好像是很早以前的威金病毒
以下是DELL传过来的
关于 Logo1_.exe
病毒名称 W32.Looked.p W32.Looked.a
专杀工具: http://download.rising.com.cn/zsgj/VirusKiller.scr
安全模式下运行此文件,可以修复被感染的EXE文件
主要症状:
1、占用大量网速,使机器使用变得极慢。
2、会捆绑所有的EXE文件,只要一运用应用程序,在winnt下的logo1.exe图标就会相应变成应用程序图标。
3、有时还会时而不时地弹出一些程序框,有时候应用程序一起动就出错,有时候起动了就被强行退出。
4、产生大量的_desktopini文件
5、能绕过所有的还原软件。
6、系统每次重新启动都会报丢失文件的错,不能启动
详细技术信息:
1、生成文件
病毒运行后,在%Windir%生成 Logo1_.exe ,他自动生成病毒发作所需要的的 SWS32.DLL SWS.DLLL KILL.EXE 等文件。同时会在windws根目录生成一个名为"virDll.dll"的文件。%WinDir%\virDll.dll。这些文件一但衍生。他将迅速感染系统内EXPLORE 等系统核心进程 及所以.exe 的可执行文件,外观典型表现症状为图标变色。此时系统资源可用率极低,你每重新启动一次,病毒就会发作一次,重新启动5次后系统基本崩溃。
该蠕虫会在系统注册表中生成如下键值:
[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]
"auto" = "1"
2、阻止以下杀毒软件的运行
病毒试图终止包含下列进程的运行,这些多为杀毒软件的进程。包括卡八斯基,金山公司的毒霸。瑞星等
98%的杀毒软件运行。
国产软件在中毒后都被病毒杀死,是病毒杀掉-杀毒软件。如金山,瑞星等。哪些软件可以认出病毒。但是
认出后不久就阵亡了。
蠕虫会从内存中删除下面列出的进程:
EGHOST.EXE
IPARMOR.EXE
KAVPFW.EXE
KWatchUI.EXE
MAILMON.EXE
Ravmon.exe
ZoneAlarm
通过写入文本信息改变"%System%\drivers\etc\hosts" 文件。这就意味着,当受感染的计算机浏览许多站点时
(包括众多反病毒站点),浏览器就会重定向到66.197.186.149。
蠕虫会感染所有.exe的文件。但是,它不会感染路径中包含下列字符串的文件:
\Program Files
Common Files
ComPlus Applications
Documents and Settings
NetMeeting
Outlook Express
Recycled
system
System Volume Information
system32
windows
Windows Media Player
Windows NT
WindowsUpdate
winnt
该病毒可以通过网络传播,传播周期为3分钟。如果是新做的系统处于中了毒的网络环境内,只要那个机器一上网,3分钟内必定中招。中招后你安装 rising SkyNet Symantec McAfee Gate Rfw.exe RavMon.exe kill NAV 等杀毒软件 都无法补救你的系统。
病毒发作贮留于内存。且通过IEXPLORE.exe 进行传播。因此即使是装了还原精灵,还原卡的机器也同样会被感染。你重新启动后系统可以还原。但是你一但开机还是会被感染。
3 解决方案
(注意!!在杀毒过程中不要动行任何应用程序)
1.del d:\_desktop.ini /s/f/a/q批量删除_desktop.ini文件
2.下载专杀工具,在安全模式下用瑞星,江民,毒霸专杀工具杀,和Norton全面扫描,清除所有被感染的.exe文件
3.把默认共享关闭,给ADMINISTRATOR 组所有成员设置密码。防止病毒重新感染!
4.结束以下进程: logo1_.exe rundl132.exe(注意第六个为数字1而不是L) explorer.exe(该病毒会把vDll.dll加载到该系统进程中去,最好是用进程管理工具直接结束掉这个DLL) 另外有类似OS.exe的进程也一并结束掉~~!
5.到windows目录删除"logo1_.exe"、"rundl132.exe"、"vdll.dll"文件!(注意这些进程都是隐藏的,需要把系统设置为“显示隐藏文件”,设置的方法:打开“我的电脑”;依次打开菜单“工具/文件夹选项”;然后在弹出的“文件夹选项”对话框中切换到“查看”页;去掉“隐藏受保护的操作系统文件(推荐)”前面的对钩,让它变为不选状态;在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项;去掉“隐藏已知文件类型的扩展名”前面的对钩,也让它变为不选状态;最后点击“确定”。)
6.运行 gpedit.msc 打开组策略,依次单击用户配置- 管理模块- 系统-指定不给windows运行的程序,点启用 然后 点显示 添加 logo1_exe 也就是病毒的源文件
7.在windows目录下新建文件:"logo1_exe"、"rundl132.exe"、"vdll.dll"并把属性设为“只读”,这样病毒也就无法运行了
8.现在你的电脑基本上说可以对该病毒免疫了,既使中了该病毒,它也发作不了啦!最后这一点不怎么好办那些应用程序都被感染了病毒,如果中了病毒,下次重启后,就会弹出来“rundl132.exe不是有效的应用程序”和“无法加载注册表中c;\windows\rundl132.exe”的对话框本人认为要么删除所有被感染的应用程序,然后从其它地方复制没感染病毒的过来,要么就是在搜索里用“*.exe”找出所有的exe文件,然后每个运行一下:L最后从注册表里找出“rundl132.exe”的启动项,删掉就OK了
9.删除以下目录下的文件:(有则删除,没有更好)
C:\Windows\rundl132.exe
C:\Windows\logo_1.exe
C:\1.txt
10.用记事本打开C:\Windows\system32\drivers\etc\hosts文件,检查显示的是否跟以下内容相同,删除127.0.0.1 localhost以下所以内容,保存退出。
# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
127.0.0.1 localhost
11 输入regedit进入系统注册表,查找到
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
删除字符串"load"="C:\\Windows\\rundl132.exe"
查找到[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
删除字符串"load"="C:\\Windows\\rundl132.exe"
查找到[HKEY_LOCAL_MACHINE\SOFTWARE\]
删除下面整个soft项,其中包括所带的DownloadWWW。
查找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]
删除所有ver_down[数字]的字符串值。
Best wishes for you.
