这个病毒是03年初的产品了,今年给人重新包装,又闪亮登场了。
首先是在windows目录下植入了Logo1_.exe这个文件,然后在相同目录下释放出rundl132.exe,它可以感染你所有可执行文件,你双击被感染后的文件又会中招。这个病毒诺顿是可以查杀的,但干得不彻底。
其次,这个病毒还会释放出一些其他病毒,比较令人头大的就是你说的winlogin.exe,它的那几个病毒文件一旦给杀毒软件杀掉,就自动替换注册表,使你.exe都不能打开。
所以要解决这个东西还是相当有技术含量的。
你先要做个准备,打开我的电脑——工具——文件夹选项——查看——把“隐藏已知文件扩展名”勾去掉
到C:\Windows\system32 里,把cmd.exe文件复制出来,比如到桌面,改名成cmd.com
一旦.exe文件不能打开了,就双击cmd.com,进入MS-DOS
打入以下的命令:
assoc .exe=exefile (assoc与.exe之间有空格)
ftype exefile="%1" %*
就能恢复
我给你介绍一下我怎么干掉他们的.
第一步:干掉Logo1_.exe进程,删掉Logo1_.exe和rundl132.exe,新建两个以Logo1_.exe和rundl132.exe命名的文件夹在相同位置,文件夹属性勾上只读,隐藏。同时删除注册表中含rundl132.exe的项目,HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows,把load后面的值删掉(呵呵,编在打印机的启动项里,很毒啊),如果你没中这个Logo1_.exe,那最好了,呵呵
第二步:干掉假的winlogon.exe,
1。你打开进程管理器,查看—选择列—勾上PID。然后再看进程管理器,每个进程都有个PID号的,假的winlogon.exe一般是大写,但也有小写的,那你可以看它占的内存,多的那个是假的。记下PID号。
2。运行—CMD(你如果exe已经不能打开了,那就照你找的那个方法,打开DOS后,键入ntsd -c q -p (pid号),回车,恩,这个进程就干掉了。
3。然后你可以大摇大摆地把windows目录下的winlogon.exe给干掉了,别忘了建个同名的文件夹在相同位置,文件夹属性勾上只读,隐藏
4。干掉 1.com,建个同名文件夹在相同位置,文件夹属性勾上只读,隐藏。
5。重启
到这一步,你已经把这个问题解决了大半,但还没完。
7。重启后你会发现不再有两个winlogon.exe进程了,但马上又会出现一个1.com的文件夹,这就是为啥我要你建刚才那个1.com文件夹的道理。问题出在你的注册表里。不过别急,先把那些乱七八糟的病毒文件干掉。(干掉后,你的.exe文件又不行了,当然,你应该知道怎么改回来了吧)
8。打开注册表编辑器,把HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,你会发现shell键的值是Explorer.exe 1, 把1删掉,(这就是你开机1.com会执行的奥秘)。但不能把Explorer.exe删掉,这是你进系统的关键进程,就是说正常情况下shell键的值是Explorer.exe
9。还是注册表编辑器,查找iexplore.com,把找到的都改成iexplore.exe 这样基本大功告成了。有时间把那几个病毒文件都在注册表里搜一下,弄弄干净,不过不弄也没多大关系了。
这几步只是解决winlogon.exe这个东东,还没完全搞掉Logo1_.exe,你如果在你机器里发现Logo1_.exe,那再跟个贴哈
