病毒运行后,在%Windir%生成 Logo1_.exe 同时会在windws根目录生成一个名为 %WinDir%virDll.dll
该蠕虫会在系统注册表中生成如下键值:
[HKEY_LOCAL_MACHINESoftwareSoftDownloadWWW]盗取密码
病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码,将游戏密码发送到该木马病毒的植入者手中。
阻止以下杀毒软件的运行
病毒试图终止包含下列进程的运行,这些多为杀毒软件的进程。 包括卡巴斯基,金山公司的毒霸。瑞星等。98%的杀毒软件运行。
国产软件在中毒后都被病毒杀死,是病毒杀掉-杀毒软件。如金山,瑞星等。哪些软件可以认出病毒。但是认出后不久就阵亡了。
通过写入文本信息改变病毒感染运行windows操作系统的计算机,并且通过开放的网络资源传播。一旦安装,蠕虫将会感染受感染计算机中的.exe文件。
该蠕虫是一个大小为82K的Windows PE可执行文件。
通过本地网络传播
该蠕虫会将自己复制到下面网络资源:ADMIN$ IPC$
症状
蠕虫会感染所有.exe的文件。
蠕虫会从内存中删除下面列出的进程:EGHOST.EXE IPARMOR.EXE KAVPFW.EXE KWatchUI.EXE MAILMON.EXE Ravmon
网吧遭此病毒破坏造成大面积的卡机,瘫痪。危害程度可以和世界排名前十的爱情后门变种相比。该病毒可以通过网络传播,传播周期为3分钟。如果是新做的系统
处于中了毒的网络环境内,只要那个机器一上网,3分钟内必定中招。中招后你安装 rising SkyNet Symantec McAfee
Gate Rfw.exe RavMon.exe kill NAV 等杀毒软件 都无法补救你的系统,病毒文件 Logo1_.exe
为主体病毒,他自动生成病毒发作所需要的的 SWS32.DLL SWS.DLLL KILL.EXE
等文件。这些文件一但衍生。他将迅速感染系统内EXPLORE 等系统核心进程 及所以.exe 的可执行文件,外观典型表现症状为 传奇
,泡泡堂,等游戏图标变色。 此时系统资源可用率极低,你每重新启动一次,病毒就会发作一次。
该病毒对于防范意识较弱,还原软件未能及时装到
位的网吧十分致命,其网络传播速度十分快捷有效。旧版的杀毒软件无法检测,新版的无法彻底根杀。一但网吧内某台机器中了此病毒,那么该网吧所有未中毒的机
器都处于危险状态。由于病毒发作贮留于内存。且通过EXPLORE.exe
进行传播。因此即使是装了还原精灵,还原卡的机器也同样会被感染。你重新启动后系统可以还原。但是你一但开机还是会被感染。
病毒发作会生成 另外病毒 PWSteal.Lemir.Gen 和 trojan.psw.lineage
等等。都是些非常厉害的后门程序。和外挂病毒相似,但是其威力是外挂病毒的50倍以上。在WIN98平台下,改病毒威害比较小。在WIN2000
/XP/2003 平台对于网吧系统是致命的
运行系统极度卡机。你重新启动后你会发现你所有游戏的.EXE 程序全部都感染了
最新杀毒软件杀完后。除了系统可以勉强运行。其他的你也别想运行了。
病毒清理办法
如果在病毒没有发作情况下杀毒是可以完全搞定的。如果发作了也不要杀毒了。直接克盘恢复吧。
一、找到注册表中[HKEY_LOCAL_MACHINESoftwareSoftDownloadWWW]删除DownloadWWW主键
二、找到
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionIniFileMappingsystem.iniboot]
winlogo 项
把WINLOGO 项 后面的C:WINNTSWS32.DLL 删掉
接下来把HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/Run 键中 /RunOnce/RunOnceEx 两个中其中有个是也是<!–page–>
C:WINNTSWS32.dll
把类似以上的全部删掉 注意不要删除默认的键值(删了的话后果自负)
如果没有以上键值,则直接跳过此步骤
三 结束进程
按“Ctrl +Alt+Del”键弹出任务管理器,找到logo1_.exe
等进程,结束进程,可以借助绿鹰的进程管理软件处理更方便。找到EXPL0RER.EXE进程,找到它后选中它并点击“结束进程”以结束掉(如果
EXPL0RER.EXE进程再次运行起来需要重做这一步)。
四 装杀毒软件
装完后不要重新启动(切记)直接升级病毒库,升级完后,把C:winnt 目录下所有带毒文件删除。然后运行杀毒软件开始杀毒。
杀
完后。还有几个杀毒软件无法删掉的东西要把名字记下来。因为不同的系统有不同的名字。所以这里说不清楚了。自己记下来。,重新启动后再次杀毒。记的把可疑
的进程的结束。否则杀毒软件无法干净杀毒。还有最重要的一点记的把杀毒软件无法清除的病毒设置为删除文件。一般要重复杀毒3-5次才能杀干净。
五。看看杀毒后的系统。
缺
少的了很多系统文件。系统处于危险状态。如果你有GHOST 备份。这个时候恢复一下。系统可以干净无损。如果没有请运行 SFC
命令检查文件系统。具体操作为 运行-输入CMD 命令进入DOS 提示符。-输入SFC /scannow
– 提示放入系统光盘。–放进去吧。然后慢慢等。
看看成果。杀毒效果显著。毒杀干净了。但是杀完毒后很多游戏都玩不了。忙了一圈都不知道自己在忙什么。郁闷吧。然后重新做系统吧。谁叫中毒的是网吧的系统
杀毒及重装系统后的防范
有些网友在处理病毒的时候可能有这样的感觉好不容易清除了,或者没办法重新装了系统,但是没多长时间又中了同样的病毒,所以说有免疫程序实最好的了。下面就将免疫程序公布如下,供网友们下载使用:
建议做系统的时候把默认共享关闭。关闭IPC$ ADMIN$ 关闭554 关闭ICMP路由。给ADMINISTRATor 组所有成员设置密码。最好数字加英文
现在地址可以到本站的软件下载中去找找,你可以直接通过下面的网址下载:http://whit.net.cn/down/SoftView.Asp?SoftID=100
文件说明下载解压后有3个文件
dellogo.bat放在winnt目录下,98的用户放到windows目录下
delshare.bat放到开始菜单–程序—启动项中,目的能让计算机启动后就删除默认共享,从而阻止病毒对外传播和再次感染的桥梁。
ljl.reg下载后直接运行这个文件,提示,信息导入注册表后,说明写入注册表成功,目的是让计算机重新启动后能立刻删除病毒主题文件
logo1.exe文件。要注意的实这个注册表导入文件是针对win2000系统的,如果您是其他的操作系统,请参考修改一下就可以。
以上操作只是阻断传播,如果怕在使用中感染此病毒,您还需要按照如下操作,这样即使病毒感染,也不能运行主体病毒程序。
当然这里说的操作实针对win2000系统的,其他的系统可以参考操作:
运行 gpedit.msc 打开组策略
依次单击用户配置- 管理模块- 系统-指定不给windows运行的程序
点启用 然后 点显示 添加 logo1_exe 也就是病毒的源文件 。2000 是没有纯DOS的,如果要进 DOS 就得用 DOS启动盘进入,比如,光盘的,USB的,软盘的。而且得先进 BIOS 设置为 光驱启动,或者USB看你用什么来启动了。
进入DOS后,格式化的命令是:
format c:/q
c代表C盘,格别的盘就换别的,参数Q代表快速格式化。XP需要使用98启动盘在开机后引导进入dos。 2000就在开始—运行,输入CMD即可。
这个病毒太猛了,还好我关了135,139,445,不然维修组的事情又多了,汗
