请问病毒win32.logogo.a的解决问题
Win32.Logogo病毒变种XP.exe的分析解决
这是之前logogo.exe病毒的最新变种,此次变种可谓是该系列病毒的一个标志性的变种,如同原先的crsss化身成为“禽兽”病毒一样...
技术细节:
File: logogogo.exe
Size: 17196 bytes
Modified: 2007年11月17日, 10:06:48
MD5: CBD42479BD49AEB0E839B3D4F116516B
SHA1: F1DC3254693CC11C70BCDCB2EC124BD82E550AC5
CRC32: 9510B8CC
加壳方式:Upack 0.3.9
AV命名:Win32.Logogo.a(瑞星)
1.病毒有两个参数启动自身
-down 和-worm分别执行的是下载和感染操作
2.衍生如下副本:
%systemroot%\system\logogogo.exe
在每个磁盘分区根目录下释放XP.exe和autorun.inf达到通过移动存储传播的目的
3.创建注册表启动项目
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
[]
达到开机启动的目的
在HKLM\SOFTWARE下面创建logogo子键,用以记录病毒安装成功的信息。
4.在HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下面创建映像劫持项目,指向病毒本身。
360rpt.exe
360Safe.exe
360tray.exe
ACKWIN32.EXE
ANTI-TROJAN.EXE
APVXDWIN.EXE
AUTODOWN.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCTRL.EXE
AVKSERV.EXE
AVNT.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPTC32.EXE
AVPUPD.EXE
AVSCHED32.EXE
AVWIN95.EXE
AVWUPD32.EXE
BLACKD.EXE
BLACKICE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
CLAW95.EXE
CLAW95CF.EXE
CLEANER.EXE
CLEANER3.EXE
DVP95.EXE
DVP95_0.EXE
ECENGINE.EXE
EGHOST.EXE
ESAFE.EXE
EXPWATCH.EXE
F-AGNT95.EXE
F-PROT.EXE
F-PROT95.EXE
F-STOPW.EXE
FESCUE.EXE
FINDVIRU.EXE
FP-WIN.EXE
FPROT.EXE
FRW.EXE
IAMAPP.EXE
IAMSERV.EXE
IBMASN.EXE
IBMAVSP.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFACE.EXE
IOMON98.EXE
Iparmor.exe
JEDI.EXE
KAV32.exe
KAVPFW.EXE
KAVsvc.exe
KAVSvcUI.exe
KVFW.EXE
KVMonXP.exe
KVMonXP.kxp
KVSrvXP.exe
KVwsc.exe
KvXP.kxp
KWatchUI.EXE
LOCKDOWN2000.EXE
Logo1_.exe
Logo_1.exe
LOOKOUT.EXE
LUALL.EXE
MAILMON.EXE
MOOLIVE.EXE
MPFTRAY.EXE
N32SCANW.EXE
Navapsvc.exe
Navapw32.exe
NAVLU32.EXE
NAVNT.EXE
navw32.EXE
NAVWNT.EXE
NISUM.EXE
NMain.exe
NORMIST.EXE
NUPGRADE.EXE
NVC95.EXE
PAVCL.EXE
PAVSCHED.EXE
PAVW.EXE
PCCWIN98.EXE
PCFWALLICON.EXE
PERSFW.EXE
PFW.EXE
Rav.exe
RAV7.EXE
RAV7WIN.EXE
RAVmon.exe
RAVmonD.exe
RAVtimer.exe
Rising.exe
SAFEWEB.EXE
SCAN32.EXE
SCAN95.EXE
SCANPM.EXE
SCRSCAN.EXE
SERV95.EXE
SMC.EXE
SPHINX.EXE
SWEEP95.EXE
TBSCAN.EXE
TCA.EXE
TDS2-98.EXE
TDS2-NT.EXE
THGUARD.EXE
TrojanHunter.exe
VET95.EXE
VETTRAY.EXE
VSCAN40.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSTAT.EXE
WEBSCANX.EXE
WFINDV32.EXE
ZONEALARM.EXE
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
修复工具.exe
5.感染除如下文件夹内的*.exe文件
windows
winnt
recycler
system volume information
并不感染如下exe文件
XP.EXE
CA.exe
NMCOSrv.exe
CONFIG.exe
Updater.exe
WE8.exe
settings.exe
PES5.exe
PES6.exe
zhengtu.exe
nettools.exe
laizi.exe
proxy.exe
Launcher.exe
WoW.exe
Repair.exe
BackgroundDownloader.exe
o2_unins_web.exe
O2Jam.exe
O2JamPatchClient.exe
O2ManiaDriverSelect.exe
OTwo.exe
sTwo.exe
GAME2.EXE
GAME3.EXE
Game4.exe
game.exe
hypwise.exe
Roadrash.exe
O2Mania.exe
Lobby_Setup.exe
CoralQQ.exe
QQ.exe
QQexternal.exe
BugReport.exe
tm.exe
ra2.exe
ra3.exe
ra4.exe
ra21006ch.exe
dzh.exe
Findbug.EXE
fb3.exe
Meteor.exe
mir.exe
KartRider.exe
NMService.exe
AdBalloonExt.exe
ztconfig.exe
patchupdate.exe
被感染文件尾部被加入一个名为.ani的节。被感染文件运行后会释放一个名为ani.ani的临时文件并运行,该文件即为病毒主体logogogo.exe
6.连接网络下载木马
读取http://dow.*.us/xxx.txt的下载列表
然后下载
http://dow.*.com/1.exe~http://dow.*.com/20.exe到%systemroot%\system下面
并以SYSTEM128.tmp作为下载文件过程中的临时文件
7.病毒同时会获得当前机器名,操作系统版本,MAC地址等信息
8.病毒体内留有作者留下的广告信息(本文略)
病毒木马植入完毕后的sreng日志如下:
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
[]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
[]
[]
[]
[]
[]
[]
[]
[]
[]
[]
[]
[]
[]
[]
[]
[]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe]
[]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe]
[]...
==================================
正在运行的进程
[PID: 1724][%systemroot%\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[%systemroot%\system32\rsmyhpm.dll] [N/A, ]
[%systemroot%\system32\KVBatch01.dll] [N/A, ]
[%systemroot%\system32\kapjezy.dll] [N/A, ]
[%systemroot%\system32\avwgemn.dll] [N/A, ]
[%systemroot%\system32\avzxfmn.dll] [N/A, ]
[%systemroot%\system32\avwldmn.dll] [N/A, ]
[%systemroot%\system32\rarjepi.dll] [N/A, ]
[%systemroot%\system32\ratbjpi.dll] [N/A, ]
[%systemroot%\system32\kawdczy.dll] [N/A, ]
[%systemroot%\system32\kvdxsima.dll] [N/A, ]
[%systemroot%\system32\raqjdpi.dll] [N/A, ]
[%systemroot%\system32\kaqhizy.dll] [N/A, ]
[%systemroot%\system32\sidjczy.dll] [N/A, ]
[%systemroot%\system32\kvmxhma.dll] [N/A, ]
[%systemroot%\system32\swjqbzc.dll] [N/A, ]
[%Program Files%\Internet Explorer\PLUGINS\Wn_Sys8x.Sys] [N/A, ]
==================================
Winsock 提供者
MSAPI Tcpip [TCP/IP]
%systemroot%\system32\qdshm.dll(, N/A)
MSAPI Tcpip [UDP/IP]
%systemroot%\system32\qdshm.dll(, N/A)
==================================
Autorun.inf
[C:\]
[AutoRun]
OPEN=XP.EXE
shellexecute=XP.EXE
shell\打开(&O)\command=XP.EXE
[D:\]
[AutoRun]
OPEN=XP.EXE
shellexecute=XP.EXE
shell\打开(&O)\command=XP.EXE...
解决办法:
下载sreng和delbox
首先重启计算机进入安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
分别解压Xdelbox和sreng
(注意:如果winrar也被感染,请重装winrar后再解压文件,推荐重装winrar)
1.打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[]
并删除所有红色的IFEO项目
修复-系统修复-重置winsock
2.解压Xdelbox所有文件到一个文件夹
在 添加旁边的框中 分别输入
%systemroot%\system32\rsmyhpm.dll
%systemroot%\system32\KVBatch01.dll
%systemroot%\system32\kapjezy.dll
%systemroot%\system32\avwgemn.dll
%systemroot%\system32\avzxfmn.dll
%systemroot%\system32\avwldmn.dll
%systemroot%\system32\rarjepi.dll
%systemroot%\system32\ratbjpi.dll
%systemroot%\system32\kawdczy.dll
%systemroot%\system32\kvdxsima.dll
%systemroot%\system32\raqjdpi.dll
%systemroot%\system32\kaqhizy.dll
%systemroot%\system32\sidjczy.dll
%systemroot%\system32\kvmxhma.dll
%systemroot%\system32\swjqbzc.dll
%Program Files%\Internet Explorer\PLUGINS\Wn_Sys8x.Sys
输入完一个以后 点击旁边的添加 按钮 被添加的文件 将出现在下面的大框中
然后一次性选中 (按住ctrl)下面大框中所有的文件
右键 单击 点击 重启立即删除
3.重启计算机后
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
点击 菜单栏下方的 文件夹按钮(搜索右边的按钮)
在左边的资源管理器中单击打开系统所在盘
删除%systemroot%\system\logogogo.exe
%systemroot%\system32\qdshm.dll
在左边的资源管理器中单击打开每个盘
删除各个盘根目录下的XP.exe和autorun.inf
4.打开sreng
启动项目 注册表
双击AppInit_DLLs把其键值清空
5.使用杀毒软件全盘杀毒修复被感染的exe文件(如果杀毒软件也被感染,请重装杀毒软件以免造成反复感染)
电脑中Logogo.exe病毒拉!怎么杀也杀不掉!高手快来!
安全模式下无法使用Unlocker和卡巴斯基。
直接进入Windows使用卡巴斯基配合Unlocker1.85
卡巴斯基是删除不了的,但可以发现病毒!
去华军网下载unlocker1.85
地址:http://www.onlinedown.net/soft/24732.htm
安装之后使用卡巴斯基查找病毒,(病毒有2项,全部需要删除,卡巴斯基提示重启删除,其实卡巴斯基删除不了,这时候找到病毒就关掉卡巴斯基,以免反复重启)。
方法1:找到病毒之后(注意:关键是在C盘寻找病毒文件,根据卡巴斯基所提示的病毒路径找到毒文件),【使用右键Unlocker 解锁】,现在可以删除病毒了,直接删除(Shift+Delete),不需要卡软件!
方法2:关键都要找到病毒源,使用卡巴找到毒文件。(原理:卡配合冰刃 IceSword 1.22 )
再使用冰刃 IceSword 1.22 中文版
http://www.onlinedown.net/soft/53325.htm
打开IceSword.exe,点左下角的“文件”,在目录"+"找到病毒文件所在文件夹,病毒文件上右键点“强制删除”。
删除病毒之后恢复注册表!
(在运行里输入regedit打开)分别在
HKEY_LOCAL_MACHINE\SYSTEM\Controlset001\Services
HKEY_LOCAL_MACHINE\SYSTEM\Controlset002\Services
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
下找到以病毒文件名命名的项并删除.
建议删除病毒之后,使用杀毒软件对系统硬盘作全面扫描,以防漏网之鱼!
根据目前调查目前所有杀毒软件都无法清掉这个毒!
不一定要卡巴斯基,其他杀毒软件只要找到病毒路径手工杀毒就OK了
还有杀毒的时候一定要杀2个,因为只杀一个的话重启会出现加载错误,实际是病毒加载错误并不是系统!
【11月15日】方法3:下载Torjan木马专杀工具!TrojanHunter5.0
地址;http://www.onlinedown.net/soft/34273.htm
`````````````````````````````````````````````
http://zhidao.baidu.com/question/39623859.html
http://zhidao.baidu.com/question/39599341.html
http://zhidao.baidu.com/question/39541268.html
http://zhidao.baidu.com/question/39573535.html
http://zhidao.baidu.com/question/39559768.html
http://zhidao.baidu.com/question/39576135.html
http://zhidao.baidu.com/question/39560683.html
http://zhidao.baidu.com/question/39541159.html
http://zhidao.baidu.com/question/39532059.html
http://zhidao.baidu.com/question/39558027.html
http://zhidao.baidu.com/question/39550181.html
分数给我哦,获得一直好评!
怎么杀logogo.exe
一.“威金蠕虫变种GO(Worm.Viking.go)”病毒:警惕程度★★★☆,蠕虫病毒,通过感染文件、局域网共享等方式传播,依赖系统:WIN9X/NT/2000/XP。
该病毒运行后会自动释放名为“rundl132.exe”、“logo_1.exe”、“logo1_.exe”等的文件,并感染Windows的可执行文件。它会查找局域网中的所有共享计算机,尝试猜解它们的密码,并试图感染这些计算机。威金蠕虫还会自动在后台下载并运行“征途木马”、“传奇终结者”、“代理木马”以及“QQ通行证”等病毒,会窃取网络游戏玩家以及QQ用户的账号和密码并发送给黑客。
二.解决方案:
1、杀死病毒进程。打开超级巡警,选择进程管理功能,结束logogo.exe进程。
2、删除病毒文件。删除磁盘根目录下的autorun.inf、setup.exe和以下文件:
%windir%\system\logogo.exe
%windir%\system\SYSTEM64.vxd
3、删除注册表内的启动项。
键路径:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
键名:logogo
键值:%windir%\system\logogo.exe
4、修复被感染的exe文件。
5、清除其他下载的木马。
三.链接如下
