查不出..瑞星都打不开,用毒霸论坛教的手动方法删了后还是会出来,LOGO1_.EXE和RUNDL132.EXE同时出,好像是修改了所有.EXE文件,只要一运行就会出来,但我用瑞星跟本查不出什么,用木马杀客还可以查出LOGO1_.EXE是个木马.但杀不掉,从装了系统但由于留了一些程序,现在又出现这二个文件了,发个扫瞄上来,希望有个方法可以杀掉这个病毒.
启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <ctfmon.exe><C:\WINDOWS\system32\CTFMON.EXE>  [(Verified)Microsoft Corporation]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load><C:\WINDOWS\rundl132.exe>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <IMJPMIG8.1><"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32>  [(Verified)Microsoft Corporation]
    <PHIME2002ASync><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC>  [(Verified)Microsoft Corporation]
    <PHIME2002A><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName>  [(Verified)Microsoft Corporation]
    <IgfxTray><C:\WINDOWS\system32\igfxtray.exe>  [(Verified)Intel Corporation]
    <HotKeysCmds><C:\WINDOWS\system32\hkcmd.exe>  [(Verified)Intel Corporation]
    <SoundMam><C:\WINDOWS\system32\svohost.exe>  [N/A]
    <CAP3ON><C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3ONN.EXE>  [(Verified)CANON INC.]
    <Tray><C:\WINDOWS\command\rundll32.exe>  [N/A]
    <rzt><C:\WINDOWS\Intel\rundll32.exe>  [N/A]
    <ms><C:\Program Files\Microsoft\svhost32.exe>  [N/A]
    <xy><C:\WINDOWS\Download\svhost32.exe>  [N/A]
    <wl><C:\WINDOWS\Download\svhost32.exe>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  [(Verified)Microsoft Corporation]
    <Userinit><C:\WINDOWS\system32\userinit.exe,>  [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <UIHost><logonui.exe>  [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{32CD708B-60A7-4C00-9377-D73EAA495F0F}><C:\WINDOWS\system32\RavExt.dll>  [Beijing Rising Technology Co., Ltd.]
    <{6E44887F-5214-41F2-AB46-4728735C4CC6}><C:\Program Files\Internet Explorer\PLUGINS\systemy.sys>  [N/A]

==================================
启动文件夹
[Microsoft Office]
  <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\Microsoft Office.lnk --> C:\PROGRA~1\MICROS~2\Office10\OSA.EXE [Microsoft Corporation]><N>
[Canon LASER SHOT LBP-1120 状态窗口]
  <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\Canon LASER SHOT LBP-1120 状态窗口.LNK --> C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3LAK.EXE [CANON INC.]><N>

==================================
服务
[Human Interface Device Access / HidServ]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
[OracleOraHome81Agent / OracleOraHome81Agent]
  <D:\Oracle\Ora81\bin\dbsnmp.exe><oracle>
[OracleOraHome81ClientCache / OracleOraHome81ClientCache]
  <D:\Oracle\Ora81\BIN\ONRSD.EXE><N/A>
[OracleOraHome81DataGatherer / OracleOraHome81DataGatherer]
  <D:\Oracle\Ora81\bin\vppdc.exe><N/A>
[OracleOraHome81ManagementServer / OracleOraHome81ManagementServer]
  <D:\Oracle\Ora81\bin\OMSNTsrv.exe><N/A>
[OracleOraHome81TNSListener / OracleOraHome81TNSListener]
  <D:\Oracle\Ora81\BIN\TNSLSNR ><N/A>
[OracleServiceORACLE / OracleServiceORACLE]
  <d:\oracle\ora81\bin\ORACLE.EXE ORACLE><Oracle Corporation>
[OracleWebAssistant0 / OracleWebAssistant0]
  <D:\Oracle\Ora81\BIN\OWASTSVR.EXE><Oracle Corporation>
[Rising Process Communication Center / RsCCenter]
  <"C:\Program Files\Rising\Rav\CCenter.exe"><Beijing Rising Technology Co., Ltd.>

驱动程序
[BaseTDI / BaseTDI]
  <\??\C:\WINDOWS\system32\drivers\basetdi.sys><Beijing Rising Technology Co., Ltd.>
[ExpScaner / ExpScaner]
  <\??\C:\Program Files\Rising\Rav\ExpScan.sys><>
[HookCont / HookCont]
  <\??\C:\Program Files\Rising\Rav\HOOKCONT.sys><Rising tech Co. ltd>
[HookReg / HookReg]
  <\??\C:\Program Files\Rising\Rav\HookReg.sys><>
[HookSys / HookSys]
  <\??\C:\Program Files\Rising\Rav\HookSys.sys><Rising>
[ialm / ialm]
  <system32\DRIVERS\ialmnt5.sys><Intel Corporation>
[MEMSCAN / MEMSCAN]
  <\??\C:\Program Files\Rising\Rav\MEMSCAN.sys><瑞星软件有限公司>
[Direct Parallel Link Driver / Ptilink]
  <system32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.>
[Realtek RTL8139(A/B/C)-based PCI Fast Ethernet Adapter NT Driver / rtl8139]
  <system32\DRIVERS\RTL8139.SYS><Realtek Semiconductor Corporation>
[Secdrv / Secdrv]
  <system32\DRIVERS\secdrv.sys><N/A>

==================================
浏览器加载项
[Messenger]
  {FB5F1910-F110-11d2-BB9E-00C04F795683} <C:\Program Files\Messenger\msmsgs.exe, Microsoft Corporation>
[Shockwave Flash Object]
  {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\macromed\flash\flash.ocx, Macromedia, Inc.>
[导出到 Microsoft Excel(&x)]
  <res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000, N/A>

==================================
正在运行的进程
[PID: 336][\SystemRoot\System32\smss.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 500][\??\C:\WINDOWS\system32\csrss.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 524][\??\C:\WINDOWS\system32\winlogon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 568][C:\WINDOWS\system32\services.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 580][C:\WINDOWS\system32\lsass.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\v.dll]  [N/A, N/A]
[PID: 728][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 788][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 864][C:\WINDOWS\System32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [D:\Oracle\Ora81\bin\oci.dll]  [Oracle Corporation, 8.1.6.0.0]
[PID: 912][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1036][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1164][C:\WINDOWS\system32\spoolsv.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\CAP3LMK.DLL]  [CANON INC., 1.00.0.007]
    [C:\WINDOWS\system32\CAP3SMK.DLL]  [CANON INC., 1.00.0.007]
    [C:\WINDOWS\system32\CAP3PTMN.DLL]  [CANON INC., 1.00.0.007]
    [C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\CAP3UIK.DLL]  [Canon Inc., 1.00.0.007]
    [C:\WINDOWS\system32\CAP3EMN.DLL]  [CANON INC., 1.00.0.007]
    [C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\CAP3K.DLL]  [Canon Inc., 0.3.0.0]
[PID: 1304][D:\Oracle\Ora81\BIN\TNSLSNR.exe]  [N/A, N/A]
    [D:\Oracle\Ora81\BIN\oransgr8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\BIN\oran8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\BIN\oranl8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\BIN\oranldap8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\BIN\orannzsbb8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\BIN\oracore8.dll]  [Oracle Corporation, 8.1.3.0.0]
    [D:\Oracle\Ora81\BIN\oranls8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\BIN\orageneric8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\BIN\oracommon8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\BIN\oraclient8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\BIN\oravsn8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\BIN\orawtc8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\BIN\oranro8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\BIN\orapls8.dll]  [Oracle Corporation, 8]
    [D:\Oracle\Ora81\BIN\oraslax8.dll]  [Oracle Corporation, 8]
    [D:\Oracle\Ora81\BIN\orasql8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\BIN\oraldapclnt8.dll]  [Oracle Corporation, 8.1.5.0.0]
    [D:\Oracle\Ora81\BIN\ORATRACE8.dll]  [N/A, N/A]
    [D:\Oracle\Ora81\BIN\orancrypt8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\BIN\oranhost8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\BIN\oranoname8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\BIN\orancds8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\BIN\orantns8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\BIN\orannds8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\BIN\orannms8.dll]  [N/A, N/A]
    [D:\Oracle\Ora81\bin\oranipc8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\bin\orantcp8.dll]  [Oracle Corporation, 8.1.6.0.0]
[PID: 1356][d:\oracle\ora81\bin\ORACLE.EXE]  [Oracle Corporation, 8.1.6.0.0]
    [d:\oracle\ora81\bin\oraclient8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [d:\oracle\ora81\bin\oracore8.dll]  [Oracle Corporation, 8.1.3.0.0]
    [d:\oracle\ora81\bin\oranls8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [d:\oracle\ora81\bin\oravsn8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [d:\oracle\ora81\bin\oracommon8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [d:\oracle\ora81\bin\orageneric8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [d:\oracle\ora81\bin\orawtc8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [d:\oracle\ora81\bin\oranl8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [d:\oracle\ora81\bin\oran8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [d:\oracle\ora81\bin\orancrypt8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [d:\oracle\ora81\bin\oranro8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [d:\oracle\ora81\bin\orannzsbb8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [d:\oracle\ora81\bin\oranldap8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [d:\oracle\ora81\bin\oraldapclnt8.dll]  [Oracle Corporation, 8.1.5.0.0]
    [d:\oracle\ora81\bin\oranhost8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [d:\oracle\ora81\bin\oranoname8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [d:\oracle\ora81\bin\orancds8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [d:\oracle\ora81\bin\orantns8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [d:\oracle\ora81\bin\orannds8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [d:\oracle\ora81\bin\orannms8.dll]  [N/A, N/A]
    [d:\oracle\ora81\bin\ORATRACE8.dll]  [N/A, N/A]
    [d:\oracle\ora81\bin\orapls8.dll]  [Oracle Corporation, 8]
    [d:\oracle\ora81\bin\oraslax8.dll]  [Oracle Corporation, 8]
    [d:\oracle\ora81\bin\orasql8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [d:\oracle\ora81\bin\oraplp8.dll]  [Oracle Corporation, 8]
    [d:\oracle\ora81\bin\oradbicx8.dll]  [Oracle Corporation, 8]
    [d:\oracle\ora81\bin\orajox8.dll]  [N/A, N/A]
    [d:\oracle\ora81\bin\oransgr8.dll]  [Oracle Corporation, 8.1.6.0.0]
[PID: 1628][D:\Oracle\Ora81\BIN\OWASTSVR.EXE]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\BIN\oraclient8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\BIN\oracore8.dll]  [Oracle Corporation, 8.1.3.0.0]
    [D:\Oracle\Ora81\BIN\oranls8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\BIN\oravsn8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\BIN\oracommon8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\BIN\orageneric8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\BIN\orawtc8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\BIN\oranl8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\BIN\oran8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\BIN\orancrypt8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\BIN\oranro8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\BIN\orannzsbb8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\BIN\oranldap8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\BIN\oraldapclnt8.dll]  [Oracle Corporation, 8.1.5.0.0]
    [D:\Oracle\Ora81\BIN\oranhost8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\BIN\oranoname8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\BIN\orancds8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\BIN\orantns8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\BIN\orannds8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\BIN\orannms8.dll]  [N/A, N/A]
    [D:\Oracle\Ora81\BIN\ORATRACE8.dll]  [N/A, N/A]
    [D:\Oracle\Ora81\BIN\orapls8.dll]  [Oracle Corporation, 8]
    [D:\Oracle\Ora81\BIN\oraslax8.dll]  [Oracle Corporation, 8]
    [D:\Oracle\Ora81\BIN\orasql8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\BIN\OWASMUS.DLL]  [N/A, N/A]
[PID: 1688][D:\Oracle\Ora81\bin\oradim.exe]  [N/A, N/A]
    [D:\Oracle\Ora81\bin\oracore8.dll]  [Oracle Corporation, 8.1.3.0.0]
    [D:\Oracle\Ora81\bin\oranls8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\bin\oraclient8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\bin\oravsn8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\bin\oracommon8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\bin\orageneric8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\bin\orawtc8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\bin\oranl8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\bin\oran8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\bin\orancrypt8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\bin\oranro8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\bin\orannzsbb8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\bin\oranldap8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\bin\oraldapclnt8.dll]  [Oracle Corporation, 8.1.5.0.0]
    [D:\Oracle\Ora81\bin\oranhost8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\bin\oranoname8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\bin\orancds8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\bin\orantns8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\bin\orannds8.dll]  [Oracle Corporation, 8.1.6.0.0]
    [D:\Oracle\Ora81\bin\orannms8.dll]  [N/A, N/A]
    [D:\Oracle\Ora81\bin\ORATRACE8.dll]  [N/A, N/A]
    [D:\Oracle\Ora81\bin\orapls8.dll]  [Oracle Corporation, 8]
    [D:\Oracle\Ora81\bin\oraslax8.dll]  [Oracle Corporation, 8]
    [D:\Oracle\Ora81\bin\orasql8.dll]  [Oracle Corporation, 8.1.6.0.0]
[PID: 228][C:\WINDOWS\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\RavExt.dll]  [Beijing Rising Technology Co., Ltd., 18, 0, 0, 21]
    [C:\WINDOWS\system32\winscok.dll]  [N/A, N/A]

[C:\WINDOWS\system32\igfxpph.dll]  [Intel Corporation, 3,0,0,2104]
    [C:\WINDOWS\system32\hccutils.DLL]  [Intel Corporation, 3,0,0,2104]
    [C:\WINDOWS\system32\igfxres.dll]  [Intel Corporation, 3,0,0,2104]
    [C:\WINDOWS\system32\igfxsrvc.dll]  [Intel Corporation, 3,0,0,2104]
    [C:\WINDOWS\system32\igfxdev.dll]  [Intel Corporation, 3,0,0,2104]
    [C:\Program Files\Rising\Rav\RSCOMMON.DLL]  [Beijing Rising Technology Co., Ltd., 18, 0, 0, 4]
    [C:\WINDOWS\system32\igfxress.dll]  [Intel Corporation, 3,0,0,2104]
    [C:\WINDOWS\Dll.dll]  [N/A, N/A]
    [C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\CAP3UIK.DLL]  [Canon Inc., 1.00.0.007]
    [C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\CAP3K.DLL]  [Canon Inc., 0.3.0.0]
    [C:\Program Files\Rising\Rav\RavScrCh.dll]  [Beijing Rising Technology Co., Ltd., 18, 0, 0, 4]
    [C:\Program Files\Internet Explorer\PLUGINS\systemy.sys]  [N/A, N/A]
    [C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\v.dll]  [N/A, N/A]
    [C:\Program Files\WinRAR\rarext.dll]  [N/A, N/A]
[PID: 448][C:\WINDOWS\system32\wscntfy.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\winscok.dll]  [N/A, N/A]
    [C:\Program Files\Internet Explorer\PLUGINS\systemy.sys]  [N/A, N/A]
[PID: 632][C:\WINDOWS\system32\igfxtray.exe]  [Intel Corporation, 3,0,0,2104]
    [C:\WINDOWS\system32\hccutils.DLL]  [Intel Corporation, 3,0,0,2104]
    [C:\WINDOWS\system32\igfxdev.dll]  [Intel Corporation, 3,0,0,2104]
    [C:\WINDOWS\system32\winscok.dll]  [N/A, N/A]
    [C:\WINDOWS\system32\igfxsrvc.dll]  [Intel Corporation, 3,0,0,2104]
    [C:\WINDOWS\system32\igfxres.dll]  [Intel Corporation, 3,0,0,2104]
    [C:\WINDOWS\system32\igfxress.dll]  [Intel Corporation, 3,0,0,2104]
    [C:\Program Files\Internet Explorer\PLUGINS\systemy.sys]  [N/A, N/A]
[PID: 472][C:\WINDOWS\system32\hkcmd.exe]  [Intel Corporation, 3,0,0,2104]
    [C:\WINDOWS\system32\hccutils.DLL]  [Intel Corporation, 3,0,0,2104]
    [C:\WINDOWS\system32\igfxdev.dll]  [Intel Corporation, 3,0,0,2104]
    [C:\WINDOWS\system32\winscok.dll]  [N/A, N/A]
    [C:\WINDOWS\system32\igfxsrvc.dll]  [Intel Corporation, 3,0,0,2104]
    [C:\WINDOWS\system32\igfxhk.dll]  [Intel Corporation, 3,0,0,2104]
    [C:\WINDOWS\system32\igfxres.dll]  [Intel Corporation, 3,0,0,2104]
    [C:\Program Files\Internet Explorer\PLUGINS\systemy.sys]  [N/A, N/A]
[PID: 824][C:\WINDOWS\system32\ctfmon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\winscok.dll]  [N/A, N/A]
    [C:\Program Files\Internet Explorer\PLUGINS\systemy.sys]  [N/A, N/A]
[PID: 896][C:\WINDOWS\system32\conime.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\winscok.dll]  [N/A, N/A]
    [C:\Program Files\Internet Explorer\PLUGINS\systemy.sys]  [N/A, N/A]
[PID: 1452][C:\WINDOWS\System32\alg.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1608][C:\WINDOWS\system32\CAP3RSK.EXE]  [CANON INC., 1.00.0.007]
[PID: 1968][C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3LAK.EXE]  [CANON INC., 1.00.0.007]
[PID: 1044][C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE]  [CANON INC., 1.00.0.007]
    [C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3PMN.DLL]  [CANON INC., 1.00.0.007]
    [C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SMK.DLL]  [CANON INC., 1.00.0.007]
[PID: 892][C:\Program Files\Internet Explorer\iexplore.exe]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\Program Files\Internet Explorer\PLUGINS\systemy.sys]  [N/A, N/A]
    [C:\WINDOWS\system32\winscok.dll]  [N/A, N/A]
    [C:\Program Files\Rising\Rav\RavScrCh.dll]  [Beijing Rising Technology Co., Ltd., 18, 0, 0, 4]
    [C:\WINDOWS\system32\macromed\flash\flash.ocx]  [Macromedia, Inc., 6,0,79,0]
[PID: 268][C:\Documents and Settings\Administrator\桌面\sreng2\SREng\SREng.exe]  [Smallfrogs Studio, 2.2.6.605]
    [C:\Program Files\Internet Explorer\PLUGINS\systemy.sys]  [N/A, N/A]
    [C:\WINDOWS\system32\winscok.dll]  [N/A, N/A]

==================================
文件关联
.TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  OK. ["C:\WINDOWS\hh.exe" %1]
.HLP  OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者
N/A

==================================
Autorun.inf
[D:\]
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
shell\Auto\command=sxs.exe

==================================
HOSTS 文件
127.0.0.1      localhost

我知道其中一些启动项和文件是病毒的,但删掉这些后无法杀掉被感染的文件,所以只要一运行就会再出来,希望高手来指点下

我的e盘里有个专杀可以试试mizuki.ys168.com
杀不干净只能全盘格

看了一下你的日志
你机器的病毒众多
winsock2被劫持
系统文件被挂钩
建议格式化C盘重装吧
因为不格式化杀起来的所用的时间只比重装多不比重装少

我的也是,格了重装也没用,我已经装了N次了.昨天发给了瑞星,也没个回信,不知道怎么办才好

重装之后不要去其它盘里运行任何程序
直接安装瑞星最新版再杀
毒杀不了你把我杀了

logo_1.exe 已经变种了快进来看解决方法

威金蠕虫肆虐互联网 九千用户十余企业遭攻击

下面是转贴的解决方法，希望对大家有用！

具体预防方案如下:
下载地址为：http://it.rising.com.cn/service/technology/RavVikiing.htm
解压后 把virus文件夹里面的文件复制到c:\windows\下面.放心.这些都是空文件.文件名和病毒名是一样的.但是都是0字节.
然后运行logo1virus.bat 给刚才放到c:\windows\下的那几个文件加上系统.隐藏.只读3个属性.
就这样.就可以预防威金病毒了.也就是说.即使你的机子中了威金病毒.也不可能发作.是100%不可能!
为了双保险.请进行下一步:
开始-运行 输入gpedit.msc
用户配置-管理模板-系统 不要运行指定的windows程序.
启用.然后在下面显示那里把virusname.txt里面的文件名都加上.


logo1.rar里面是病毒.你可以试一下.即使你运行了这个病毒.也不会发作和感染.

废话我就不说了.希望大家好运.瑞星最新报告.目前已有数万人中这个毒.才3天时间. 其中有数千家网吧在2天内中毒.不可忽视.


表说你没见过这个QQ信息


看看啊. 我最近的照片~ 才扫描到QQ象册上的 ^_^ !



http://www.(骗子或虚假QQ推广信息地址)search_2.shtml.cgi-client-entry.photo.39pic.com/qq%E5%83%8F%E5%86%8C2/

如果你点一下...



表说你不会点.如果你在家.你的电脑只是你一人用么?如果不小心点了一下.那么....
如果你在网吧.网吧其他人点一下的话........


病毒信息:
病毒名称:Worm.Viking.bo Worm.Viking.bp
MACFEE 检测为trojan类木马
事实远不是这样简单...


感染方式:目前为 通过QQ信息感染.当然.不否认有人会利用恶意网页来传播


特征:感染后在C盘windows文件夹内会有logo1_.exe文件.运行后 病毒体为 logo1_.exe kill.exe sws32.dll sws.dll rundl132.dll 等
修改注册表
病毒对注册表进行修改，在 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\IniFileMapping\system.ini\boot]winlogo 项和
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和
[HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/中添加键值=%System%（其中，和为可变的），使得在 下次
    系统启动时，病毒可随之自动运行。


中毒后.该病毒能迅速感染explorer.exe 等核心进程.
以及所有的.exe可执行程序...是彻底修改.而不是简单的修改文件关联...具体表现为.游戏图标变色.或变为空白..基本上说.中了这个病毒.就等于你要全部格式化硬盘了。
添加logo1_.exe进程.还有其他几个忘记名字了..


同时释放网游木马.包括 WOW.传奇.江湖.西游.还有....trojan.psw.lineage  表问我这是什么...


你可以说.我装有杀毒软件.很不幸.这个病毒还有一个功能。.就是杀杀毒软件.病毒运行时会干掉以下进程:
      rising
　　SkyNet
　  Symantec
　　McAfee
　Gate 


    Rfw.exe
　　RavMon.exe
　　kill
　　NAV
    KAV
表告诉我不知道这是什么进程.


你可以说.我装有还原软件.很不幸.该病毒能穿透还原精灵.冰点等数种主流还原软件.经本人测试.连还原卡也没用


:mad: :mad: :mad:


你可以说.我有ghost呢.恢复一下就OK.很不幸,由于是全盘感染.恢复镜象也没用.



对于中毒的朋友.本人只能说节哀顺便.如果实在想补救.有以下办法.








进入安全模式 什么都表点.开始-运行-regedit
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot]
winlogo 项
删掉.C:\WINDOWS\SWS32.DLL






HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/Run 删掉C:\WINDOWS\SWS32.dll 类似的都删掉.还有/RunOnce/RunOnceEx 项里面也检查一下.
为安全记.在注册表里搜索以下值 logo1_.exe logo_1.exe kill.exe sws32.dll sws.dll rundl132.dll 把搜索到的键值全部删掉.

搜索到的那些键值.一定要记得路径.比如c:\windows\sws32.dll c:\windows\logo1_.exe 等.注册表信息删掉后.在c盘把这些东西删掉.

然后在运行里输入msconfig 后面启动项里.把没见过的启动项都取消.

如果是网吧机子.server服务一定要关.因为该病毒会通过共享传播.并试图解开共享机子的用户密码.达到传送文件的目的.

做到这一步.请安装卡巴斯基.查毒.然后把所有染毒对象全部删除. 当然.以卡巴死基的一贯风格.会删除N多系统文件.请使用系统修复功能来修复系统...OVER.




其实以我的意思.中了这个毒.基本上就没有修复的必要了.每重新启动一次机子.病毒体会自身复制得更多.重新装一个系统并不麻烦.麻烦的是要重新装系统后.怎么才能做到不再感染此病毒.这也是我想要说的.经过查阅病毒资料.和自己一惯手动杀毒经验.本人使用以下防毒思路.测试效果良好.





重新装过系统后.(装系统过程请拔掉网线)在c:\windows\下 创建几个新文件.分别命名为
logo1_.exe logo_1.exe sws32.dll sws.dll 等.并把该文件属性设置为只读.
其实病毒祸首就是logo1_.exe 理论上说只创建这一个就可以了。






开始-运行 输入gpedit.msc
本地计算机策略--用户配置--管理模板--系统 双击右面的 不要运行指定的windows程序 选择已启用 点下面的显示那里 里面添加如下文件名 logo1_.exe logo_1.exe kill.exe 至于是否还有其他病毒主体名.大家也多查查。




到这一步.基本上该病毒就无法运行了.
其实防止logo1_.exe运行还有一个办法.就是在启动项里添加一个批处理.该批处理内容为








attrib c:\window\logo1_.exe -r -h
del c:\window\logo1_.exe /y
多复制几行。 把其他要删的文件名加上




就是启动系统时就把这些文件删掉.当然就无法运行了。 ..不过.通常这种办法会失灵.;)


还有一点就是防止点QQ信息里面的链接.开启QQ安全中心.如果想要显示QQ信息里连的链接但是不想点他。 也有办法.


在QQ菜单-设置-安全设置-网络信息安全 把安全级别设置为最高. 下面聊天信息安全里面两个勾都去掉.
表乱进不熟悉的网站.



一句话.良好的上网习惯是最好的杀毒利器.



手都打酸了。希望能对大家所帮助...


PS:偶表达能力差.表打击偶.有什么不明白的地方偶编辑下..


以下是修改过的logo1virus.bat


省了第一步.也就是说.直接运行logo1vires.bat后.去修改组策略.就万无一失了.修改过的logo1virus.bat内容为


---------------------------------------------------


echo > c:\windows\Logo1_.exe
echo > c:\windows\rundl132.exe
echo > c:\windows\0Sy.exe
echo > c:\windows\vDll.dll
echo > c:\windows\1Sy.exe
echo > c:\windows\2Sy.exe
echo > c:\windows\rundll32.exe
echo > c:\windows\3Sy.exe
echo > c:\windows\5Sy.exe
echo > c:\windows\1.com
echo > c:\windows\exerouter.exe
echo > c:\windows\EXP10RER.com
echo > c:\windows\finders.com
echo > c:\windows\Shell.sys
echo > c:\windows\smss.exe
echo > c:\windows\kill.exe
echo > c:\windows\sws.dll
echo > c:\windows\sws32.dll


attrib c:\windows\Logo1_.exe +s +r +h
attrib c:\windows\rundl132.exe +s +r +h
attrib c:\windows\0Sy.exe +s +r +h
attrib c:\windows\vDll.dll +s +r +h
attrib c:\windows\1Sy.exe +s +r +h
attrib c:\windows\2Sy.exe +s +r +h
attrib c:\windows\rundll32.exe +s +r +h
attrib c:\windows\3Sy.exe +s +r +h
attrib c:\windows\5Sy.exe +s +r +h
attrib c:\windows\1.com +s +r +h
attrib c:\windows\exerouter.exe +s +r +h
attrib c:\windows\EXP10RER.com +s +r +h
attrib c:\windows\finders.com +s +r +h
attrib c:\windows\Shell.sys +s +r +h
attrib c:\windows\smss.exe +s +r +h
attrib c:\windows\kill.exe +s +r +h
attrib c:\windows\sws.dll +s +r +h
attrib c:\windows\sws32.dll +s +r +h


-------------------------------------------


刚才整理了一下.修改组策略那里已经被我写成注册表。请把以下内容复制到文本里.修改成reg后缀导入就可.


------------------------------------------------


Windows Registry Editor Version 5.00


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\本地User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]
"**delvals."=" "
"1"="0Sy.exe"
"2"="1.com"
"3"="1Sy.exe"
"4"="2Sy.exe"
"5"="3Sy.exe"
"6"="5Sy.exe"
"7"="exerouter.exe"
"8"="EXP10RER.com"
"9"="finders.com"
"10"="finders.com"
"11"="kill.exe"
"12"="Logo1_.exe"
"13"="rundl132.exe"
"14"="rundll32.exe"
"15"="Shell.sys"
"16"="smss.exe"
"17"="smss.exe"
"18"="sws.dll"
"19"="sws32.dll"
"20"="tool.exe"
"21"="tool2005.exe"
"22"="tool2006.exe"
"23"="tools.exe"
"24"="vDll.dll"

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><C:\WINDOWS\rundl132.exe> [N/A]
<SoundMam><C:\WINDOWS\system32\svohost.exe> [N/A]
<CAP3ON><C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3ONN.EXE> [(Verified)CANON INC.]
<Tray><C:\WINDOWS\command\rundll32.exe> [N/A]
<rzt><C:\WINDOWS\Intel\rundll32.exe> [N/A]
<ms><C:\Program Files\Microsoft\svhost32.exe> [N/A]
<xy><C:\WINDOWS\Download\svhost32.exe> [N/A]
<wl><C:\WINDOWS\Download\svhost32.exe> [N/A]
<{6E44887F-5214-41F2-AB46-4728735C4CC6}><C:\Program Files\Internet Explorer\PLUGINS\systemy.sys> [N/A]

[Human Interface Device Access / HidServ]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
[Realtek RTL8139(A/B/C)-based PCI Fast Ethernet Adapter NT Driver / rtl8139]
<system32\DRIVERS\RTL8139.SYS><Realtek Semiconductor Corporation>
[Secdrv / Secdrv]
<system32\DRIVERS\secdrv.sys><N/A>

[C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\v.dll] [N/A, N/A]
[C:\WINDOWS\system32\winscok.dll] [N/A, N/A]
[C:\WINDOWS\Dll.dll] [N/A, N/A]
[C:\Program Files\Internet Explorer\PLUGINS\systemy.sys] [N/A, N/A]

个人认为以上的东西有问题
但不会用S日志,所以....