logo1_.exe是什么進程

2020-06-18 12:11:07

字體：大中小

來源：轉載

供稿：網友

logo1_.exe進程

是病毒
　　病毒類型：木馬程序
　　受影響的系統：Windows /98/NT/2000/XP/2003
　　病毒特征：假如你手動運行logo1_.exe 你的系統就GAMEOVER了。運行系統極度卡機。你重新啟動后你會發現你所有游戲的.EXE 程序全部都感染了。用最新殺毒軟件殺完后。除了系統可以勉強運行。其他的你也別想運行了。
　　1 病毒體 C:/winnt 目錄下logo1_.exe 。KILL.EXE sws32.dll 等文件是病毒發作后的文件。
　　2、生成病毒文件
　　病毒運行后，在c:/winnt 下自己拷貝生成病毒文件，文件的名稱是可變，根據不同的變種相應有不同的名稱。好像一共有5個文件。其中由3個是.exe 2 個是.DLL 文件。其中有KILL.EXE 等。具體的記不大清楚了。
　　3、修改注冊表
　　病毒對注冊表進行修改，在 [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/IniFileMapping/system.ini/boot] winlogo 項和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和[HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/中添加鍵值=%System%（其中，和為可變的），使得在下次系統啟動時，病毒可隨之自動運行。
　　4、盜取密碼
　　病毒試圖登陸并盜取被感染計算機中網絡游戲傳奇2的密碼，將游戲密碼發送到該木馬病毒的植入者手中。
　　5、阻止以下殺毒軟件的運行
　　病毒試圖終止包含下列進程的運行，這些多為殺毒軟件的進程。包括卡八斯基，金山公司的毒霸。瑞星等。98%的殺毒軟件運行。
　　國產軟件在中毒后都被病毒殺死，是病毒殺掉-殺毒軟件。如金山，瑞星等。哪些軟件可以認出病毒。但是認出后不久就陣亡了。。本人一直都支持國產，但是在電腦和手機方面就沒辦法支持了。郁悶中~~~
　　進程如下：
　　rising
　　SkyNet
　　Symantec
　　McAfee
　　Gate
　　Rfw.exe
　　RavMon.exe
　　kill
　　NAV
　　KAV
　　LAST 最后說一下解決方案都是本人個人經驗有不足之處還請各位多多補充。
　　先下載好你認為比較好的殺毒軟件。此時不要安裝。就是安裝了也是白安裝。所有軟件安裝后很快就被感染。這里不推薦使用金山，瑞星，江明，SPANT 等。推薦使用卡八斯基5.0版和我最喜歡的麥咖啡殺毒軟件。
　　請先去把系統設置為“顯示隱藏文件”，因為病毒以隱藏屬性偽裝，不做此設置將無法看到它，設置的方法如下
　　打開“我的電腦”；
　　依次打開菜單“工具/文件夾選項”；
　　然后在彈出的“文件夾選項”對話框中切換到“查看”頁；
　　去掉“隱藏受保護的操作系統文件(推薦)”前面的對鉤，讓它變為不選狀態；
　　在下面的“高級設置” 去掉“隱藏已知文件類型的擴展名”前面的對鉤，也讓它變為不選狀態；
　　最后點擊“確定”。
　　二、修改注冊表
　　[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/IniFileMapping/system.ini/boot] winlogo 項
　　把WINLOGO 項后面的C:/WINNT/SWS32.DLL 干掉（就是刪掉的意思^_^)
　　接下來把HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/Run 鍵 /RunOnce/RunOnceEx 兩個中其中有個是也是C:/WINNT/SWS32.dll
　　把類似以上的全部刪掉注意不要刪除默認的鍵值（刪了的話后果自負）
　　三結束進程
　　按“Ctrl+Alt+Del”鍵彈出任務管理器，找到SWS32 進程，名字記不大清楚了，反正看到最多的進程就殺殺殺！?。?！還有幾個很少看到的進程。什么AUS***之類的都干掉他。找到EXPL0RER.EXE進程（注意第5個字母是數字0不是字母O），找到它后選中它并點擊“結束進程”以結束掉木馬進程。然后迅速做下面一步，只所以要迅速是因為如果動作慢的話，木馬可能會自動恢復而再次運行起來，這樣就無法刪除掉其他木馬文件了（如果EXPL0RER.EXE進程再次運行起來需要重做這一步）。
　　四裝殺毒軟件
　　裝完后不要重新啟動（切記）直接升級病毒庫，升級完后，把C:/winnt 目錄下所有帶毒文件刪除。然后運行殺毒軟件開始殺毒。
　　殺完后。還有幾個殺毒軟件無法刪掉的東西要把名字記下來。因為不同的系統有不同的名字。所以這里說不清楚了。自己記下來。
　　重新啟動后再次殺毒。記的把可疑的進程的結束。否則殺毒軟件無法干凈殺毒。還有最重要的一點記的把殺毒軟件無法清除的病毒設置為刪除文件。一般要重復殺毒3-5次才能殺干凈。
　　五?？纯礆⒍竞蟮南到y。
　　缺少的了很多系統文件。系統處于危險狀態。如果你有GHOST 備份。這個時候恢復一下。系統可以干凈無損。如果沒有請運行 SFC 命令檢查文件系統。具體操作為運行-輸入CMD 命令進入DOS 提示符。-輸入SFC /scannow -- 提示放入系統光盤。--放進去吧。然后慢慢等。
　　看看成果。殺毒效果顯著。毒殺干凈了。但是殺完毒后很多游戲都玩不了。忙了一圈都不知道自己在忙什么。郁悶吧。然后重新做系統吧。誰叫中毒的是網吧的系統。
　　PS：如果在病毒沒有發作情況下殺毒是可以完全搞定的。如果發作了也不要殺毒了。直接克盤恢復吧。
　　在短短的28小時內我接到3個網吧老板的電話。。。。。。。。做技術員真命苦。。。。。。
　　這是本人第一次寫這么長的資料。也是忙碌1年半后潛水1年半后。重新的回到技術員的身份（以前我經常發招聘的帖。不過PS哦我不是老板，招人都是幫朋友招的。我還是網管是大家的同行和朋友）。愛情后門，愛情后門變種。FUNLOVE 變種等病毒曾經把我朋友弄的網吧一度處于停業狀態。寫此文的目的就是希望大家同行群策群力做好預防工作。最好能夠自己寫出個免疫補丁。希望所有人的技術都在進步
　　PS：做系統的時候把默認共享關閉。關閉IPC$Content$nbsp;ADMIN$Content$nbsp;關閉554 關閉ICMP路由。給ADMINISTRATOR 組所有成員設置密碼。最好數字加英文（愛情后門病毒可以破解簡單的密碼而進行大規模的快速傳播）。關閉了這些服務加上殺毒軟件。LOGO1.exe 基本上拿你沒折了。但是如果是批量克盤建議客戶機不要使用卡八等殺毒軟件。克盤時網線拔掉，克好盤要迅速裝好還原精靈。為什么要迅速，不用我說了吧。
　　辛辛苦苦寫的手都酸了。。天不知覺的也亮起來了。。。。轉貼時希望大家珍惜我的勞動成果。
　　接上文。經過一段時間的觀察，我找到了可以改病毒的免疫補?。ㄖ贿m用于沒有感染該病毒或者已經感染該病毒但是沒有發作的機器）其實很簡單只要每次開機刪除病毒體文件 LOGO1_1.exe 那么即使感染了該病毒的機器也可以救回來。用這個方法本人救活了2家網吧180臺機器。目前為止情況正常。
　　LOGO1_.exe 免疫補丁制作如下：
　　1 編寫批處理文件。開機自動刪除logo1_.exe 作用是即使中了該病毒，由于開機后自動刪除該病毒。那么該病毒永遠無法發作。
　　批處理文件內容如下：
　　del c:/winnt/logo1_.exe (就這一行。先保存為記事本，然后保存為.bat的批處理文件。
　　2 設置改批處理開機自動運行。
　　修改注冊表加入以下項
　　Windows Registry Editor Version 5.00
　　[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
　　"auto"="E://網絡游戲//auto.bat"
　　把上端文本保存為 .REG 文件。然后導入注冊表。{ E://網絡游戲//auto.bat } 該路徑為你剛剛編寫批處理所在的目錄。很重要。
　　好了到此為止你可以安心睡覺去了。。不用再怕那可惡的LOGO1_.exe 了。。
　　本人再次強調一點。如果該病毒已經在你電腦里發作了。那么還是不要去救了。。直接重新克盤吧。
　　如果沒有發作。那么用上面方法可以救活你的電腦。判斷依據是看看網絡游戲圖標有沒有變色。還有
　　c:/winnt 目錄下有沒有KILL.exe sws.dll sws32.dll 文件。

上一篇：K11*.EXE怎么殺

下一篇：optimize[1].exe是什么文件