这个病毒怎么杀,太强了.

Posted 2023-05-03

我中了一个叫Logo1.exe的病毒,完了,太强悍了,杀了N次了,就是杀不了,重启以后马上就又有了,怎么办,把我的.EXE文件都感染了,什么都动不了,一定要重装才能用，用一下就又马上中了,用什么才能把它杀掉啊!急

最近单位局域网电脑大部分中了logo1_.exe病毒，用瑞星查杀，居然没有病毒，一气之下，改装Macfee，结合我在实际中清除病毒的经验特总结一下，给中此病毒的网友以参考，我是参考了“网星”和其他网友的帖子综合的，不算我的原创，只能是帮助大家尽快清除这可恶的病毒：
·该病毒在单位局域网横行，我们有的电脑只好删除所有的EXE文件，甚至格式化硬盘。
·将瑞星升级到最新版，居然不认识W32/HLLP.Philis.g病毒！
·请瑞星予以重视，采取确实有效有解决方案。
病毒名称：Worm@W32.Looked
病毒别名：Virus.Win32.Delf.62976 [Kaspersky], W32/HLLP.Philis.j [McAfee],W32.Looked [symantec] Net-Worm.Win32.Zorin.a
病毒型态：Worm (网络蠕虫)
病毒发现日期：2004/12/20
影响平台：Windows 95/98/ME , Windows NT/2000/XP/2003
散播程度：中
破坏程度：中
主要症状：
1、占用大量网速，使机器使用变得极慢。
2、会捆绑所有的EXE文件，只要一运用应用程序，在winnt下的logo1.exe图标就会相应变成应用程序图标。
3、有时还会时而不时地弹出一些程序框，有时候应用程序一起动就出错，有时候起动了就被强行退出。
4、网吧中只感梁win2k pro版，server版及XP系统都不感染。
5、能绕过所有的还原软件。
详细技术信息：
1、病毒运行后，在%Windir%生成 Logo1_.exe 同时会在windws根目录生成一个名为 %WinDir%\virDll.dll
2、该蠕虫会在系统注册表中生成如下键值：
[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]盗取密码
病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码，将游戏密码发送到该木马病毒的植入者手中。
3、阻止以下杀毒软件的运行
病毒试图终止包含下列进程的运行，这些多为杀毒软件的进程。 包括卡八斯基，金山公司的毒霸。瑞星等。98%的杀毒软件运行。
国产软件在中毒后都被病毒杀死，是病毒杀掉-杀毒软件。如金山，瑞星等。哪些软件可以认出病毒。但是认出后不久就阵亡了。
蠕虫会从内存中删除下面列出的进程：
EGHOST.EXE
IPARMOR.EXE
KAVPFW.EXE
KWatchUI.EXE
MAILMON.EXE
Ravmon.exe
ZoneAlarm
4、通过写入文本信息改变病毒感染运行windows操作系统的计算机，并且通过开放的网络资源传播。一旦安装，蠕虫将会感染受感染计算机中的.exe文件。
蠕虫会感染所有.exe的文件。但是，它不会感染路径中包含下列字符串的文件：
Program Files
Common Files
ComPlus Applications
Documents and Settings
NetMeeting
Outlook Express
Recycled
system
System Volume Information
system32
windows
Windows Media Player
Windows NT
WindowsUpdate
winnt
5、该蠕虫是一个大小为82K的Windows PE可执行文件。
6、通过本地网络传播，该蠕虫会将自己复制到下面网络资源：
ADMIN$
IPC$
网吧遭此病毒破坏造成大面积的卡机，瘫痪。危害程度可以和世界排名前十的爱情后门变种相比。该病毒可以通过网络传播，传播周期为3分钟。如果是新做的系统处于中了毒的网络环境内，只要那个机器一上网，3分钟内必定中招。中招后你安装rising、SkyNet、Symantec、McAfee、Gate、Rfw.exe、RavMon.exe、kill NAV等杀毒软件都无法补救你的系统，病毒文件Logo1_.exe为主体病毒，他自动生成病毒发作所需要的的SWS32.DLL SWS.DLLL KILL.EXE等文件。这些文件一但衍生。他将迅速感染系统内EXPLORE等系统核心进程及所以.exe的可执行文件，外观典型表现症状为 传奇 ，泡泡堂，等游戏图标变色。 此时系统资源可用率极低，你每重新启动一次，病毒就会发作一次。
该病毒对于防范意识较弱，还原软件未能及时装到位的网吧十分致命，其网络传播速度十分快捷有效。旧版的杀毒软件无法检测，新版的无法彻底根杀。一但网吧内某台机器中了此病毒，那么该网吧所有未中毒的机器都处于危险状态。由于病毒发作贮留于内存。且通过EXPLORE.exe 进行传播。因此即使是装了还原精灵，还原卡的机器也同样会被感染。你重新启动后系统可以还原。但是你一但开机还是会被感染。
病毒发作会生成另外病毒PWSteal.Lemir.Gen和trojan.psw.lineage等等。都是些非常厉害的后门程序。和外挂病毒相似，但是其威力是外挂病毒的50倍以上。在WIN98平台下，改病毒威害比较小。在WIN2000 /XP/2003 平台对于网吧系统是致命的
运行系统极度卡机。你重新启动后你会发现你所有游戏的.EXE程序全部都感染了，最新杀毒软件杀完后。除了系统可以勉强运行。其他的你也别想运行了。
病毒清理办法：
如果在病毒没有发作情况下杀毒是可以完全搞定的。如果发作了也不要杀毒了。直接克盘恢复吧。
1、找到注册表中[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]删除DownloadWWW主键
2、找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot]winlogo项把WINLOGO项后面的C:\WINNT\SWS32.DLL删掉；
3、接下来把[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run键中（RunOnce、RunOnceEx两个中其中有个是也是）C:\WINNT\SWS32.dll把类似以上的全部删掉注意不要删除默认的键值（删了的话后果自负）。
如果没有以上键值，则直接跳过此步骤。
4、结束进程
按“Ctrl+Alt+Del”键弹出任务管理器，找到logo1_.exe 等进程，结束进程，可以借助绿鹰的进程管理软件处理更方便。找到EXPL0RER.EXE进程（注意第5个字母是数字0不是字母O），找到它后选中它并点击“结束进程”以结束掉（如果EXPL0RER.EXE进程再次运行起来需要重做这一步）。
5、装杀毒软件
装完后不要重新启动（切记）直接升级病毒库，升级完后，把C:\winnt 目录下所有带毒文件删除。然后运行杀毒软件开始杀毒。
杀完后。还有几个杀毒软件无法删掉的东西要把名字记下来。因为不同的系统有不同的名字。所以这里说不清楚了。自己记下来。,重新启动后再次杀毒。记的把可疑的进程的结束。否则杀毒软件无法干净杀毒。还有最重要的一点记的把杀毒软件无法清除的病毒设置为删除文件。一般要重复杀毒3-5次才能杀干净。
6、看看杀毒后的系统
缺少的了很多系统文件。系统处于危险状态。如果你有GHOST 备份。这个时候恢复一下。系统可以干净无损。如果没有请运行SFC命令检查文件系统。具体操作为 运行-输入CMD 命令进入DOS 提示符。-输入SFC /scannow -- 提示放入系统光盘。--放进去吧。然后慢慢等。
看看成果。杀毒效果显著。毒杀干净了。但是杀完毒后很多游戏都玩不了。忙了一圈都不知道自己在忙什么。郁闷吧。然后重新做系统吧。谁叫中毒的是网吧的系统。
7、杀毒及重装系统后的防范
有些网友在处理病毒的时候可能有这样的感觉好不容易清除了，或者没办法重新装了系统，但是没多长时间有中了同样的病毒，所以说有免疫程序实最好的了。下面就将免疫程序公布如下，供网友们下载使用：
建议做系统的时候把默认共享关闭。关闭IPC$ ADMIN$关闭554 关闭ICMP路由。给ADMINISTRATOR组所有成员设置密码，最好数字加英文。
现在地址可以到本站的软件下载中去找找，你可以直接通过下面的网址下载：http://whit.net.cn/tools/dellogo.rar
文件说明：下载解压后有3个文件
·dellogo.bat放在winnt目录下，98的用户放到windows目录下
·delshare.bat放到开始菜单--程序---启动项中，目的能让计算机启动后就删除默认共享，从而阻止病毒对外传播和再次感染的桥梁。
·ljl.reg下载后直接运行这个文件，提示，信息导入注册表后，说明写入注册表成功，目的是让计算机重新启动后能立刻删除病毒主题文件logo1_.exe文件。要注意的实这个注册表导入文件是针对win2000系统的，如果您是其他的操作系统，请参考修改一下就可以。
AcOol PS：
不想下载的可以直接看文件内容，还真看不出这样做的必要性，每次开机跑个批处理，够别扭的：
dellogo.bat
del c:\winnt\logo1_.exe
delshare.bat
net share c$ /del
net share d$ /del
net share e$ /del
net share f$ /del
net share admin$ /del
net share ipc$ /del
del c:\winnt\logo1_.exe
ljl.reg
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"auto"="c:\\winnt\\dellogo.bat"

以上操作只是阻断传播，如果怕在使用中感染此病毒，您还需要按照如下操作，这样即使病毒感染，也不能运行主体病毒程序。
当然这里说的操作实针对win2000系统的，其他的系统可以参考操作：
·运行 gpedit.msc 打开组策略；
·依次单击用户配置- 管理模块- 系统-指定不给windows运行的程序
·点启用 然后 点显示 添加 logo1_exe 也就是病毒的源文件 。

参考资料：http://coolersky.com/articles/virus/dissertation/viking/2006/0607/263.html

参考技术A 不知道你电脑里有没有杀毒软件 不知道用的是什么
我的是瑞星 中过这个毒
瑞星杀的时候全部都杀完 但是还有一些提示重新启动电脑后再清除
如果你用瑞星 就杀次毒 遇到[重新启动后再清除]的就右键点击
找到病毒的详细地址 手动删除即可
若到详细地址 却没有找到病毒文件 说明被隐藏了
用WinRAR工具找到路径即可显示隐藏病毒 再手动删除 就好了 参考技术B 你使DOS专杀 杀完再安装上杀毒软件 就OK 参考技术C 可用unlocker,不行的话用icesword,这两个软件可以百度一下, 参考技术D 又是“威金”受害者 呵呵 一定是喝“金威”喝多了 找专杀吧 各大杀毒软件商网站上都有它的专杀 第5个回答  2007-08-20 把整个系统重新安装一遍，要不然就去找维修电脑的来帮忙 ．～～～

Trojan.Agent.ahf这是啥病毒？会对我的网游构成威胁吗？

2个星期杀一次毒，现在用的是AVG杀毒，杀出了这个Trojan.Agent.ahf，这是什么？有多大的危害
网游有360保险箱保护，360保险箱作用大吗？
补充下:这个木马病毒的危害怎么样？我虽然中了,但是360保险箱一直没有提示有病毒,需不需要改密码?我的游戏号改密码很麻烦,而且不止1个号,有几十个

　　很多朋友在查毒的时候查出以trojan.agent开头的病毒,并且许多杀不掉，问我要trojan.agent专杀工具。实际上，trojan.agent是个统称，翻译过来是木马代理的意思，也就是说，以trojan.agent开头的病毒都是木马程序。这个家族非常庞大，常见的有：
　　trojan.agent.zcj
　　trojan.dl.agent
　　trojan.agent.xwe
　　trojan.agent.zdg
　　trojan.agent.xqq
　　trojan.agent.zay
　　trojan.dl.agent.vp
　　trojan.win32.agent
　　trojan.psw.agent
　　trojan.agent.yjy
　　trojan.agent.yxl
　　trojan.agent.yja
　　trojan.agent.yly
　　trojan.agent.yld
　　trojan.agent.yzw
　　trojan.spy.agent
　　如果你中了这些病毒,只需要两个步骤就可以彻底解决.先要下载Firefox,官方下载以免疫这些病毒,这一步非常重要.
　　然后下载反木马软件 ewido anti spyware 详细说明,一般就解决了,

　　许多的反木马程序中，Ewido 是最好的。国内的木马x星等和它比简直是小儿科了。 最近在http://www.anti-trojan-software-reviews.com/上的测试里表明，它可以有 效地检测出多形态和进程注入式木马，这些甚至完全不能被像诺顿和AVG等杀毒软件所查杀。 不过它没有TDS-3 或Trojan Hunter有效.但TDS-3目前还没推出支持中文操作系统的版本， Trojan Hunter是英文的没汉化版。但对于个人而言Ewido足够强大了，和kaspersky结合使 用加上ZoneAlarm防火墙，可以使得系统坚若磐石。推荐所有没有安装反木马扫描器的个人计算机用户下载这个软件，并每周定期扫描。我猜你可能在你会为所得到的结果感到惊讶 。

　　ewido anit-spyware 木马查杀工具是德国出品的软件，经过无数玩家的实践，此软件是目前全球流行的有效的木马病毒查杀工具，毫不夸张地说，此软件比国内的任何一款木马病毒类查杀工具都要强！不过此软件国内尚无正式版本，只有英文版；但有玩家已经开发了此软件的汉化程序，并进行了破解，可免费使用其正式版本。由于此软件的安装较为复杂，另外对系统的配置也要求比较高（跟卡巴斯基一样）；因此，你在安装前应先考虑是否需要安装此软件，免得给你的电脑带来一些负面影响。

　　最新ewido-setup_4.0.0.172b 汉化安装,官方自动升级且不会返回免费
　　ewido-setup_4.0.0.172b 汉化安装破解版！（自动升级+支持右键+护盾+升级不返弹）
　　目前ewido-setup_4.0.0.172b是最新版本！ （07,22 17:27病毒码数量---376,069）

　　以下地址任选其一(第一个快些)， 建议添加到迅雷任务中下载！
　　http://soft.greendown.cn/UpLoadF ... etup_4.0.0.172b.rar

　　许可代码: 70-THXMV1-PM-C01-SGX3D-T13-JFHJ
　　安装步骤：必须严格遵守前1-4部安装步骤，才能确保更新后不会返回免费版，笔者经数次验证可行！
　　1。先安装主程序(选英文的)，装完后若自动运行了则要完全退出(见下说明1)；
　　2。汉化覆盖安装：将“汉化覆盖”文件夹内的1个文件和1个文件夹同时复制到主程序安装文件夹中；
　　3。运行ewido,并依次完成，输入许可代码---开始更新---再次输入许可代码---完全退出(许可代码见说明2)；
　　4。运行补丁：步骤为，双击“破解补丁”-- 点BROWSE--浏览到ewido.exe打开--PATCH--FilePatched!确定；
　　5。检验你的ewido安装得是否成功：点2次“开始更新”后，若显示为“无可用更新”，且状态仍然是加强版即为安装成功。
　　6。恭喜你！此时应该是永久加强版了，ewido会每天自动更新病毒库2次，且更新后不会返回免费版了。

　　附 说明1，完全退出方法：右击屏幕右下ewido图标，点 “退出” ，再点“是” 。
　　说明2，许可代码：70-THXMV1-PM-C01-SGX3D-T13-JFHJ 输入代码后首次更新会显示错误，请再点一次“开始更新”即可。
　　说明3，默认安装或许为“不随Windows启动”，想随Windows启动，右击屏幕右下ewido图标，勾选“随Windows启动”。
　　说明4，如此安装的ewido可使用其全部功能,在默认设置下，会定期自动链接官方服务器并更新病毒库且不会返回免费版，

　　以上所有 相关资料都经过本人实际操作证实过，希望对大家有用！为了给大家方便，再顺便奉送一下其他东西：
　　教你删除总是删除不了的病毒注册信息！
　　开始-运行，输入regedit回车，在“编辑”-“查找”里输入×××××.dll，找到就删除，再按F3继续，到系统提示搜索完毕为止（建议事先用兔子备份你的注册表文件到安全位置） 看一下注册表的这个位置"HKEY_LOCAL_MACHINE 18_Key=SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run"是否有"×××××.dll"项,如有的话,请把它删除. 挺管用的，实在不行，再去安全模式下删除它们！

　　如果各位用的是个人电脑的话，会用到的！如果还有问题可以给我留言！
　　Ewido许可代码：（1） 70-THXMV1-PM-C01-SGX3D-T13-JFHJ （2） 70-THXMV1-PM-C01-SGX3D-T13-JFHJ （3） 70EW-TH17Q1-PM-C01-S1W2QD-MEM-NUYY （4） 70EW-TH17Q1 参考技术A 是一种通过后台运行的木马程序，如果你经常玩网游的话。帐号危害极大。360的保险箱算目前比较流行的保护工具，对普通的黑客来说是个障碍，但是保险箱对高手来说应该是很容易绕过的。具体方法见中国黑客网。建议的杀毒工具是诺顿，或者MACFEE因为现在卡巴很普遍，黑客们不会绕过卡巴就是白活了，瑞星更是垃圾的不行，病毒泛滥都会给你说没有毒。诺顿现在主要是不太普及所以针对的破解程序较少，如果有条件的话建议用MACFEE。网络游戏的安全还是要靠那些游戏的动态密码锁来保护。比如说盛大的密保。网易的将军令等。建议有条件购买一个。也不贵。几十块钱就搞定了。