logo_1.exe 变种病毒解决方案 附件解压后 把virus文件夹里面的文件复制到c:\windows\下面.放心.这些都是空文件.文件名和病毒名是一样的.但是都是0字节. 然后运行logo1virus.bat 给刚才放到c:\windows\下的那几个文件加上系统.隐藏.只读3个属性. 就这样.就可以预防威金病毒了.也就是说.即使你的机子中了威金病毒.也不可能发作.是100%不可能! 为了双保险.请进行下一步: 开始-运行 输入gpedit.msc 用户配置-[url=http://www.baidu.com/baidu?tn=1024k&word=%E7%AE%A1%E7%90%86]管理[/url]模板-系统 不要运行指定的windows程序. 启用.然后在下面显示那里把virusname.txt里面的文件名都加上. logo1.rar里面是病毒.你可以试一下.即使你运行了这个病毒.也不会发作和感染. 废话我就不说了.希望大家好运.瑞星[url=http://action.vogate.com/click/click.php?ads_id=900&site_id=6235007045036817&click=1&url=http%3A//www.vogate.com&v=0&k=%u6700%u65B0&s=http%3A//www.1024k.cn/os/2007/200701/15340.html&rn=176303]最新[/url]报告.目前已有数万人中这个毒.才3天时间. 其中有数千家网吧在2天内中毒.不可忽视. 表说你没见过这个QQ[url=http://action.vogate.com/click/click.php?ads_id=895&site_id=6235007045036817&click=1&url=http%3A//www.vogate.com&v=0&k=%u4FE1%u606F&s=http%3A//www.1024k.cn/os/2007/200701/15340.html&rn=398821]信息[/url] 看看啊. 我最近的照片~ 才[url=http://action.vogate.com/click/click.php?ads_id=694&site_id=6235007045036817&click=1&url=http%3A//www.hp.com.cn/printer/aio/product_list.asp%3Fh_type%3D4&v=0&k=%u626B%u63CF&s=http%3A//www.1024k.cn/os/2007/200701/15340.html&rn=6966]扫描[/url]到QQ象册上的 ^_^ ! http://www.qq.xxx.search_2.shtml.cgi-client-entry.photo.39pic.com/qq%E5%83%8F%E5%86%8C2/ 如果你点一下... 表说你不会点.如果你在家.你的[url=http://www.baidu.com/baidu?tn=1024k&word=%E7%94%B5%E8%84%91]电脑[/url]只是你一人用么?如果不小心点了一下.那么.... 如果你在网吧.网吧其他人点一下的话........ 病毒信息: 病毒名称:Worm.Viking.bo Worm.Viking.bp MACFEE 检测为trojan类木马 事实远不是这样简单... 感染方式:目前为 通过QQ信息感染.当然.不否认有人会利用恶意网页来传播 特征:感染后在C盘windows文件夹内会有logo1_.exe文件.运行后 病毒体为 logo1_.exe kill.exe sws32.dll sws.dll rundl132.dll 等 修改注册表 病毒对注册表进行修改，在 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\IniFileMapping\system.ini\boot]winlogo 项和 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和 [HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/中添加键值=%System%（其中，和为可变的），使得在 下次   系统启动时，病毒可随之自动运行。 中毒后.该病毒能迅速感染explorer.exe 等核心进程. 以及所有的.exe可执行程序...是彻底修改.而不是简单的修改文件关联...具体表现为.[url=http://www.baidu.com/baidu?tn=1024k&word=%E6%B8%B8%E6%88%8F]游戏[/url]图标变色.或变为空白..基本上说.中了这个病毒.就等于你要全部格式化硬盘了。 添加logo1_.exe进程.还有其他几个忘记名字了.. 同时释放网游木马.包括 WOW.传奇.江湖.西游.还有....trojan.psw.lineage   表问我这是什么... 你可以说.我装有杀毒软件.很不幸.这个病毒还有一个功能。.就是杀杀毒软件.病毒运行时会干掉以下进程:     rising 　　SkyNet 　   Symantec 　　McAfee 　Gate   Rfw.exe 　　RavMon.exe 　　kill 　　NAV   KAV 表告诉我不知道这是什么进程. 你可以说.我装有还原软件.很不幸.该病毒能穿透还原精灵.冰点等数种主流还原软件.经本人测试.连还原卡也没用 你可以说.我有ghost呢.恢复一下就OK.很不幸,由于是全盘感染.恢复镜象也没用. 对于中毒的朋友.本人只能说节哀顺便.如果实在想补救.有以下办法. 进入安全模式 什么都表点.开始-运行-regedit [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot] winlogo 项 删掉.C:\WINDOWS\SWS32.DLL HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/Run 删掉C:\WINDOWS\SWS32.dll 类似的都删掉.还有/RunOnce/RunOnceEx 项里面也检查一下. 为安全记.在注册表里搜索以下值 logo1_.exe logo_1.exe kill.exe sws32.dll sws.dll rundl132.dll 把搜索到的键值全部删掉. 搜索到的那些键值.一定要记得路径.比如c:\windows\sws32.dll c:\windows\logo1_.exe 等.注册表信息删掉后.在c盘把这些东西删掉. 然后在运行里输入msconfig 后面启动项里.把没见过的启动项都取消. 如果是网吧机子.server服务一定要关.因为该病毒会通过共享传播.并试图解开共享机子的用户密码.达到传送文件的目的. 做到这一步.请安装卡巴斯基.查毒.然后把所有染毒对象全部删除. 当然.以卡巴死基的一贯风格.会删除N多系统文件.请使用系统修复功能来修复系统...OVER. 其实以我的意思.中了这个毒.基本上就没有修复的必要了.每重新启动一次机子.病毒体会自身复制得更多.重新装一个系统并不麻烦.麻烦的是要重新装系统后. 怎么才能做到不再感染此病毒.这也是我想要说的.经过查阅病毒资料.和自己一惯手动杀毒经验.本人使用以下防毒思路.测试效果良好. 重新装过系统后.(装系统过程请拔掉网线)在c:\windows\下 创建几个新文件.分别命名为 logo1_.exe logo_1.exe sws32.dll sws.dll 等.并把该文件属性设置为只读. 其实病毒祸首就是logo1_.exe 理论上说只创建这一个就可以了。 开始-运行 输入gpedit.msc 本地[url=http://action.vogate.com/click/click.php?ads_id=640&site_id=6235007045036817&click=1&url=http%3A//my.vogate.com/xzhskev&v=0&k=%u8BA1%u7B97%u673A&s=http%3A//www.1024k.cn/os/2007/200701/15340.html&rn=234272]计算机[/url]策略--用户配置--[url=http://www.baidu.com/baidu?tn=1024k&word=%E7%AE%A1%E7%90%86]管理[/url]模板--系统 双击右面的 不要运行指定的windows程序 选择已启用 点下面的显示那里 里面添加如下文件名 logo1_.exe logo_1.exe kill.exe 至于是否还有其他病毒主体名.大家也多查查。 到这一步.基本上该病毒就无法运行了. 其实防止logo1_.exe运行还有一个办法.就是在启动项里添加一个批处理.该批处理内容为 attrib c:\window\logo1_.exe -r -h del c:\window\logo1_.exe /y 多复制几行。 把其他要删的文件名加上 就是启动系统时就把这些文件删掉.当然就无法运行了。 ..不过.通常这种办法会失灵.;) 还有一点就是防止点QQ信息里面的链接.开启QQ安全中心.如果想要显示QQ信息里连的链接但是不想点他。 也有办法. 在QQ菜单-设置-安全设置-网络信息安全 把安全级别设置为最高. 下面聊天信息安全里面两个勾都去掉. 表乱进不熟悉的[url=http://www.baidu.com/baidu?tn=1024k&word=%E7%BD%91%E7%AB%99]网站[/url]. 一句话.良好的上网习惯是最好的杀毒利器. 手都打酸了。希望能对大家所帮助... PS:偶表达能力差.表打击偶.有什么不明白的地方偶编辑下.. 以下是修改过的logo1virus.bat 省了[url=http://action.vogate.com/click/click.php?ads_id=427&site_id=6235007045036817&click=1&url=http%3A//rover.ebay.com/rover/1/4080-41052-15934-0/1%3Faid%3D65978%3Btext%3B104%26mpre%3Dhttp%253A//search.ebay.com.cn/search/search.dll%253Fsofocus%253Dbs%2526sbrftog%253D1%2526from%253DR10%2526satitle%253D%2525E7%2525AC%2525AC%2525E4%2525B8%252580%2526sacat%253D-1%252526catref%25253DC6%2526floc%253D1%2526sargn%253D-1%252526saslc%25253D0&v=0&k=%u7B2C%u4E00&s=http%3A//www.1024k.cn/os/2007/200701/15340.html&rn=437500]第一[/url]步.也就是说.直接运行logo1vires.bat后.去修改组策略.就万无一失了.修改过的logo1virus.bat内容为 --------------------------------------------------- echo > c:\windows\Logo1_.exe echo > c:\windows\rundl132.exe echo > c:\windows\0Sy.exe echo > c:\windows\vDll.dll echo > c:\windows\1Sy.exe echo > c:\windows\2Sy.exe echo > c:\windows\rundll32.exe echo > c:\windows\3Sy.exe echo > c:\windows\5Sy.exe echo > c:\windows\1.com echo > c:\windows\exerouter.exe echo > c:\windows\EXP10RER.com echo > c:\windows\finders.com echo > c:\windows\Shell.sys echo > c:\windows\smss.exe echo > c:\windows\kill.exe echo > c:\windows\sws.dll echo > c:\windows\sws32.dll attrib c:\windows\Logo1_.exe +s +r +h attrib c:\windows\rundl132.exe +s +r +h attrib c:\windows\0Sy.exe +s +r +h attrib c:\windows\vDll.dll +s +r +h attrib c:\windows\1Sy.exe +s +r +h attrib c:\windows\2Sy.exe +s +r +h attrib c:\windows\rundll32.exe +s +r +h attrib c:\windows\3Sy.exe +s +r +h attrib c:\windows\5Sy.exe +s +r +h attrib c:\windows\1.com +s +r +h attrib c:\windows\exerouter.exe +s +r +h attrib c:\windows\EXP10RER.com +s +r +h attrib c:\windows\finders.com +s +r +h attrib c:\windows\Shell.sys +s +r +h attrib c:\windows\smss.exe +s +r +h attrib c:\windows\kill.exe +s +r +h attrib c:\windows\sws.dll +s +r +h attrib c:\windows\sws32.dll +s +r +h ------------------------------------------- 刚才整理了一下.修改组策略那里已经被我写成注册表。请把以下内容复制到文本里.修改成reg后缀导入就可. ------------------------------------------------ Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\本地User\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\DisallowRun] "**delvals."=" " "1"="0Sy.exe" "2"="1.com" "3"="1Sy.exe" "4"="2Sy.exe" "5"="3Sy.exe" "6"="5Sy.exe" "7"="exerouter.exe" "8"="EXP10RER.com" "9"="finders.com" "10"="finders.com" "11"="kill.exe" "12"="Logo1_.exe" "13"="rundl132.exe" "14"="rundll32.exe" "15"="Shell.sys" "16"="smss.exe" "17"="smss.exe" "18"="sws.dll" "19"="sws32.dll" "20"="tool.exe" "21"="tool2005.exe" "22"="tool2006.exe" "23"="tools.exe" "24"="vDll.dll" 附件：  [url=http://www.xtzj.com/job-htm-action-download-pid-tpc-tid-35139-aid-19250.html]viking.rar[/url] (462 K)