威金病毒LOGO1_.EXE清除及免疫方法

关于 Logo1_.exe
基本介绍
病毒名称 [url=mailto:Worm@W32.Look][color=#202020]Worm@W32.Look[/color][/url]ed
病毒别名 Virus.Win32.Delf.62976 [Kaspersky], W32/HLLP.Philis.j [McAfee],W32.Looked [symantec]   
Net-Worm.Win32.Zorin.a
病毒型态 Worm (网络蠕虫)
病毒发现日期 2004/12/20
影响平台 Windows 95/98/ME , Windows NT/2000/XP/2003
风险评估
散播程度：中
破坏程度：中
主要症状:
1、占用大量网速，使机器使用变得极慢。
2、会捆绑所有的EXE文件，只要一运用应用程序，在winnt下的logo1.exe图标就会相应变成应用程序图标。
3、有时还会时而不时地弹出一些程序框，有时候应用程序一起动就出错，有时候起动了就被强行退出。
4、网吧中只感梁win2k pro版，server版及XP系统都不感染。
5、能绕过所有的还原软件。
详细技术信息：  
病毒运行后，在%Windir%生成  Logo1_.exe  同时会在windws根目录生成一个名为"virDll.dll"的文件。
            %WinDir%\virDll.dll
该蠕虫会在系统注册表中生成如下键值：
[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]
"auto" = "1"
  　盗取密码
　　病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码，将游戏密码发送到该木马病毒的植入者手中。
　　
阻止以下杀毒软件的运行
　　病毒试图终止包含下列进程的运行，这些多为杀毒软件的进程。 包括卡八斯基，金山公司的毒霸。瑞星等
。98%的杀毒软件运行。
   国产软件在中毒后都被病毒杀死，是病毒杀掉-杀毒软件。如金山，瑞星等。哪些软件可以认出病毒。但是
认出后不久就阵亡了。
通过写入文本信息改变"%System%\drivers\etc\hosts" 文件。这就意味着，当受感染的计算机浏览许多站点时
（包括众多反病毒站点），浏览器就会重定向到66.197.186.149。
病毒感染运行windows操作系统的计算机，并且通过开放的网络资源传播。一旦安装，蠕虫将会感染受感染计算
机中的.exe文件。
该蠕虫是一个大小为82K的Windows PE可执行文件。
通过本地网络传播
该蠕虫会将自己复制到下面网络资源：
ADMIN$
IPC$
症状
蠕虫会感染所有.exe的文件。但是，它不会感染路径中包含下列字符串的文件：
                  \Program Files
                  Common Files
                  ComPlus Applications
                  Documents and Settings
                  NetMeeting
                  Outlook Express
                  Recycled
                  system
                  System Volume Information
                  system32
                  windows
                  Windows Media Player
                  Windows NT
                  WindowsUpdate
                  winnt
蠕虫会从内存中删除下面列出的进程：
                  EGHOST.EXE
                  IPARMOR.EXE
                  KAVPFW.EXE
                  KWatchUI.EXE
                  MAILMON.EXE
                  Ravmon.exe
                  ZoneAlarm
    好多网吧遭此病毒破坏造成大面积的卡机，瘫痪。我查遍了好多病毒，和自己收集的病毒样本做了比较，发现此病毒极度变态。危害程度可以和世界排名前十的爱情后门变种相比。该病毒可以通过网络传播，传播周期为3分钟。如果是新做的系统处于中了毒的网络环境内，只要那个机器一上网，3分钟内必定中招。中招后你安装　rising SkyNet Symantec McAfee Gate Rfw.exe RavMon.exe 　kill NAV 等杀毒软件 都无法补救你的系统，病毒文件 Logo1_.exe 为主体病毒，他自动生成病毒发作所需要的的 SWS32.DLL SWS.DLLL KILL.EXE 等文件。这些文件一但衍生。他将迅速感染系统内EXPLORE 等系统核心进程 及所以.exe 的可执行文件，外观典型表现症状为图标变色。 此时系统资源可用率极低，你每重新启动一次，病毒就会发作一次，重新启动5次后系统基本崩溃。病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码，将游戏密码发送到该木马病毒的植入者手中。
    该病毒对于防范意识较弱、还原软件未能及时装到位的网吧十分致命，其网络传播速度十分快。旧版的杀毒软件无法检测，新版的无法彻底根杀。一但网吧内某台机器中了此病毒，那么该网吧所有未中毒的机器都处于危险状态。由于病毒发作贮留于内存。且通过IEXPLORE.exe 进行传播。因此即使是装了还原精灵，还原卡的机器也同样会被感染。你重新启动后系统可以还原。但是你一但开机还是会被感染。
    最后说一下解决方案 都是本人个人经验 有不足之处还请各位多多补充
[img]http://www.54master.com/bbs/images/smilies/biggrin.gif[/img]
......（注意！！在杀毒过程中不要动行任何应用程序）
    1.把默认共享关闭，给ADMINISTRATOR 组所有成员设置密码。防止病毒重新感染！
    2.结束以下进程： logo1_.exe     rundl132.exe(注意第六个为数字1而不是L)  explorer.exe(该病毒会把vDll.dll加载到该系统进程中去，最好是用进程管理工具直接结束掉这个DLL)  另外有类似OS.exe的进程也一并结束掉~~！
    3.到windows目录删除"logo1_.exe"、"rundl132.exe"、"vdll.dll"文件！（注意这些进程都是隐藏的，需要把系统设置为“显示隐藏文件”，设置的方法：打开“我的电脑”； 依次打开菜单“工具/文件夹选项”；然后在弹出的“文件夹选项”对话框中切换到“查看”页； 去掉“隐藏受保护的操作系统文件(推荐)”前面的对钩，让它变为不选状态； 在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项； 去掉“隐藏已知文件类型的扩展名”前面的对钩，也让它变为不选状态；最后点击“确定”。 ）
    4.运行 gpedit.msc 打开组策略,依次单击用户配置- 管理模块- 系统-指定不给windows运行的程序,点启用 然后 点显示 添加 logo1_exe 也就是病毒的源文件
    5.在windows目录下新建文件："logo1_.exe"、"rundl132.exe"、"vdll.dll"并把属性设为“只读”，这样病毒也就无法运行了
[img]http://www.54master.com/bbs/images/smilies/titter.gif[/img]
    6.现在你的电脑基本上说可以对该病毒免疫了，既使中了该病毒，它也发作不了啦！最后这一点不怎么好办
[img]http://www.54master.com/bbs/images/smilies/sweat.gif[/img]
[img]http://www.54master.com/bbs/images/smilies/sweat.gif[/img]
[img]http://www.54master.com/bbs/images/smilies/sweat.gif[/img]
那些应用程序都被感染了病毒，如果中了病毒，下次重启后，就会弹出来“rundl132.exe不是有效的应用程序”和“无法加载注册表中c;\windows\rundl132.exe”的对话框
[img]http://www.54master.com/bbs/images/smilies/mad.gif[/img]
本人认为要么删除所有被感染的应用程序，然后从其它地方复制没感染病毒的过来，要么就是在搜索里用“*.exe”找出所有的exe文件，然后每个运行一下:L最后从注册表里找出“rundl132.exe”的启动项，删掉就OK了