我的机子在这星期中了logo_1，经一番鏖战后我以微弱优势小胜，现将其经过总结如下：
在带网络连接的安全模式下我上网搜到如下信息：
发信人: xuxi (show me the money), 信区: Virus
标  题: 关于Logo1_.exe
发信站: BBS 哈工大紫丁香站 (Fri Sep  8 06:00:08 2006)
昨天不止自己的机器，还有同学寝室的机器都中了Logo1_.exe病毒，或者就是木马
中毒的反应首先是生成veevrg.exe进程，也可能出现更多的比如1sy.exe等
杀灭这些进程后再启动任何可执行文件都自动产生Logo1_.exe进程
在网上查到的信息都是与http://www.315safe.com/html/9632.shtml类似
网上介绍的方法不太适用现在机器中毒的情况了
经过摸索总结了下面的杀灭过程，供大家遇到同样情况时的参考：
1 杀灭veevrg.exe，或者1sy.exe、Logo1_.exe等异常进程
2 进入C:\WINDOWS和C:\WINDOWS\system32，把文件按照时间排序，会看到很
  多中毒时新生成的exe文件(有个rundl132.exe，是132，不是l32)和dll文
  件，删除之
3 遇到不能删除的dll文件，先打开cmd，杀灭explorer进程，在命令行中删除
4 删除注册表HLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run和
  HCU/SOFTWARE/Microsoft/Windows/CurrentVersion/Run下的非正常启动项
5 打开注册表HCU/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows,
  里面的load项看起来是空白，实际是写入了不可见字符，需要用修改二进位
  数据清空，或者删除再重建
6 搜索本地硬盘的_desktop.ini文件，这是病毒生成的，需要打开不隐藏系统
  文件的选项才能看到，搜索的时候也要在高级选项里勾上搜索隐藏文件，会
  有成百上千个，非常多，全部删除
7 运行gpedit.msc，打开组策略，用户配置-管理模块-系统-指定不给windows
  运行的程序，点启用，然后点显示，添加Logo1_.exe，这一步阻止了病毒程
  序再被运行，因为中毒后所有的.exe文件都会被感染，一执行一个新的.exe
  文件病毒又重新来了。
这个病毒比较顽固，主要有两个原因，一是一旦中毒会释放dll文件被explorer进程
使用，不好删除，二是启动项设置隐蔽，比较难以发现

另外用到几个软件，都是绿色的小程序，很好用推荐一下，一个是HijackThis.exe
浏览器反劫持，一个是System Repair Engineer 2.0(SREng.exe)，还有一个是
进程查看器IBProcMan.exe，可以查看进程使用的DLL文件
//************************************************************************
偶老婆机器发现的较晚，以下是病毒发作时我的总结
病毒发作时有以下系统进程
0Sy.exe 
1sy.exe 
2sy.exe 
3sy.exe 
4sy.exe 
5sy.exe
exerouter.exe 
EXP10RER.wzw (注意这个不是lo而是10)
finder.exe
Logo1_.exe
rundl132.exe
smss.exe(注意这个是用户进程)
上述应用程序会在系统盘内产生与之对应的文件，要一一干掉；
另外还有shell、vDll.dll文件，也要干掉；
各个分区的根目录、子目录下均有_desktop，要干掉；
C:\Program Files\Internet Explorer\有一个P...的文件夹，
名字没记清，不过这个文件下P...的肯定就那么一个，里面是三个病毒文件，要干掉；
C:\WINDOWS\command文件夹下的文件也被感染病毒，整个文件夹干掉；
另外，C盘下还有一个Intel文件夹,也被感染,变成自动运行病毒程序，要干掉。。
接下来清理注册表把~~
//*******************************************************************
最后一步
发现C:\WINDOWS\system32\winasse.exe
这个文件会开机自动运行
并导致反病毒软件自动关闭
把这个文件干掉之后，电脑完全正常了
//*****************以上信息来源哈工大紫丁香站*********************************

用迅雷搜索Ewido并下载有如下提示：
许多的反木马程序中，Ewido 是最好的。国内的木马x星等和它比简直是小儿科了。最近在http://www.anti-trojan-software-reviews.com/上的测试里表明，它可以有效地检测出多形态和进程注入式木马，这些甚至完全不能被像诺顿和AVG等杀毒软件所查杀。不过它没有TDS-3 或Trojan Hunter有效.但TDS-3目前还没推出支持中文操作系统的版本，Trojan Hunter是英文的没汉化版。但对于个人而言Ewido足够强大了，和kaspersky结合使用加上ZoneAlarm防火墙，可以使得系统坚若磐石。推荐所有没有安装反木马扫描器的个人计算机用户下载这个软件，并每周定期扫描。我猜你可能在你会为所得到的结果感到惊讶，可用到2007.2的KEY: 70EW-TH17Q1-PM-C01-S1W2QD-MEM-NUYY
至于这个key我用了（好像不大管用）************

不过这个软件没有注册也能升级，

//*************************开始杀毒**********************
1、安全模式下用EWIDO来扫描整个计算机（完整扫描），扫描后删除染毒文件。
2、依照上述介绍编写kill。bat文件：
cd\
C:
cd windows
del 0Sy.exe 
del 1sy.exe 
del 2sy.exe 
del 3sy.exe 
del 4sy.exe 
del 5sy.exe
del exerouter.exe 
del EXP10RER.wzw
del finder.exe
del Logo1_.exe
del rundl132.exe
del smss.exe
del shell.dll
del vDll.dll

cd system32

del 0Sy.exe 
del 1sy.exe 
del 2sy.exe 
del 3sy.exe 
del 4sy.exe 
del 5sy.exe
del exerouter.exe 
del EXP10RER.wzw
del finder.exe
del Logo1_.exe
del rundl132.exe
del smss.exe
del shell.dll
del vDll.dll
del winasse.exe
@echo off

net share c$ /del
net share d$ /del
net share e$ /del
net share f$ /del
net share admin$ /del
net share ipc$ /del

wmic process where name="logo1_.exe" call terminate
wmic process where name="rundl132.exe" call terminate
wmic process where name="0Sy.exe" call terminate
wmic process where name="1Sy.exe" call terminate
wmic process where name="2Sy.exe" call terminate
wmic process where name="3Sy.exe" call terminate
taskkill /fi "imagename eq 4Sy.exe"
taskkill /fi "imagename eq 5Sy.exe"
taskkill /fi "imagename eq 6Sy.exe"
taskkill /fi "imagename eq 7Sy.exe"
taskkill /fi "imagename eq 8Sy.exe"
taskkill /fi "imagename eq 9Sy.exe"
wmic process where name="VM_STI.ESE" call terminate
wmic process where name="svchsOt.exe" call terminate
wmic process where name="svchs0t.exe" call terminate
wmic process where name="logo1_.exe" call terminate
wmic process where name="rundl132.exe" call terminate

del c:\windows\logo1_.exe
del c:\windows\rundl132.exe
del c:\windows\0Sy.exe
del c:\windows\1Sy.exe
del c:\windows\2Sy.exe
del c:\windows\3Sy.exe
del c:\windows\4Sy.exe
del c:\windows\5Sy.exe
del c:\windows\6Sy.exe
del c:\windows\7Sy.exe
del c:\windows\8Sy.exe
del c:\windows\9Sy.exe
del c:\windows\logo1_.exe
del c:\windows\rundl132.exe
del c:\windows\svchsO.exe
del c:\windows\svchs0.exe

reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v load
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW /v auto
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows /v ver_down0
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows /v  ver_down1
pause
taskkill /fi "imagename eq cmd.exe"
taskkill /fi "imagename eq cmd.exe"
（哈哈看来是不是有点眼熟其实上述代码大部分也是从网上down的，只有先前的一点代码是我自己写的。）

运行之，再用搜索的办法搜索一下_desktop。ini（是隐藏的要在高级选项中设置一下），然后将结果全删除，以确保非系统分区无病毒，这时你会发现你系统中许多。exe文件已经消失了，最后用ghost恢复系统，没有ghost的可以重装系统。至于消失了的。exe文件只有系统装好后再到网上去下载了。
//****************太麻烦是不是如果大家有更好的方法去除这个*********************
//****************病毒欢迎交流。***********************************************

评论