我中了Logo1_.exe的病毒，所有exe文件都被感染了，请问如何恢复？

分类: 电脑/网络 >>反病毒

问题描述:

中了Logo1_.exe的病毒，所有exe文件都被感染了，请问如何恢复？

解析:

病毒类型：木马程序

受影响的系统：Windows /98/NT/2000/XP/2003

病毒特征： 假如你手动运行logo1_.exe 你的系统就GAMEOVER了。运行系统极度卡机。你重新启动后你会发现你所有游戏的.EXE 程序全部都感染了。用最新杀毒软件杀完后。除了系统可以勉强运行。其他的你也别想运行了。

1 病毒体 C:\winnt 目录下logo1_.exe 。KILL.EXE sws32.dll 等文件是病毒发作后的文件。

2、生成病毒文件

病毒运行后，在c:\winnt 下自己拷贝生成病毒文件，文件的名称是可变，根据不同的变种相应有不同的名称。好像一共有5个文件。其中由3个是.exe 2 个是.DLL 文件。其中有KILL.EXE 等。具体的记不大清楚了。

3、修改注册表

病毒对注册表进行修改，在 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\IniFileMapping\system.ini\boot] winlogo 项和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和[HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/中添加键值=%System%（其中，和为可变的），使得在下次 系统启动时，病毒可随之自动运行。

4、盗取密码

病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码，将游戏密码发送到该木马病毒的植入者手中。

5、阻止以下杀毒软件的运行

病毒试图终止包含下列进程的运行，这些多为杀毒软件的进程。 包括卡八斯基，金山公司的毒霸。瑞星等。98%的杀毒软件运行。

国产软件在中毒后都被病毒杀死，是病毒杀掉-杀毒软件。如金山，瑞星等。哪些软件可以认出病毒。但是认出后不久就阵亡了。。本人一 直都支持国产，但是在电脑和手机方面就没办法支持了。郁闷 中~~~

进程如下 ：

rising

SkyNet

Symantec

McAfee

Gate

Rfw.exe

RavMon.exe

kill

NAV

KAV

LAST 最后说一下解决方案 都是本人个人经验 有不足之处还请各位多多补充。

先下载好你认为比较好的杀毒软件。此时不要安装。就是安装了也是白安装。所有软件安装后很快就被感染。这里不推荐使用金山，瑞星，江明，SPANT 等。推荐使用卡八斯基5.0版 和我最喜欢的麦咖啡杀毒软件。

请先去把系统设置为“显示隐藏文件”，因为病毒以隐藏属性伪装，不做此设置将无法看到它，设置的方法如下

打开“我的电脑”；

依次打开菜单“工具/文件夹选项”；

然后在d出的“文件夹选项”对话框中切换到“查看”页；

去掉“隐藏受保护的 *** 作系统文件(推荐)”前面的对钩，让它变为不选状态；

在下面的“高级设置” 去掉“隐藏已知文件类型的扩展名”前面的对钩，也让它变为不选状态；

最后点击“确定”。

二、修改注册表

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot] winlogo 项

把WINLOGO 项 后面的C:\WINNT\SWS32.DLL 干掉（就是删掉的意思^_^)

接下来把HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/Run 键 /RunOnce/RunOnceEx 两个中其中有个是也是C:\WINNT\SWS32.dll

把类似以上的全部删掉 注意不要删除默认的键值（删了的话后果自负）

三 结束进程

按“Ctrl+Alt+Del”键d出任务管理器，找到SWS32 进程，名字记不大清楚了，反正看到最多的进程就杀杀杀！！！！还有几个很少看到的进程。什么AUS***之类的都干掉他。找到EXPL0RER.EXE进程（注意第5个字母是数字0不是字母O），找到它后选中它并点击“结束进程”以结束掉木马进程。然后迅速做下面一步，只所以要迅速是因为如果动作慢的话，木马可能会自动恢复而再次运行起来，这样就无法删除掉其他木马文件了（如果EXPL0RER.EXE进程再次运行起来需要重做这一步）。

四 装杀毒软件

装完后不要重新启动（切记）直接升级病毒库，升级完后，把C:\winnt 目录下所有带毒文件删除。然后运行杀毒软件开始杀毒。

杀完后。还有几个杀毒软件无法删掉的东西要把名字记下来。因为不同的系统有不同的名字。所以这里说不清楚了。自己记下来。

重新启动后再次杀毒。记的把可疑的进程的结束。否则杀毒软件无法干净杀毒。还有最重要的一点记的把杀毒软件无法清除的病毒设置为删除文件。一般要重复杀毒3-5次才能杀干净。

五。看看杀毒后的系统。

缺少的了很多系统文件。系统处于危险状态。如果你有GHOST 备份。这个时候恢复一下。系统可以干净无损。如果没有请运行 SFC 命令检查文件系统。具体 *** 作为 运行-输入CMD 命令进入DOS 提示符。-输入SFC /scannow -- 提示放入系统光盘。--放进去吧。然后慢慢等。

看看成果。杀毒效果显著。毒杀干净了。但是杀完毒后很多游戏都玩不了。忙了一圈都不知道自己在忙什么。郁闷吧。然后重新做系统吧。谁叫中毒的是网吧的系统。

PS：如果在病毒没有发作情况下杀毒是可以完全搞定的。如果发作了也不要杀毒了。直接克盘恢复吧。

在短短的28小时内我接到3个网吧老板的电话。。。。。。。。做技术员真命苦。。。。。。

这是本人第一次写这么长的资料。也是忙碌1年半后潜水1年半后。重新的回到技术员的身份（以前我经常发招聘的帖。不过PS哦我不是老板，招人都是帮朋友招的。我还是网管是大家的同行和朋友）。爱情后门，爱情后门变种。FUNLOVE 变种等病毒曾经把我朋友弄的网吧一度处于停业状态。写此文的目的就是希望大家同行群策群力做好预防工作。最好能够自己写出个免疫补丁。希望所有人的技术都在进步

PS：做系统的时候把默认共享关闭。关闭IPC$Content$nbspADMIN$Content$nbsp关闭554 关闭ICMP路由。给ADMINISTRATOR 组所有成员设置密码。最好数字加英文（爱情后门病毒可以破解简单的密码而进行大规模的快速传播）。 关闭了这些服务加上杀毒软件。LOGO1.exe 基本上拿你没折了。但是如果是批量克盘 建议客户机不要使用卡八等杀毒软件。克盘时网线拔掉，克好盘要迅速装好还原精灵 。为什么要迅速，不用我说了吧。

辛辛苦苦写的手都酸了。。天不知觉的也亮起来了。。。。转贴时希望大家珍惜我的劳动成果。

接上文。经过一段时间的观察，我找到了可以改病毒的免疫补丁（只适用于没有感染该病毒或者已经感染该病毒但是没有发作的机器）其实很简单只要每次开机删除病毒体文件 LOGO1_1.exe 那么即使感染了该病毒的机器也可以救回来。用这个方法本人救活了2家网吧180台机器。目前为止情况正常。

LOGO1_.exe 免疫补丁制作如下：

1 编写批处理文件。开机自动删除logo1_.exe 作用是即使中了该病毒，由于开机后自动删除该病毒。那么该病毒永远无法发作。

批处理文件内容如下：

del c:\winnt\logo1_.exe (就这一行。先保存为记事本，然后保存为.bat的批处理文件。

2 设置改批处理开机自动运行。

修改注册表 加入以下项

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"auto"="E:\\网络游戏\\auto.bat"

把上端文本保存为 .REG 文件。然后导入注册表。{ E:\\网络游戏\\auto.bat } 该路径为你刚刚编写批处理所在的目录。很重要。

好了到此为止你可以安心睡觉去了。。不用再怕那可恶的LOGO1_.exe 了。。

本人再次强调一点。如果该病毒已经在你电脑里发作了。那么还是不要去救了。。直接重新克盘吧。

如果没有发作。那么用上面方法可以救活你的电脑。判断依据是 看看网络游戏图标有没有变色。还有

c:\winnt 目录下有没有KILL.exe sws.dll sws32.dll 文件。

分类: 电脑/网络 >>反病毒

问题描述:

别说要把文件全删了，珍藏的东西多啊．．55555

解析:

计算机被PWSteal.Lemir感染了，用Norton查杀成功，把病毒文件都删除了。但是出现了比较严重的问题，所有的EXE文件都无法执行了，包括Regedit在内。

类似的病毒和木马是很多的，它们的工作原理也很简单，把系统的EXE、TXT、DOC等等自己执行或者需要调用其它EXE文件的执行文件改为病毒文件本身，病毒文件执行以后再自行调入要执行的程序，给用户造成程序正常运行的假相，其实，这个时候病毒或者木马已经被载入内存并进行了相关的 *** 作（再感染、复制、进程守护等等）。

现在的杀毒软件已经能够很好的识别出这类病毒的特征并正确查杀，但是对于已经被修改的系统并不能做到完全的恢复，由于被修改的注册表项往往与正常程序修改无异，杀毒软件也不可能轻易把用户注册表项恢复成什么状态，所以就遗留了很多不可知的“后遗症”。

那么如果解决上述或者类似的病毒遗留下来的问题呢？Regedit被禁用是一件很烦人的事，首先我们要确认.reg扩展的文件是不是也被修改了，要说明的是一般的病毒只会修改常用的扩展名执行程序，.reg并不常用，所以往往被病毒编写者们忽略了。

由于所有的EXE文件都不能被执行的原因，就是下面的注册表项中的某一项或是几项被更改了：

QUOTE

HKEY_CLASSES_ROOT\.exe

HKEY_CLASSES_ROOT\exefile

HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/x-msdownload

所以这时候如果reg文件可以正常导入，我们只要从其它正常的系统里把这些项目导出成reg文件，再在感染病毒的机器上恢复就可以了。这里也给出一个正确的reg文件作参考，这套注册表文件是从Windows XP/2003中导出的：

QUOTE

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\.exe]

@="exefile"

"Content Type"="application/x-msdownload"

[HKEY_CLASSES_ROOT\.exe\PersistentHandler]

@="{098f2470-bae0-11cd-b579-08002b30bfeb}"

[HKEY_CLASSES_ROOT\exefile]

@="应用程序"

"EditFlags"=hex:38,07,00,00

"TileInfo"="prop:FileDescriptionCompanyFileVersion"

"InfoTip"="prop:FileDescriptionCompanyFileVersionCreateSize"

[HKEY_CLASSES_ROOT\exefile\DefaultIcon]

@="%1"

[HKEY_CLASSES_ROOT\exefile\shell]

[HKEY_CLASSES_ROOT\exefile\shell\open]

"EditFlags"=hex:00,00,00,00

[HKEY_CLASSES_ROOT\exefile\shell\open\mand]

@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shell\runas]

[HKEY_CLASSES_ROOT\exefile\shell\runas\mand]

@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shellex]

[HKEY_CLASSES_ROOT\exefile\shellex\DropHandler]

@="{86C86720-42A0-1069-A2E8-08002B30309D}"

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers]

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\PifProps]

@="{86F19A00-42A0-1069-A2E9-08002B30309D}"

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\ShimLayer Property Page]

@="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\{B41DB860-8EE4-11D2-9906-E49FADC173CA}]

@=""

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/x-msdownload]

"CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"

是中毒了。

1、".exe"病毒是典型的Autorun病毒，所有中毒的分区都会生成一个Autorun.inf的隐藏文件夹，不可删除~每次双击打开硬盘或者U盘都会使病毒自动运行也就是“Autorun”~~~病毒感染后将所有普通的用户文件夹修改属性为“隐藏，系统，只读”使用户看不到，然后自己伪装成一个文件夹大部分都是1.44Kb左右了，每一个伪装的文件夹都是一个病毒母体，点击后病毒就会运行，但是这种伪装有一个致命的弱点扩展名为“.exe"~~~最恼火的并不是这些东西，而是那个Autorun.inf文件夹，通常手动无法删除，只要它存在病毒就一直存在，即使没有运行~~

2、根据病毒的特点，首先要看看自己电脑，U盘中没中（按照您说的肯定是中了哈）任何一个窗口中菜单栏（Win7一类没有显示的话按Alt键就出来了）——工具——文件夹选项——查看——去掉“隐藏被保护的系统文件（推荐）”“隐藏已知类型文件的扩展名”选择“显示所有文件”，然后在各个分区U盘中就可以看到那些被隐藏的文件夹，还有“.exe”的伪装文件和那个讨厌的“Autorun.inf”，普通的杀软全盘扫描，就可以剿灭这些东西，并让病毒失活，将你U盘一起杀一下~~

3、接下来就是修改被破坏的文件夹属性，专用工具没有用过，可以试试~我都是手动修改使用CMD命令提示符attrib命令“attrib 文件路径 -s -a -r -h”如果批量修改文件路径的地方改成要修改的磁盘符，具体的不好说清楚，在百度里搜一下“DOS下修改文件夹属性”就能找到

4、手动进行病毒免疫，首先由于这个病毒比较常见，中毒比较容易，多是靠U盘传播~~为了防止病毒自动运行感染电脑，将系统的自动播放功能关闭，很简单，同样百度一下就好，不知道你是什么系统，不同系统略有不同，自己找一下吧~~以后再打开U盘是不要双击，直接用右键单击选择“打开”，这样病毒就不会运行，在一定程度上可以防止U盘中Autorun病毒（其他病毒也管点用）侵入系统~~根据Windows不允许同名文件存在的特点，可以在每个分区和U盘里都手动新建一个“Autorun.inf”文件夹，设置文件夹属性为“系统，只读，隐藏”这样可以防止病毒进驻，再次感染时就可以省很大的事（当然这样是不能防止病毒修改文件夹属性的，只是防止感染），图片上还有一种方法，在百度里找的，也可以，一样的原理，~~再次就是要有一个比较敏感的杀毒软件，病毒主要还是防，一般如果杀毒软件敏感的话，这种小病毒进来就会失活，根本无法感染系统，不知道您用的是什么，不会是360杀毒吧？！它还不成熟，敏感性太低，对于这样的病毒无法彻底查杀，只能扫描到“.exe”的伪装文件~~推荐几个免费的Avast！，小红伞，微软MSE，他们都是兼容的可以一起装，不过一般一个就够了，配合木马的专杀工具（360安全卫士一类的，360卫士是不错的，可惜不是杀软）使用基本不会有什么问题~~我用的是Avast！5.0+360安全卫士7.3

5.这些东西都弄完了，基本也就没什么事了，最后再把系统的文件夹选项里的查看设置改回来就好，因为这样会有大量系统文件显示出来，看着很乱套，不改也无所谓了，改的时候，最好不要再选“隐藏已知类型文件扩展名”，那是识别病毒的一种很重要的方式，遇到的多了，看看就可以知道是什么东西了~然后，就收工了

~~祝你好运~~~

---