我的机子在这星期中了logo_1，经一番鏖战后我以微弱优势小胜，现将其经过总结如下：在带网络连接的安全模式下我上网搜到如下信息：发信人: xuxi (show me the money), 信区: Virus 标  题: 关于Logo1_.exe 发信站: BBS 哈工大紫丁香站 (Fri Sep  8 06:00:08 2006)昨天不止自己的机器，还有同学寝室的机器都中了Logo1_.exe病毒，或者就是木马 中毒的反应首先是生成veevrg.exe进程，也可能出现更多的比如1sy.exe等 杀灭这些进程后再启动任何可执行文件都自动产生Logo1_.exe进程 在网上查到的信息都是与http://www.315safe.com/html/9632.shtml类似网上介绍的方法不太适用现在机器中毒的情况了 经过摸索总结了下面的杀灭过程，供大家遇到同样情况时的参考： 1 杀灭veevrg.exe，或者1sy.exe、Logo1_.exe等异常进程 2 进入C:\WINDOWS和C:\WINDOWS\system32，把文件按照时间排序，会看到很   多中毒时新生成的exe文件(有个rundl132.exe，是132，不是l32)和dll文   件，删除之 3 遇到不能删除的dll文件，先打开cmd，杀灭explorer进程，在命令行中删除 4 删除注册表HLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run和   HCU/SOFTWARE/Microsoft/Windows/CurrentVersion/Run下的非正常启动项 5 打开注册表HCU/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows,   里面的load项看起来是空白，实际是写入了不可见字符，需要用修改二进位   数据清空，或者删除再重建 6 搜索本地硬盘的_desktop.ini文件，这是病毒生成的，需要打开不隐藏系统   文件的选项才能看到，搜索的时候也要在高级选项里勾上搜索隐藏文件，会   有成百上千个，非常多，全部删除 7 运行gpedit.msc，打开组策略，用户配置-管理模块-系统-指定不给windows   运行的程序，点启用，然后点显示，添加Logo1_.exe，这一步阻止了病毒程   序再被运行，因为中毒后所有的.exe文件都会被感染，一执行一个新的.exe   文件病毒又重新来了。 这个病毒比较顽固，主要有两个原因，一是一旦中毒会释放dll文件被explorer进程 使用，不好删除，二是启动项设置隐蔽，比较难以发现 另外用到几个软件，都是绿色的小程序，很好用推荐一下，一个是HijackThis.exe 浏览器反劫持，一个是System Repair Engineer 2.0(SREng.exe)，还有一个是 进程查看器IBProcMan.exe，可以查看进程使用的DLL文件 //************************************************************************偶老婆机器发现的较晚，以下是病毒发作时我的总结 病毒发作时有以下系统进程 0Sy.exe  1sy.exe  2sy.exe  3sy.exe  4sy.exe  5sy.exe exerouter.exe  EXP10RER.wzw (注意这个不是lo而是10) finder.exe Logo1_.exe rundl132.exe smss.exe(注意这个是用户进程) 上述应用程序会在系统盘内产生与之对应的文件，要一一干掉； 另外还有shell、vDll.dll文件，也要干掉； 各个分区的根目录、子目录下均有_desktop，要干掉； C:\Program Files\Internet Explorer\有一个P...的文件夹， 名字没记清，不过这个文件下P...的肯定就那么一个，里面是三个病毒文件，要干掉； C:\WINDOWS\command文件夹下的文件也被感染病毒，整个文件夹干掉； 另外，C盘下还有一个Intel文件夹,也被感染,变成自动运行病毒程序，要干掉。。 接下来清理注册表把~~ //*******************************************************************最后一步 发现C:\WINDOWS\system32\winasse.exe 这个文件会开机自动运行 并导致反病毒软件自动关闭 把这个文件干掉之后，电脑完全正常了 //*****************以上信息来源哈工大紫丁香站********************************* 用迅雷搜索Ewido并下载有如下提示：许多的反木马程序中，Ewido 是最好的。国内的木马x星等和它比简直是小儿科了。最近在http://www.anti-trojan-software-reviews.com/上的测试里表明，它可以有效地检测出多形态和进程注入式木马，这些甚至完全不能被像诺顿和AVG等杀毒软件所查杀。不过它没有TDS-3 或Trojan Hunter有效.但TDS-3目前还没推出支持中文操作系统的版本，Trojan Hunter是英文的没汉化版。但对于个人而言Ewido足够强大了，和kaspersky结合使用加上ZoneAlarm防火墙，可以使得系统坚若磐石。推荐所有没有安装反木马扫描器的个人计算机用户下载这个软件，并每周定期扫描。我猜你可能在你会为所得到的结果感到惊讶，可用到2007.2的KEY: 70EW-TH17Q1-PM-C01-S1W2QD-MEM-NUYY 至于这个key我用了（好像不大管用）************ 不过这个软件没有注册也能升级， //*************************开始杀毒**********************1、安全模式下用EWIDO来扫描整个计算机（完整扫描），扫描后删除染毒文件。2、依照上述介绍编写kill。bat文件：cd\C:cd windowsdel 0Sy.exe  del 1sy.exe  del 2sy.exe  del 3sy.exe  del 4sy.exe  del 5sy.exe del exerouter.exe  del EXP10RER.wzw del finder.exe del Logo1_.exe del rundl132.exe del smss.exedel shell.dlldel vDll.dll cd system32 del 0Sy.exe  del 1sy.exe  del 2sy.exe  del 3sy.exe  del 4sy.exe  del 5sy.exe del exerouter.exe  del EXP10RER.wzw del finder.exe del Logo1_.exe del rundl132.exe del smss.exedel shell.dlldel vDll.dlldel winasse.exe @echo off net share c$ /delnet share d$ /delnet share e$ /delnet share f$ /delnet share admin$ /delnet share ipc$ /del wmic process where name="logo1_.exe" call terminatewmic process where name="rundl132.exe" call terminatewmic process where name="0Sy.exe" call terminatewmic process where name="1Sy.exe" call terminatewmic process where name="2Sy.exe" call terminatewmic process where name="3Sy.exe" call terminatetaskkill /fi "imagename eq 4Sy.exe"taskkill /fi "imagename eq 5Sy.exe"taskkill /fi "imagename eq 6Sy.exe"taskkill /fi "imagename eq 7Sy.exe"taskkill /fi "imagename eq 8Sy.exe"taskkill /fi "imagename eq 9Sy.exe"wmic process where name="VM_STI.ESE" call terminatewmic process where name="svchsOt.exe" call terminatewmic process where name="svchs0t.exe" call terminatewmic process where name="logo1_.exe" call terminatewmic process where name="rundl132.exe" call terminate del c:\windows\logo1_.exedel c:\windows\rundl132.exedel c:\windows\0Sy.exedel c:\windows\1Sy.exedel c:\windows\2Sy.exedel c:\windows\3Sy.exedel c:\windows\4Sy.exedel c:\windows\5Sy.exedel c:\windows\6Sy.exedel c:\windows\7Sy.exedel c:\windows\8Sy.exedel c:\windows\9Sy.exedel c:\windows\logo1_.exedel c:\windows\rundl132.exedel c:\windows\svchsO.exedel c:\windows\svchs0.exe reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v loadreg delete HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW /v autoreg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows /v ver_down0reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows /v  ver_down1pausetaskkill /fi "imagename eq cmd.exe"taskkill /fi "imagename eq cmd.exe"（哈哈看来是不是有点眼熟其实上述代码大部分也是从网上down的，只有先前的一点代码是我自己写的。） 运行之，再用搜索的办法搜索一下_desktop。ini（是隐藏的要在高级选项中设置一下），然后将结果全删除，以确保非系统分区无病毒，这时你会发现你系统中许多。exe文件已经消失了，最后用ghost恢复系统，没有ghost的可以重装系统。至于消失了的。exe文件只有系统装好后再到网上去下载了。//****************太麻烦是不是如果大家有更好的方法去除这个*********************//****************病毒欢迎交流。***********************************************

评论