Logo1_.exe太牛B勒...
早上下某毛片的种子结果中了这么个东西...瞬间系统感染病毒N多...什么乱七八糟的木马都被这病毒下来了后来去网站查怎么清除这病毒 网上说这玩意每次重启CPU都会进一步感染系统文件 而且会自动下载QQ和网游的木马 当重启5次后系统就全部崩溃了 我靠
由于之前已经重启过一次 我按照网上的清除方法已经不相对应了 于是就重装系统 重装后发现光格了C盘还不行...D盘的程序也被感染 当我启动梦幻西游.EXE时再次出现Logo1_又回到了重装前的装备
最后没辙 网站也说如果已经感染了就没别的方法了 只能克盘了...我也没办法 连C带D盘一起格了 现在电脑里真干净啊 除了系统啥也没
还好我的硬盘只有6G 全丢了也不会损失太大 机器烂也有机器烂的好处
有兴趣的与我同享此福
---------------------------------------------------------------------------------------------------------
关于 Logo1_.exe(W32/HLLP.Philis.gtrojan.pwsteal.gen ) 病毒解决方案及免疫补丁的制作!
W32/HLLP.Philis.g 病毒,最近发作比较平繁。造成好多朋友网吧遭此病毒破坏造成大面积的卡机,瘫痪。我查遍了好多病毒,和自己收集的病毒样本做了比较,发现此病毒极度变态。危害程度可以和世界排名前十的爱情后门变种相比。该病毒可以通过网络传播,传播周期为3分钟。如果是新做的系统处于中了毒的网络环境内,只要那个机器一上网,3分钟内必定中招。中招后
你安装 rising SkyNet Symantec McAfee Gate Rfw.exe RavMon.exe killNAV 等杀毒软件 都无法补救你的系统,病毒文件 Logo1_.exe 为主体病毒,他自动生成病毒发作所需要的的 SWS32.DLL SWS.DLLL KILL.EXE 等文件。这些文件一但衍生。他将迅速感染系统内EXPLORE等系统核心进程 及所以.exe的可执行文件,外观典型表现症状为 传奇 ,泡泡堂,等游戏图标变色。 此时系统资源可用率极低,你每重新启动一次,病毒就会发作一次,重新启动5次后系统基本崩溃。
该病毒对于防范意识较弱,还原软件未能及时装到位的网吧十分致命,其网络传播速度十分快捷有效。旧版的杀毒软件无法检测,新版的无法彻底根杀。一但网吧内某台机器中了此病毒,那么该网吧所有未中毒的机器都处于危险状态。由于病毒发作贮留于内存。且通过EXPLORE.exe 进行传播。因此即使是装了还原精灵,还原卡的机器也同样会被感染。你重新启动后系统可以还原。但是你一但开机还是会被感染。
logo1_.exe( W32/HLLP.Philis.g) 病毒发作会生成另外几中病毒 PWSteal.Lemir.Gen 和 trojan.psw.lineage 等等。都是些非常厉害的后门程序。和外挂病毒相似,但是其威力是外挂病毒的50倍以上。在WIN98平台下,改病毒威害比较小。在WIN2000 /XP/2003 平台对于网吧系统是致命的
关于此病毒的技术报告如下(本人原创的哦。支持的顶一下)
病毒名称:W32/HLLP.Philis.g 或者 (用著名杀毒软件麦咖啡(MACFEE )检测结果,其他杀毒软件检测为trojan类木马
病毒类型:木马程序
病毒长度:随机的
受影响的系统:Windows /98/NT/2000/XP/2003
病毒特征:
假如你手动运行logo1_.exe 你的系统就GAMEOVER了。运行系统极度卡机。你重新启动后你会发现你所有游戏的.EXE 程序全部都感染了。用
最新杀毒软件杀完后。除了系统可以勉强运行。其他的你也别想运行了。
1病毒体 C:\winnt 目录下logo1_.exe 。KILL.EXE sws32.dll 等文件是病毒发作后的文件。
2、生成病毒文件
病毒运行后,在c:\winnt 下自己拷贝生成病毒文件,文件的名称是可变,根据不同的变种相应有不同的名称。好像一共有5个文件。其中
由3个是.exe 2 个是.DLL 文件。其中有KILL.EXE 等。具体的记不大清楚了。
3、修改注册表
病毒对注册表进行修改,在
winlogo 项和
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和
SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/中添加键值=%System%(其中,和为可变的),使得在下
次
系统启动时,病毒可随之自动运行。
4、盗取密码
病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码,将游戏密码发送到该木马病毒的植入者手中。
5、阻止以下杀毒软件的运行
病毒试图终止包含下列进程的运行,这些多为杀毒软件的进程。 包括卡八斯基,金山公司的毒霸。瑞星等。98%的杀毒软件运行。
国产软件在中毒后都被病毒杀死,是病毒杀掉-杀毒软件。如金山,瑞星等。哪些软件可以认出病毒。但是认出后不久就阵亡了。。本人一
直都支持国产,但是在电脑和手机方面就没办法支持了。郁闷 中~~~
进程如下 :
rising
SkyNet
Symantec
McAfee
Gate
Rfw.exe
RavMon.exe
kill
NAV
KAV
LAST 最后说一下解决方案 都是本人个人经验 有不足之处还请各位多多补充。
先下载好你认为比较好的杀毒软件。此时不要安装。就是安装了也是白安装。所有软件安装后很快就被感染。这里不推荐使用金山,瑞星,江
明,SPANT 等。推荐使用卡八斯基5.0版 和我最喜欢的麦咖啡杀毒软件。
请先去把系统设置为“显示隐藏文件”,因为病毒以隐藏属性伪装,不做此设置将无法看到它,设置的方法如下
打开“我的电脑”;
依次打开菜单“工具/文件夹选项”;
然后在弓单出的“文件夹选项”对话框中切换到“查看”页;
去掉“隐藏受保护的操作系统文件(推荐)”前面的对钩,让它变为不选状态;
在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项;
去掉“隐藏已知文件类型的扩展名”前面的对钩,也让它变为不选状态;
最后点击“确定”。
二、修改注册表
winlogo 项
把WINLOGO 项 后面的C:\WINNT\SWS32.DLL 干掉(就是删掉的意思^_^)
接下来把HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/Run 键中/RunOnce/RunOnceEx两个中其中有个是也是
C:\WINNT\SWS32.dll
把类似以上的全部删掉 注意不要删除默认的键值(删了的话后果自负)
三结束进程
按“Ctrl+Alt+Del”键弓单出任务管理器,找到SWS32 进程,名字记不大清楚了,反正看到最多的进程就杀杀杀!!!!还有几个很少看到的进
程。什么AUS***之类的都干掉他。找到EXPL0RER.EXE进程(注意第5个字母是数字0不是字母O),找到它后选中它并点击“结束进程”以结束掉
木马进程。然后迅速做下面一步,只所以要迅速是因为如果动作慢的话,木马可能会自动恢复而再次运行起来,这样就无法删除掉其他木马文
件了(如果EXPL0RER.EXE进程再次运行起来需要重做这一步)。
四 装杀毒软件
装完后不要重新启动(切记)直接升级病毒库,升级完后,把C:\winnt目录下所有带毒文件删除。然后运行杀毒软件开始杀毒。
杀完后。还有几个杀毒软件无法删掉的东西要把名字记下来。因为不同的系统有不同的名字。所以这里说不清楚了。自己记下来。
重新启动后再次杀毒。记的把可疑的进程的结束。否则杀毒软件无法干净杀毒。还有最重要的一点记的把杀毒软件无法清除的病毒设置为删除
文件。一般要重复杀毒3-5次才能杀干净。
五。看看杀毒后的系统。
缺少的了很多系统文件。系统处于危险状态。如果你有GHOST 备份。这个时候恢复一下。系统可以干净无损。如果没有请运行 SFC 命令检查
文件系统。具体操作为 运行-输入CMD 命令进入DOS 提示符。-输入SFC /scannow --提示放入系统光盘。--放进去吧。然后慢慢等。
看看成果。杀毒效果显著。毒杀干净了。但是杀完毒后很多游戏都玩不了。忙了一圈都不知道自己在忙什么。郁闷吧。然后重新做系统吧。谁
叫中毒的是网吧的系统。
PS:如果在病毒没有发作情况下杀毒是可以完全搞定的。如果发作了也不要杀毒了。直接克盘恢复吧。
在短短的28小时内我接到3个网吧老板的电话。。。。。。。。做技术员真命苦。。。。。。
这是本人第一次写这么长的资料。也是忙碌1年半后潜水1年半后。重新的回到技术员的身份(以前我经常发招聘的帖。不过PS哦我不是老板,
招人都是帮朋友招的。我还是网管是大家的同行和朋友)。爱情后门,爱情后门变种。FUNLOVE 变种等病毒曾经把我朋友弄的网吧一度处于停
业状态。写此文的目的就是希望大家同行群策群力做好预防工作。最好能够自己写出个免疫补丁。希望所有人的技术都在进步~~~~网星祝福所
有网管兄弟天天开心。
PS:做系统的时候把默认共享关闭。关闭IPC$ ADMIN$ 关闭554 关闭ICMP路由。给ADMINISTRATOR 组所有成员设置密码。最好数字加英文(爱
情后门病毒可以破解简单的密码而进行大规模的快速传播)。 关闭了这些服务加上杀毒软件。LOGO1.exe 基本上拿你没折了。但是如果是批量
克盘 建议客户机不要使用卡八等杀毒软件。克盘时网线拔掉,克好盘要迅速装好还原精灵 。为什么要迅速,不用我说了吧。
辛辛苦苦写的手都酸了。。天不知觉的也亮起来了。。。。转贴时希望大家珍惜我的劳动成果。
接上文。经过一段时间的观察,我找到了可以改病毒的免疫补丁(只适用于没有感染该病毒或者已经感染该病毒但是没有发作的机器)其实很简单只要每次开机删除病毒体文件 LOGO1_1.exe那么即使感染了该病毒的机器也可以救回来。用这个方法本人救活了2家网吧180台机器。目前为止情况正常。
LOGO1_.exe 免疫补丁制作如下:
1 编写批处理文件。开机自动删除logo1_.exe 作用是即使中了该病毒,由于开机后自动删除该病毒。那 么该病毒永远无法发作。
批处理文件内容如下:
del c:\winnt\logo1_.exe (就这一行。先保存为记事本,然后保存为.bat的批处理文件。
2 设置改批处理开机自动运行。
修改注册表 加入以下项
Windows Registry Editor Version 5.00
"auto"="E:\\网络游戏\\auto.bat"
把上端文本保存为 .REG文件。然后导入注册表。{ E:\\网络游戏\\auto.bat } 该路径为你刚刚编写批处理所在的目录。很重要。
好了到此为止你可以安心睡觉去了。。不用再怕那可恶的LOGO1_.exe了。。
本人再次强调一点。如果该病毒已经在你电脑里发作了。那么还是不要去救了。。直接重新克盘吧。
如果没有发作。那么用上面方法可以救活你的电脑。判断依据是 看看网络游戏图标有没有变色。还有
c:\winnt 目录下有没有KILL.exe sws.dll sws32.dll 文件。
呵呵说的够清楚了吧。
--杀手logo1_.exe等病毒
LOGO1_.exe木马病毒,看上去,这个木马病毒会盗一些密码发送到指定的信箱中,更难缠的是它会将自己捆绑附加到EXE文件中(加在前端),当被捆绑的EXE文件运行后病毒会再次被激活,较难处理。
病毒激活后会在%Windows%下生成LOGO1_.EXE病毒文件,另外还会释放一个virDLL.DLL文件。目前Duba已经查杀(19日晚更新),Kaspersky等一些反病毒软件也可以查杀该病毒,但对于被捆绑的EXE文件操作似乎是删除,未能清除。
上半周,dmsti.exe病毒被感染得比较多,这个是“Alerter”病毒(又名GOLTEN)释放的一个木马程序,加在注册表 HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\WinLogon下的Shell后边,系统启动时它就会被运行,另外在这个注册表位置下还建立了一个“dfile” 的键,内容是一个网站上的exe文件,该文件也是“Alerter”病毒。这“Alerter”病毒释放出一些DLL文件(COMWSOCK.DLL、 DMSOCK.DLL、IETCOM.DLL、SPTRES.DLL ),它们会加载到一些系统及应用程序的进程中,并试图发送病毒邮件。病毒邮件的内容关于刚去世的巴勒斯坦民族权力机构前主席阿拉法特,附件为带有EMF漏洞(MS04-032)的病毒图片。遇到此问题的用户可以运行“REGEDIT”打开注册表编辑器,定位到“HKEY_LOCAL_MACHINE\\ Software\\Microsoft\\Windows NT\\CurrentVersion\\WinLogon”,修改右边“Shell”的内容,将“Explorer.exe dmsti.exe”修改为“Explorer.exe”,再将“dfile”项删除,除此之外,还要使用杀毒软件对系统盘进行全面查杀。
后半周比较突出的是现在仍未得到很好处理的LOGO1_.exe木马病毒,看上去,这个木马病毒会盗一些密码发送到指定的信箱中,更难缠的是它会将自己捆绑附加到EXE文件中(加在前端),当被捆绑的EXE文件运行后病毒会再次被激活,较难处理。
病毒激活后会在%Windows%下生成LOGO1_.EXE病毒文件,另外还会释放一个virDLL.DLL文件。目前Duba已经查杀(19日晚更新),Kaspersky等一些反病毒软件也可以查杀该病毒,但对于被捆绑的EXE文件操作似乎是删除,未能清除。
再说说一些比较常见的木马病毒的情况,一般情况下,如果发现的是EXE等可执行文件,可以尝试在安全模式下删除,或者结束它(们)的进程后再删除,如果是发现DLL文件,也可以尝试在安全模式下进行删除,如果删除不了,一般是加载到Explorer.exe或其它EXE的进程中,这时可以尝试到带命令提示的安全模式或DOS下删除它(们),当然,也可以结束Explorer.exe等进程后再查杀。
常见的“灰鸽子”,一般是一个EXE文件和一个DLL文件,如果反病毒软件只查到一个DLL文件,如G_SERVER.DLL,这时你可以找找有没有G_SERVER.EXE,如果存在,就把它们两个都删除。一般EXE文件可能会被加在启动项或服务中,运行后释放DLL文件,之后可能自身会退出进程,不易被用户发觉。
以下是几点预防建议
1. 建议通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack),其中MS04-011、MS04-012、MS04-013、MS03-001、MS03-007、MS03-049、MS04-032等补丁尤为重要。
2. 给系统管理员帐户设置足够复杂的管理员密码,最好是10位以上,字母+数字+其它符号
3. 安装使用网络防火墙软件,可以有效地阻挡病毒的入侵。部分盗版Windows用户不能正常安装补丁,也可以通过使用网络防火墙来进行防护
4. 关闭没有必要的共享目录
5. 不要运行陌生、可疑程序和文件
6. 使用外挂要小心,可能还有木马或病毒程序
[ 本帖最后由 breaker 于 2006-9-5 14:50 编辑 ] 硬盘6g..orz 穷啊...米办法 想换电脑家里没钱给我换
现在机器除了加了个256的内存 其他的还是联想1+1的原配置
已经可以和从地里挖出来的机器有的拼了 ~~~~
好辛酸的笑容 症状编辑到楼顶的 有兴趣与我同享的也试试-3-
ME碎叫去~- - 怎么还是这破机器。。。。
谁让你又看毛片该! 汗- -为什么发水区 .....好外道又不保险的杀毒方法...真是技术人员写的么...? 这种东西看多了就没感觉了
这么多年了你还看这个- - 啊哈~楼上的两位最近都有些少见啊~ 应该把毛片的名字公布出来让大家注意的~~~~ 原帖由 理亚 于 2006-9-5 14:57 发表
汗- -为什么发水区
本着聊天和扯淡的精神来水区发的
原帖由 戒音宝贝 于 2006-9-5 14:57 发表
怎么还是这破机器。。。。
谁让你又看毛片该!
就看就看 怎么着吧 = =
PS:睡不着...24小时就睡了1小时现在还挺清醒 = = 怪了 原帖由 breaker 于 2006-9-5 15:13 发表
PS:睡不着...24小时就睡了1小时现在还挺清醒 = = 怪了
那你还是去边下边看漫、说哪
SY久了就容易睡了 原帖由 学校的网络是渣 于 2006-9-5 15:17 发表
那你还是去边下边看漫、说哪
SY久了就容易睡了
谁的MJ坦白交代 - -|
不认识你呀……
我这MJ只是想发泄我对现在使用的网络的不满而已 - -
ME的帖都比你多了XD 你强...我连中都没中过大的病毒,防范措施做得不好呢LZ 估计你那6G的硬盘也快报销了- -
我现在都怨念我现在的硬盘太小了
游戏都没装 也就是收集些音乐和画辑而已
怨念念…… 原帖由 学校的网络是渣 于 2006-9-5 15:25 发表
- -|
不认识你呀……
我这MJ只是想发泄我对现在使用的网络的不满而已 - -
ME的帖都比你多了XD
不认识还能说出"这么多年了还...."
回复 #18 breaker 的帖子
03年过来的那时都基本潜水看帖的
PS:9000帖不想多发呀…… - -BS没悬念