恭喜你中病毒了!
我们的局域网中机器越来越多的感染了这个病毒,我在网上查到一些办法来清除病毒,并且在CSDN里也看到对该病毒的提问和解决办法。在安全模式下手动清除,并且在注册表中和启动项中都删除想关的东西。但是机器重新启动后,过一段时间就会在WINNT中生成名为1的引用程序,然后又出现rundl132和logo1_这两个病毒。
看介绍说是感染了EXE文件,有没有什么办法可以彻底清除该病毒的,还有清除后还要注意哪些防范措施。
这是一个通过共享传播的蠕虫病毒。该病毒运行后除了会在系统目录中释放多个木马病毒,还会在除系统盘以为的其他所有磁盘根目录下释放木马病毒和自运行脚本,只要进入该磁盘,病毒就会运行。同时病毒还会修改大量的文件关联,使得用户每次打开这些文件的时候病毒就得到了运行。该蠕虫病毒是通过网络共享传播的,它会将自己拷贝到局域网内所有的共享目录和其所有子目录中,诱骗其他用户运行。
1.将自己拷贝到C:\WINNT\rundl132.exe
2.释放另一蠕虫病毒到C:\Program Files\svhost32.exe(也是worm.Beann)
3.添加注册表启动项:
蠕虫的:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
"load"="C:\WINNT\rundl132.exe"
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
"load"="C:\PROGRA~1\svhost32.exe"
木马的:
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
"TProgram"="C:\WINNT\smss.exe"
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
"ToP"="C:\WINNT\LSASS.exe"
4.在当前目录下释放vDll.dll
5.释放一传奇木马病毒C:\WINNT\System32\ztdll.dll(Win32.Troj.Lineage.zc)
6..释放Win32.Troj.PSWWoW木马病毒的多个副本:
C:\WINNT\1.com
C:\WINNT\1SY.EXE
C:\WINNT\smss.exe
C:\WINNT\finders.com
C:\WINNT\EXP10RER.com
C:\WINNT\exerouter.exe
C:\WINNT\System32\rund1132.com
C:\WINNT\System32\command.pif
C:\WINNT\System32\MSCONFIG.COM
C:\WINNT\System32\dxdiag.com
C:\WINNT\System32\regedit.com
C:\WINNT\Debug\DebugProgram.exe
C:\progra~1\intern~1\inexplore.com
C:\progra~1\common~1\inexplore.pif
7.释放Win32.Troj.PSWLmir.xi木马病毒的多个副本:
C:\WINNT\2SY.EXE
C:\WINNT\LSASS.exe
C:\WINNT\EXERT.exe
C:\WINNT\System32\MSCONFIG.COM
C:\WINNT\System32\dxdiag.com
C:\WINNT\System32\regedit.com
C:\WINNT\Debug\DebugProgram.exe
C:\progra~1\intern~1\INTEXPLORE.com
C:\progra~1\common~1\INTEXPLORE.pif
8.在其他盘根目录下释放Win32.Troj.PSWWoW病毒副本:
(在此只写了D盘的)
D:\command.com
并生成一个D:\autorun.inf,其内容如下:
[autorun]
OPEN=D:\command.com
此外还有一个.ini文件,该文件只纪录了当前的日期
D:\_desktop.ini
2006/5/26
9.将蠕虫拷贝到局域网所有的共享目录和其所有子目录中
10.修改大量文件关联:
HKLM\SOFTWARE\Classes\htmlfile\shell\open\command
(Default)=""C:\Program Files\Internet Explorer\inexplore.com" -nohome"
HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
(Default)=""C:\Program Files\Internet Explorer\inexplore.com""
HKCR\ftp\shell\open\command
(Default)=""C:\Program Files\Internet Explorer\inexplore.com" %1"
HKCR\htmlfile\shell\open\command
(Default)=""C:\Program Files\Internet Explorer\inexplore.com" -nohome"
HKCR\htmlfile\shell\opennew\command
(Default)=""C:\Program Files\common~1\inexplore.pif""
HKCR\http\shell\open\command
(Default)=""C:\Program Files\common~1\inexplore.pif" -nohome"
HKLM\SOFTWARE\Classes\http\shell\open\command
(Default)=""C:\Program Files\common~1\inexplore.pif" -nohome"
HKCR\Drive\shell\find\command
(Default)="%SystemRoot%\EXP10RER.com"
HKLM\SOFTWARE\Classes\htmlfile\shell\open\comman
(Default)=""C:\Program Files\Internet Explorer\inexplore.com" -nohome"
HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
(Default)=""C:\Program Files\Internet Explorer\inexplore.com""
HKCR\ftp\shell\open\command
(Default)=""C:\Program Files\Internet Explorer\inexplore.com" %1"
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
Cookies="C:\Documents and Settings\jjwen1\Cookies"
HKCR\htmlfile\shell\open\command
(Default)=""C:\Program Files\Internet Explorer\inexplore.com" -nohome"
HKCR\htmlfile\shell\opennew\command
(Default)=""C:\Program Files\common~1\inexplore.pif""
HKCR\http\shell\open\command
(Default)=""C:\Program Files\common~1\inexplore.pif" -nohome"
HKLM\SOFTWARE\Classes\http\shell\open\command
(Default)=""C:\Program Files\common~1\inexplore.pif" -nohome"
HKCR\WindowFiles\shell\open\command
(Default)="C:\WINNT\EXERT.exe "%1" %*"
HKCR\.exe
(Default)="WindowFiles"
下面是总结了各种办法共大家参考:
方法一:
logo1_.exe病毒清除办法
在网上看到关于logo1_.exe病毒的情况,结合我在实际中清除病毒的经验特总结一下,给中此病毒的网友以参 考,我是参考了“网星”和其他网友的帖子综合的,不算我的原创哦,只能是帮助大家尽快清除这可恶的病毒。
在网上看到关于logo1_.exe病毒的情况,结合我在实际中清除病毒的经验特总结一下,给中此病毒的网友以参考,我是参考了“网星”和其他网友的帖子综合的,不算我的原创哦,只能是帮助大家尽快清除这可恶的病毒:
关于 logo1_.exe基本介绍:
病毒名称:
worm@w32.looked
病毒别名:virus.win32.delf.62976 [kaspersky], w32/hllp.philis.j [mcafee],w32.looked [symantec] net-worm.win32.zorin.a
病毒型态:worm (网络蠕虫)
病毒发现日期:2004/12/20
影响平台:windows 95/98/me , windows nt/2000/xp/2003
风险评估:散播程度:中;破坏程度:中.
主要症状:
1、占用大量网速,使机器使用变得极慢。
2、会捆绑所有的exe文件,只要一运用应用程序,在winnt下的logo1.exe图标就会相应变成应用程序图标。
3、有时还会时而不时地弹出一些程序框,有时候应用程序一起动就出错,有时候起动了就被强行退出。
4、网吧中只感梁win2k pro版,server版及xp系统都不感染。
5、能绕过所有的还原软件。
详细技术信息:
病毒运行后,在%windir%生成 logo1_.exe 同时会在windws根目录生成一个名为virdll.dll的文件。
%windir%virdll.dll
该蠕虫会在系统注册表中生成如下键值:
[hkey_local_machinesoftwaresoftdownloadwww]
auto = 1
盗取密码
病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码,将游戏密码发送到该木马病毒的植入者手中。阻止以下杀毒软件的运行病毒试图终止包含下列进程的运行,这些多为杀毒软件的进程。 包括卡八斯基,金山公司的毒霸。瑞星等。98%的杀毒软件运行。国产软件在中毒后都被病毒杀死,是病毒杀掉-杀毒软件。如金山,瑞星等。哪些软件可以认出病毒。但是认出后不久就阵亡了。通过写入文本信息改变%system%driversetchosts 文件。这就意味着,当受感染的计算机浏览许多站点时(包括众多反病毒站点),浏览器就会重定向到66.197.186.149。
病毒感染运行windows操作系统的计算机,并且通过开放的网络资源传播。一旦安装,蠕虫将会感染受感染计算机中的.exe文件。该蠕虫是一个大小为82k的windows pe可执行文件。通过本地网络传播该蠕虫会将自己复制到下面网络资源:
admin$
ipc$
症状:
蠕虫会感染所有.exe的文件。但是,它不会感染路径中包含下列字符串的文件:
program files
common files
complus applicati
documents and settings
netmeeting
outlook express
recycled
system
system volume information
system32
windows
windows media player
windows nt
windowsupdate
winnt
蠕虫会从内存中删除下面列出的进程:
eghost.exe
iparmor.exe
kavpfw.exe
kwatchui.exe
mailmon.exe
ravmon.exe
z
网吧遭此病毒破坏造成大面积的卡机,瘫痪。危害程度可以和世界排名前十的爱情后门变种相比。该病毒可以通过网络传播,传播周期为3分钟。如果是新做的系统处于中了毒的网络环境内,只要那个机器一上网,3分钟内必定中招。中招后你安装 rising skynet symantec mcafee gate rfw.exe ravmon.exe kill nav 等杀毒软件 都无法补救你的系统,病毒文件 logo1_.exe 为主体病毒,他自动生成病毒发作所需要的的 sws32.dll sws.dlll kill.exe 等文件。这些文件一但衍生。他将迅速感染系统内explore 等系统核心进程 及所以.exe的可执行文件,外观典型表现症状为 传奇 ,泡泡堂,等游戏图标变色。 此时系统资源可用率极低,你每重新启动一次,病毒就会发作一次。该病毒对于防范意识较弱,还原软件未能及时装到位的网吧十分致命,其网络传播速度十分快捷有效。旧版的杀毒软件无法检测,新版的无法彻底根杀。一但网吧内某台机器中了此病毒,那么该网吧所有未中毒的机器都处于危险状态。由于病毒发作贮留于内存。且通过explore.exe 进行传播。因此即使是装了还原精灵,还原卡的机器也同样会被感染。你重新启动后系统可以还原。但是你一但开机还是会被感染。
病毒发作会生成另外病毒 pwsteal.lemir.gen 和 trojan.psw.lineage 等等。都是些非常厉害的后门程序。和外挂病毒相似,但是其威力是外挂病毒的50倍以上。在win98平台下,改病毒威害比较小。在win2000 /xp/2003
平台对于网吧系统是致命的。运行系统极度卡机。你重新启动后你会发现你所有游戏的.exe 程序全部都感染了最新杀毒软件杀完后。除了系统可以勉强运行。其他的你也别想运行了。
病毒清理办法:
如果在病毒没有发作情况下杀毒是可以完全搞定的。如果发作了也不要杀毒了。直接克盘恢复吧。
一、找到注册表中[hkey_local_machinesoftwaresoftdownloadwww]
auto = 1
删除downloadwww主键
二、找到
[hkey_local_machinesoftwaremicrosoftwindows ntcurrentversioninifilemappingsystem.iniboot]
winlogo 项,把winlogo 项 后面的c:winntsws32.dll 删掉,接下来把hkey_local_machine]software/microsoft/windows/currentversi 键中 /runonce/runonceex 两个中其中有个是也是
c:winntsws32.dll
把类似以上的全部删掉 注意不要删除默认的键值(删了的话后果自负)
如果没有以上键值,则直接跳过此步骤
三 结束进程
按“ctrl+alt+del”键弹出任务管理器,找到logo1_.exe 等进程,结束进程,可以借助绿鹰的进程管理软件处理更方便。找到expl0rer.exe进程(注意第5个字母是数字0不是字母o),找到它后选中它并点击“结束进程” 以结束掉(如果expl0rer.exe进程再次运行起来需要重做这一步)。
四 装杀毒软件
装完后不要重新启动(切记)直接升级病毒库,升级完后,把c:winnt 目录下所有带毒文件删除。然后运行杀毒软件开始杀毒。杀完后。还有几个杀毒软件无法删掉的东西要把名字记下来。因为不同的系统有不同的名字。所以这里说不清楚了。自己记下来。,重新启动后再次杀毒。记的把可疑的进程的结束。否则杀毒软件无法干净杀毒。还有最重要的一点记的把杀毒软件无法清除的病毒设置为删除文件。一般要重复杀毒3-5次才能杀干净。
五 看看杀毒后的系统。
缺少的了很多系统文件。系统处于危险状态。如果你有ghost 备份。这个时候恢复一下。系统可以干净无损。如果没有请运行 sfc 命令检查文件系统。具体操作为 运行-输入cmd 命令进入dos 提示符。-输入sfc
/scannow -- 提示放入系统光盘。--放进去吧。然后慢慢等。看看成果。杀毒效果显著。毒杀干净了。但是杀完毒后很多游戏都玩不了。忙了一圈都不知道自己在忙什么。 郁闷吧。然后重新做系统吧。谁叫中毒的是网吧的系统杀毒及重装系统后的防范。有些网友在处理病毒的时候可能有这样的感觉好不容易清除了,或者没办法重新装了系统,但是没多长时间有中了同样的病毒,所以说有免疫程序实最好的了。
下面就将免疫程序公布如下,供网友们下载使用: 建议做系统的时候把默认共享关闭。关闭ipc$ admin$ 关闭554 关闭icmp路由。给administrator 组所有成员设置密码。最好数字加英文
下载地址可以到
http://www.e169.net的软件下载中去找找,你可以直接通过下面的网址下载:
http://www.e169.net/softdown/list.asp?id=151 文件说明下载解压后有3个文件dellogo.bat放在winnt目录下,98的用户放到windows目录下delshare.bat放到开始菜单--程序---启动项中,目的能让计算机启动后就删除默认共享,从而阻止病毒对外传播和再次感染的桥梁。ljl.reg下载后直接运行这个文件,提示,信息导入注册表后,说明写入注册表成功,目的是让计算机重新启动后能立刻删除病毒主题文件logo1_.exe文件。要注意的实这个注册表导入文件是针对win2000系统的,如果您是其他的操作系统,请参考修改一下就可以。
以上操作只是阻断传播,如果怕在使用中感染此病毒,您还需要按照如下操作,这样即使病毒感染,也不能运行主体病毒程序。当然这里说的操作实针对win2000系统的,其他的系统可以参考操作:
运行 gpedit.msc 打开组策略
依次单击用户配置- 管理模块- 系统-指定不给windows运行的程序点启用 然后 点显示 添加 logo1_exe 也就是病毒的源文件 。
方法二:
时解决办法是先把进程结束了,在windows目录下面新建两个和logo1_.exe与rundl132.exe同名的文件夹,设属性为只读和隐藏就可以了,当然原来的病毒文件要先删掉.
然后去下面下载专杀工具:
http://it.rising.com.cn/service/technology/RavVikiing.htm进安全模式,杀吧.
杀完后,检查查杀结果,看看查出的文件是不是全部清除了,如果还有几个为"无法清除"状态
就看看这几个是什么文件,如果不是什么重要文件,就手工删掉.
然后再进入系统,所有文件的图标都正常了,病毒死光.
以上是我刚经历过的方法.没有照搬网上
----------------------------------------------------------
我前天刚中了这个病毒.用临时方法解决了,但图标没有全恢复过来.
昨天又中了灰鸽子,于是重装了系统
发现重装系统后viking病毒还在!!强吧.
不过安全模式用专杀杀一下就可以了.
方法三:
典型的viking病毒的症状.
首先viking病毒的所有发作症状就不必再罗列了。
介绍下自己的解决办法吧。。未必是最好的。。但到目前为止系统运行正常。
1.运行windows update把系统的补丁打上.
2.修改你登录系统时的密码,如果没猜错的话.你在登录系统时没有设置密码.viking病毒正是利用了这一特征.设置密码虽然在每次登录系统时麻烦了点,但必竟比病毒发作要强不少了,很多人都是因为这一点中了viking病毒的,俺自己也不例外.
3.删除所有已经被感染过的exe文件:图标已经变花的exe文件就是被感染的文件.
4.在安全模式下删除病毒文件:包括rundl132.exe和logo1_.exe;还有另外的病毒生成文件_desktop.ini(隐藏文件,大小为10个字节左右,内容格式如2006/9/12)
5.如果还觉得不放心的话,安装瑞星,然后用瑞星的漏洞扫描程序再把系统补丁打全.
补充一下:
第4条里可能还需要删除的文件有:vdll.dll和1.txt和0Sy.exe和1Sy.exe和2Sy.exe,如果机器里有这几个文件的话,当然都是在安全模式下.
