logo1_.exe是什么進程
2020-07-07 19:26:17
供稿:網友
是病毒
病毒類型:木馬程序
受影響的系統:Windows /98/NT/2000/XP/2003
病毒特征: 假如你手動運行logo1_.exe 你的系統就GAMEOVER了。運行系統極度卡機。你重新啟動后你會發現你所有游戲的.EXE 程序全部都感染了。用最新殺毒軟件殺完后。除了系統可以勉強運行。其他的你也別想運行了。
1 病毒體 C:/winnt 目錄下logo1_.exe 。KILL.EXE sws32.dll 等文件是病毒發作后的文件。
2、生成病毒文件
病毒運行后,在c:/winnt 下自己拷貝生成病毒文件,文件的名稱是可變,根據不同的變種相應有不同的名稱。好像一共有5個文件。其中由3個是.exe 2 個是.DLL 文件。其中有KILL.EXE 等。具體的記不大清楚了。
3、修改注冊表
病毒對注冊表進行修改,在 [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/IniFileMapping/system.ini/boot] winlogo 項和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和[HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/中添加鍵值=%System%(其中,和為可變的),使得在下次 系統啟動時,病毒可隨之自動運行。
4、盜取密碼
病毒試圖登陸并盜取被感染計算機中網絡游戲傳奇2的密碼,將游戲密碼發送到該木馬病毒的植入者手中。
5、阻止以下殺毒軟件的運行
病毒試圖終止包含下列進程的運行,這些多為殺毒軟件的進程。 包括卡八斯基,金山公司的毒霸。瑞星等。98%的殺毒軟件運行。
國產軟件在中毒后都被病毒殺死,是病毒殺掉-殺毒軟件。如金山,瑞星等。哪些軟件可以認出病毒。但是認出后不久就陣亡了。。本人一 直都支持國產,但是在電腦和手機方面就沒辦法支持了。郁悶 中~~~
進程如下 :
rising
SkyNet
Symantec
McAfee
Gate
Rfw.exe
RavMon.exe
kill
NAV
KAV
LAST 最后說一下解決方案 都是本人個人經驗 有不足之處還請各位多多補充。
先下載好你認為比較好的殺毒軟件。此時不要安裝。就是安裝了也是白安裝。所有軟件安裝后很快就被感染。這里不推薦使用金山,瑞星,江明,SPANT 等。推薦使用卡八斯基5.0版 和我最喜歡的麥咖啡殺毒軟件。
請先去把系統設置為“顯示隱藏文件”,因為病毒以隱藏屬性偽裝,不做此設置將無法看到它,設置的方法如下
打開“我的電腦”;
依次打開菜單“工具/文件夾選項”;
然后在彈出的“文件夾選項”對話框中切換到“查看”頁;
去掉“隱藏受保護的操作系統文件(推薦)”前面的對鉤,讓它變為不選狀態;
在下面的“高級設置” 去掉“隱藏已知文件類型的擴展名”前面的對鉤,也讓它變為不選狀態;
最后點擊“確定”。
二、修改注冊表
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/IniFileMapping/system.ini/boot] winlogo 項
把WINLOGO 項 后面的C:/WINNT/SWS32.DLL 干掉(就是刪掉的意思^_^)
接下來把HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/Run 鍵 /RunOnce/RunOnceEx 兩個中其中有個是也是C:/WINNT/SWS32.dll
把類似以上的全部刪掉 注意不要刪除默認的鍵值(刪了的話后果自負)
三 結束進程
按“Ctrl+Alt+Del”鍵彈出任務管理器,找到SWS32 進程,名字記不大清楚了,反正看到最多的進程就殺殺殺!!!!還有幾個很少看到的進程。什么AUS***之類的都干掉他。找到EXPL0RER.EXE進程(注意第5個字母是數字0不是字母O),找到它后選中它并點擊“結束進程”以結束掉木馬進程。然后迅速做下面一步,只所以要迅速是因為如果動作慢的話,木馬可能會自動恢復而再次運行起來,這樣就無法刪除掉其他木馬文件了(如果EXPL0RER.EXE進程再次運行起來需要重做這一步)。
四 裝殺毒軟件
裝完后不要重新啟動(切記)直接升級病毒庫,升級完后,把C:/winnt 目錄下所有帶毒文件刪除。然后運行殺毒軟件開始殺毒。
殺完后。還有幾個殺毒軟件無法刪掉的東西要把名字記下來。因為不同的系統有不同的名字。所以這里說不清楚了。自己記下來。
重新啟動后再次殺毒。記的把可疑的進程的結束。否則殺毒軟件無法干凈殺毒。還有最重要的一點記的把殺毒軟件無法清除的病毒設置為刪除文件。一般要重復殺毒3-5次才能殺干凈。
五。看看殺毒后的系統。
缺少的了很多系統文件。系統處于危險狀態。如果你有GHOST 備份。這個時候恢復一下。系統可以干凈無損。如果沒有請運行 SFC 命令檢查文件系統。具體操作為 運行-輸入CMD 命令進入DOS 提示符。-輸入SFC /scannow -- 提示放入系統光盤。--放進去吧。然后慢慢等。
看看成果。殺毒效果顯著。毒殺干凈了。但是殺完毒后很多游戲都玩不了。忙了一圈都不知道自己在忙什么。郁悶吧。然后重新做系統吧。誰叫中毒的是網吧的系統。
PS:如果在病毒沒有發作情況下殺毒是可以完全搞定的。如果發作了也不要殺毒了。直接克盤恢復吧。
在短短的28小時內我接到3個網吧老板的電話。。。。。。。。做技術員真命苦。。。。。。
這是本人第一次寫這么長的資料。也是忙碌1年半后潛水1年半后。重新的回到技術員的身份(以前我經常發招聘的帖。不過PS哦我不是老板,招人都是幫朋友招的。我還是網管是大家的同行和朋友)。愛情后門,愛情后門變種。FUNLOVE 變種等病毒曾經把我朋友弄的網吧一度處于停業狀態。寫此文的目的就是希望大家同行群策群力做好預防工作。最好能夠自己寫出個免疫補丁。希望所有人的技術都在進步
PS:做系統的時候把默認共享關閉。關閉IPC$Content$nbsp;ADMIN$Content$nbsp;關閉554 關閉ICMP路由。給ADMINISTRATOR 組所有成員設置密碼。最好數字加英文(愛情后門病毒可以破解簡單的密碼而進行大規模的快速傳播)。 關閉了這些服務加上殺毒軟件。LOGO1.exe 基本上拿你沒折了。但是如果是批量克盤 建議客戶機不要使用卡八等殺毒軟件。克盤時網線拔掉,克好盤要迅速裝好還原精靈 。為什么要迅速,不用我說了吧。
辛辛苦苦寫的手都酸了。。天不知覺的也亮起來了。。。。轉貼時希望大家珍惜我的勞動成果。
接上文。經過一段時間的觀察,我找到了可以改病毒的免疫補丁(只適用于沒有感染該病毒或者已經感染該病毒但是沒有發作的機器)其實很簡單只要每次開機刪除病毒體文件 LOGO1_1.exe 那么即使感染了該病毒的機器也可以救回來。用這個方法本人救活了2家網吧180臺機器。目前為止情況正常。
LOGO1_.exe 免疫補丁制作如下:
1 編寫批處理文件。開機自動刪除logo1_.exe 作用是即使中了該病毒,由于開機后自動刪除該病毒。那么該病毒永遠無法發作。
批處理文件內容如下:
del c:/winnt/logo1_.exe (就這一行。先保存為記事本,然后保存為.bat的批處理文件。
2 設置改批處理開機自動運行。
修改注冊表 加入以下項
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"auto"="E://網絡游戲//auto.bat"
把上端文本保存為 .REG 文件。然后導入注冊表。{ E://網絡游戲//auto.bat } 該路徑為你剛剛編寫批處理所在的目錄。很重要。
好了到此為止你可以安心睡覺去了。。不用再怕那可惡的LOGO1_.exe 了。。
本人再次強調一點。如果該病毒已經在你電腦里發作了。那么還是不要去救了。。直接重新克盤吧。
如果沒有發作。那么用上面方法可以救活你的電腦。判斷依據是 看看網絡游戲圖標有沒有變色。還有
c:/winnt 目錄下有沒有KILL.exe sws.dll sws32.dll 文件。
