logon1.exe
杀毒软件如瑞星天网赛门铁克迈克菲门,Rfw.exe,RavMon.exe和杀死导航不能补救你的系统。病毒文件Logo1_。exe是主要病毒,它会自动生成SWS32.DLL SWS。dll KILL.EXE和病毒攻击所需的其他文件。一旦这些文件被导出。他会迅速感染系统的核心进程,比如EXPLORE,以及的可执行文件。exe。他出现的典型症状是传奇、泡泡堂等游戏图标变色。此时系统资源可用率极低。每重启一次,病毒就发作一次,重启5次系统基本崩溃。
该病毒对防范意识薄弱的网吧是致命的,修复软件未能到达时尚场所,其网络传播速度非常快且有效。旧的杀毒软件检测不出来,新的也不可能完全根部雕出的。网吧的机器一旦感染了这种病毒,网吧所有没有中毒的机器都处于危险状态。由于病毒攻击而存储在内存中。并传遍了EXPLORE.exe。因此,即使安装了恢复向导,带有恢复卡的机器也会被感染。重新启动后,系统可以恢复。但一旦开机,还是会被感染。
logo1 _的病毒攻击。exe (W32/hllp.philis.g)会生成其他几种病毒,比如PWSteal。Lemir.Gen和trojan.psw.lineage等等。都是很厉害的后门程序。类似于外挂病毒,但威力是外挂病毒的50倍以上。在WIN98平台下,病毒修改的威胁相对较小。WIN2000 /XP/2003平台对网吧系统来说是致命的。
关于这种病毒的技术报告如下
病毒名称:W32/HLLP。Philis.g或者(根据著名杀毒软件maccoffee的测试结果,其他杀毒软件检测为木马。
病毒类型:特洛伊木马程序
1.病毒长度:随机。
受影响的系统:Windows /98/NT/2000/XP/2003。
病毒特征:如果手动运行logo1_。exe,你的系统就玩完了。运行系统极度卡死。重启后,你会发现所有的。EXE程序被感染。用最新的杀毒软件查杀后。除了系统勉强能运行。剩下的你也跑不了。
Logo1_。exe放在病毒体C:\winnt目录下。KILL.EXE、sws32.dll等文件都是病毒攻击后的文件。
2.生成病毒文件
病毒运行后会自我复制,在c:\winnt下生成一个病毒文件。文件的名称是可变的,根据不同的品种有不同的名称。好像一个* * *有五档。其中三个是。exe和两个是。DLL文件。其中就有KILL.EXE等人。细节记不清了。
3、修改注册表
该病毒修改了[HKEY _ local _ machine \ software \ Microsoft \ Windows NT \ Current version \ inifile mapping \ system . ini \ Boot]winlogo项和HKEY _ local _ machinesoftwaremicrosoftwindowscurentversionrun和[HKEY _ local _ machine]software/Microsoft/Windows/Current version/将键值=%25System%25添加到RunServices/(其中,和是变量)中,使该病毒可以在下次系统启动时自动运行。
4.窃取密码
该病毒试图登录并窃取被感染电脑中的网络游戏《传奇2》的密码,并将游戏密码发送给特洛伊病毒的植入者。
5.停止运行下列防病毒软件。
该病毒试图终止以下进程的运行,其中大部分是反病毒软件进程。包括金山毒霸卡巴斯基。瑞星等。
国产软件中毒后被病毒杀死,就是病毒查杀——杀毒软件。如金山、瑞星。哪些软件可以识别病毒?但他认出后不久就被杀了。。我一直支持国产,但是支持不了电脑和手机。郁闷~ ~ ~
流程如下:
上升的
天网
美国著名软件公司
迈克菲
Rfw.exe
RavMon.exe
杀
KAV
最后想说的是,解决方法都是我个人经验的不足,请多补充。
先下载你觉得比较好的杀毒软件。此时不要安装。就算装了,也是白装。所有的软件在安装后不久就被感染了。这里不推荐金山,瑞星,姜鸣,SPANT。推荐用Kabasiki版和我喜欢的咖啡杀毒软件。
请先将系统设置为“显示隐藏文件”,因为病毒是伪装成隐藏属性的,没有这个设置是看不到的。设置方法如下。
打开“我的电脑”;
依次打开菜单工具/文件夹选项;
然后在弹出的文件夹选项对话框中切换到查看页面;
去掉“隐藏受保护的操作系统文件(推荐)”前面的复选标记,使其不被选中;
将下面“高级设置”列表框中的“不显示隐藏的文件和文件夹”选项更改为“显示所有文件和文件夹”选项;
去掉“隐藏已知文件类型的扩展名”前面的复选标记,使其不被选中;
最后,单击确定。
其次,修改注册表
[HKEY _本地_计算机\软件\微软\ Windows NT \当前版本\ inifile映射\ system.ini \ boot] Winlogo项目。
杀死C:\WINNT\SWS32。WINLOGO项后的DLL(表示delete _)。
接下来,HKEY _本地_机器]软件/微软/Windows/current version/run key/RunOnce/RunOnceEx中的一个也是C:\ win nt \ sws32.dll。
以上之类的都删掉。注意不要删除默认键值(如果删除,后果自负)。
三。结束该过程
【按“Ctrl+Alt+Del”弹出任务管理器,找到SWS32进程。名字记不清了。反正我会把我看到最多的进程杀掉!!!!还有几个过程很少见到。什么AUS***之类的都杀了他。找到EXPL0RER.EXE进程(注意第五个字母是数字0,不是字母O),找到它,选中它,点击“结束进程”结束特洛伊进程。然后快速做下一步,只是因为如果动作慢了,特洛伊可能会自动恢复并再次运行,这样其他特洛伊文件就无法删除了(如果EXPL0RER.EXE进程再次运行,这一步需要重做)。
四个杀毒软件,
安装后不要重启(记住)直接升级病毒库。升级后,删除C:\winnt目录中所有带有病毒的文件。然后运行杀毒软件开始杀毒。
杀人之后。还有几样东西是杀毒软件删除不了的,写下名字吧。因为不同的系统有不同的名字。所以这里不清楚。自己写下来。
重启后再次杀毒。记住可疑过程的结束。否则杀毒软件无法清理杀毒。最需要记住的是将杀毒软件无法清除的病毒设置为删除文件。一般需要反复杀毒3-5次。
五个。杀毒后再看系统。
很多系统文件都不见了。系统处于危险状态。如果你有备份。此时恢复。系统可以是干净和完整的。如果没有,请运行SFC命令检查文件系统。具体操作是运行——输入CMD命令进入DOS提示符。-输入SFC /scannow - prompt放入系统光盘。-放进去。那就慢慢等吧。
看结果。抗病毒效果显著。中毒是干净的。但是很多游戏打完杀药就不能玩了。忙了一圈也不知道在忙什么。郁闷。然后再做系统。谁中毒了?是网吧系统。
如果病毒没有爆发,可以彻底消灭。如果你受到攻击,不要杀病毒。我们继续吧。
短短28小时,我就接到了3个网吧老板的电话。。。。。。。。做技术员真的很辛苦。。。。。。
这是我第一次写这么长的文档。也是在1年半的忙碌和1年半的跳水之后。回到技师的身份(我以前是贴招聘岗的。但是PS,我不是老板。我为我的朋友招募人。我还是一个站长,是大家的同事和朋友。爱后门,爱后门变种。FUNLOVE变异等病毒一度让我朋友的网吧处于停业状态。写这篇文章的目的是希望各位同仁共同努力,做好预防工作。最好自己写个免疫贴。希望大家的技术都在进步。
PS:制作系统时关闭默认* * *享受。关闭IPC$ ADMIN$ Close 554关闭ICMP路由。为管理员组的所有成员设置密码。最好是英文加数字(爱后门病毒可以破解简单密码,大规模快速传播)。关闭这些服务并添加防病毒软件。LOGO1.exe基本没折你。但如果是批量克,建议客户端不要使用卡8之类的杀毒软件。破盘时拔掉网线,破盘时快速安装还原向导。为什么要快?我不需要说出来。
我勤劳的双手酸痛。。无意识的天空也亮了起来。。。。转帖时,希望大家珍惜我的劳动成果。
继续。经过一段时间的观察,我发现了一种可以改变病毒的免疫补丁(只适用于没有感染病毒或者已经感染病毒但没有攻击的机器)。其实很简单。每次开机只需删除病毒体文件LOGO1_1.exe,即使是被感染的机器也能得救。就这样,我在两个网吧存了180台机器。到目前为止,情况正常。%25w(?ly%25s0^3e M,@|
LOGO1_。exe免疫补丁制作如下:
编写批处理文件。自动删除logo1_的功能。exe在启动时是自动删除病毒,即使是感染了。那么病毒就永远不会爆发。
该批处理文件的内容如下:
Del c:\winnt\logo1_。exe(就这一行。首先将其保存为记事本,然后将其保存为。蝙蝠。
2.将批处理设置为自动启动和运行。
修改注册表以添加以下项目
Windows注册表编辑器版本5.001O)
[HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \ current version \ Run]
" auto"="E:\\网络游戏\\auto.bat "
将顶部文本保存为. REG文件。然后导入注册表。{E:\\网游\\auto.bat}这个路径就是你刚才写批处理的目录。非常重要。
好吧,就这样。你可以去睡觉了。。不要怕那个该死的LOGO1_.exe。
我再强调一点。如果病毒已经在你的电脑中爆发。那就别救了。。我们重新报价吧。
如果没有攻击。那么你可以通过上面的方法来拯救你的电脑。判断的依据是看网游图标有没有变色。也
C:\winnt,目录里有KILL.exe、sws.dll和sws32.dll的文件吗?