng)”對(duì)話框中切換到“查看”頁;
去掉“隱藏受保護(hù)的操作系統(tǒng)文件(推薦)”前面的對(duì)鉤,讓它變?yōu)椴贿x狀態(tài);
在下面的“高級(jí)設(shè)置” 去掉“隱藏已知文件類型的擴(kuò)展名”前面的對(duì)鉤,也讓它變?yōu)椴贿x狀態(tài);
最后點(diǎn)擊“確定”。
二、修改注冊(cè)表
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/IniFileMapping/system.ini/boot] winlogo 項(xiàng)
把WINLOGO 項(xiàng) 后面的C:/WINNT/SWS32.DLL 干掉(就是刪掉的意思^_^)
接下來把HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/Run 鍵 /RunOnce/RunOnceEx 兩個(gè)中其中有個(gè)是也是C:/WINNT/SWS32.dll
把類似以上的全部刪掉 注意不要?jiǎng)h除默認(rèn)的鍵值(刪了的話后果自負(fù))
三 結(jié)束進(jìn)程
按“Ctrl+Alt+Del”鍵彈出任務(wù)管理器,找到SWS32 進(jìn)程,名字記不大清楚了,反正看到最多的進(jìn)程就殺殺殺!!!!還有幾個(gè)很少看到的進(jìn)程。什么AUS***之類的都干掉他。找到EXPL0RER.EXE進(jìn)程(注意第5個(gè)字母是數(shù)字0不是字母O),找到它后選中它并點(diǎn)擊“結(jié)束進(jìn)程”以結(jié)束掉木馬進(jìn)程。然后迅速做下面一步,只所以要迅速是因?yàn)槿绻麆?dòng)作慢的話,木馬可能會(huì)自動(dòng)恢復(fù)而再次運(yùn)行起來,這樣就無法刪除掉其他木馬文件了(如果EXPL0RER.EXE進(jìn)程再次運(yùn)行起來需要重做這一步)。
四 裝殺毒軟件
裝完后不要重新啟動(dòng)(切記)直接升級(jí)病毒庫,升級(jí)完后,把C:/winnt 目錄下所有帶毒文件刪除。然后運(yùn)行殺毒軟件開始?xì)⒍尽?
殺完后。還有幾個(gè)殺毒軟件無法刪掉的東西要把名字記下來。因?yàn)椴煌南到y(tǒng)有不同的名字。所以這里說不清楚了。自己記下來。
重新啟動(dòng)后再次殺毒。記的把可疑的進(jìn)程的結(jié)束。否則殺毒軟件無法干凈殺毒。還有最重要的一點(diǎn)記的把殺毒軟件無法清除的病毒設(shè)置為刪除文件。一般要重復(fù)殺毒3-5次才能殺干凈。
五。看看殺毒后的系統(tǒng)。
缺少的了很多系統(tǒng)文件。系統(tǒng)處于危險(xiǎn)狀態(tài)。如果你有GHOST 備份。這個(gè)時(shí)候恢復(fù)一下。系統(tǒng)可以干凈無損。如果沒有請(qǐng)運(yùn)行 SFC 命令檢查文件系統(tǒng)。具體操作為 運(yùn)行-輸入CMD 命令進(jìn)入DOS 提示符。-輸入SFC /scannow -- 提示放入系統(tǒng)光盤。--放進(jìn)去吧。然后慢慢等。
看看成果。殺毒效果顯著。毒殺干凈了。但是殺完毒后很多游戲都玩不了。忙了一圈都不知道自己在忙什么。郁悶吧。然后重新做系統(tǒng)吧。誰叫中毒的是網(wǎng)吧的系統(tǒng)。
PS:如果在病毒沒有發(fā)作情況下殺毒是可以完全搞定的。如果發(fā)作了也不要?dú)⒍玖恕V苯涌吮P恢復(fù)吧。
在短短的28小時(shí)內(nèi)我接到3個(gè)網(wǎng)吧老板的電話。。。。。。。。做技術(shù)員真命苦。。。。。。
這是本人第一次寫這么長的資料。也是忙碌1年半后潛水1年半后。重新的回到技術(shù)員的身份(以前我經(jīng)常發(fā)招聘的帖。不過PS哦我不是老板,招人都是幫朋友招的。我還是網(wǎng)管是大家的同行和朋友)。愛情后門,愛情后門變種。FUNLOVE 變種等病毒曾經(jīng)把我朋友弄的網(wǎng)吧一度處于停業(yè)狀態(tài)。寫此文的目的就是希望大家同行群策群力做好預(yù)防工作。最好能夠自己寫出個(gè)免疫補(bǔ)丁。希望所有人的技術(shù)都在進(jìn)步
PS:做系統(tǒng)的時(shí)候把默認(rèn)共享關(guān)閉。關(guān)閉IPC$Content$nbsp;ADMIN$Content$nbsp;關(guān)閉554 關(guān)閉ICMP路由。給ADMINISTRATOR 組所有成員設(shè)置密碼。最好數(shù)字加英文(愛情后門病毒可以破解簡(jiǎn)單的密碼而進(jìn)行大規(guī)模的快速傳播)。 關(guān)閉了這些服務(wù)加上殺毒軟件。LOGO1.exe 基本上拿你沒折了。但是如果是批量克盤 建議客戶機(jī)不要使用卡八等殺毒軟件。克盤時(shí)網(wǎng)線拔掉,克好盤要迅速裝好還原精靈 。為什么要迅速,不用我說了吧。
辛辛苦苦寫的手都酸了。。天不知覺的也亮起來了。。。。轉(zhuǎn)貼時(shí)希望大家珍惜我的勞動(dòng)成果。
接上文。經(jīng)過一段時(shí)間的觀察,我找到了可以改病毒的免疫補(bǔ)丁(只適用于沒有感染該病毒或者已經(jīng)感染該病毒但是沒有發(fā)作的機(jī)器)其實(shí)很簡(jiǎn)單只要每次開機(jī)刪除病毒體文件 LOGO1_1.exe 那么即使感染了該病毒的機(jī)器也可以救回來。用這個(gè)方法本人救活了2家網(wǎng)吧180臺(tái)機(jī)器。目前為止情況正常。
LOGO1_.exe 免疫補(bǔ)丁制作如下:
1 編寫批處理文件。開機(jī)自動(dòng)刪除logo1_.exe 作用是即使中了該病毒,由于開機(jī)后自動(dòng)刪除該病毒。那么該病毒永遠(yuǎn)無法發(fā)作。
批處理文件內(nèi)容如下:
del c:/winnt/logo1_.exe (就這一行。先保存為記事本,然后保存為.bat的批處理文件。
2 設(shè)置改批處理開機(jī)自動(dòng)運(yùn)行。
修改注冊(cè)表 加入以下項(xiàng)
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"auto"="E://網(wǎng)絡(luò)游戲//auto.bat"
把上端文本保存為 .REG 文件。然后導(dǎo)入注冊(cè)表。{ E://網(wǎng)絡(luò)游戲//auto.bat } 該路徑為你剛剛編寫批處理所在的目錄。很重要。
好了到此為止你可以安心睡覺去了。。不用再怕那可惡的LOGO1_.exe 了。。
本人再次強(qiáng)調(diào)一點(diǎn)。如果該病毒已經(jīng)在你電腦里發(fā)作了。那么還是不要去救了。。直接重新克盤吧。
如果沒有發(fā)作。那么用上面方法可以救活你的電腦。判斷依據(jù)是 看看網(wǎng)絡(luò)游戲圖標(biāo)有沒有變色。還有
c:/winnt 目錄下有沒有KILL.exe sws.dll sws32.dll 文件。