log1.exe 去除方法

[蠕虫病毒] viking 威金 手动清理方法

可以这样：

先删除dll.dll (c:\windows\dll.dll)、log_1.exe、rundl123.exe等文件，或在安全模式下清除
。主要是dll.dll，这个文件会让windows的explorer.exe调用（这个传播方法较历害）。然
后根据病毒感染exe的特征，你可以用搜索查找所有的的*.exe文件，然后浏览一下文件，利
用卡巴实时检测功能把查毒，清除（也可设置卡巴查杀配置，不过好几个选项，。。。）；
最后执行如下命令清除病毒遗留文件：
echo off
del %Windir%\ MH_FILE\ MH_DLL.dll
del %Windir%\MickNew\MickNew.dll
del %Windir%\TODAYZTKING\TODAYZTKING.DLL’
del %Windir%\1.txt

del %Windir%\0Sy.exe
del %Windir%\1Sy.exe
del %Windir%\2Sy.exe
del %Windir%\rundl132.exe
del %Windir%\vDll.dll
del %Windir%\Dll.dll
del %Windir%\log_1.exe
del %Windir%\rundl123.exe

echo 正在清除_desktop.ini文件，请稍等......
del c:\_desktop.ini /f/s/q/a
del d:\_desktop.ini /f/s/q/a
del e:\_desktop.ini /f/s/q/a

echo 清除完毕！
pause

Worm.Logo.b病毒消除方法

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot]
winlogo 项
把WINLOGO 项 后面的C:\WINNT\SWS32.DLL 干掉（就是删掉的意思^_^)
接下来把HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/Run 键中 /RunOnce/RunOnceEx 两个中其中有个是也是

C:\WINNT\SWS32.dll
把类似以上的全部删掉 注意不要删除默认的键值（删了的话后果自负）

三 结束进程
按“Ctrl+Alt+Del”键弹出任务管理器，找到SWS32 进程，名字记不大清楚了，反正看到最多的进程就杀杀杀！！！！还有几个很少看到的进

程。什么AUS***之类的都干掉他。找到EXPL0RER.EXE进程（注意第5个字母是数字0不是字母O），找到它后选中它并点击“结束进程”以结束掉

木马进程。然后迅速做下面一步，只所以要迅速是因为如果动作慢的话，木马可能会自动恢复而再次运行起来，这样就无法删除掉其他木马文

件了（如果EXPL0RER.EXE进程再次运行起来需要重做这一步）。

PS：做系统的时候把默认共享关闭。关闭IPC$ ADMIN$ 关闭554 关闭ICMP路由。给ADMINISTRATOR 组所有成员设置密码。最好数字加英文

LOGO1_.exe 免疫补丁制作如下：
1 编写批处理文件。开机自动删除logo1_.exe 作用是即使中了该病毒，由于开机后自动删除该病毒。那 么该病毒永远无法发作。
批处理文件内容如下：
del c:\winnt\logo1_.exe (就这一行。先保存为记事本，然后保存为.bat的批处理文件。

2 设置改批处理开机自动运行。
修改注册表 加入以下项

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"auto"="E:\\网络游戏\\auto.bat"

把上端文本保存为 .REG 文件。然后导入注册表。{ E:\\网络游戏\\auto.bat } 该路径为你刚刚编写批处理所在的目录。很重要。

好了到此为止你可以安心睡觉去了。。不用再怕那可恶的LOGO1_.exe 了。。

本人再次强调一点。如果该病毒已经在你电脑里发作了。那么还是不要去救了。。直接重新克盘吧。
如果没有发作。那么用上面方法可以救活你的电脑。判断依据是 看看网络游戏图标有没有变色。还有
c:\winnt 目录下有没有KILL.exe sws.dll sws32.dll 文件。

判断是否中了这个病毒 最明显的就是 你的EXE文件是否 变色。。。。如果发现好多EXE文件已变色。。。那已代表 你中毒已深。。病毒已经捆绑到EXE文件了。运行变色的EXE，就是运行病毒啦

然后就是看你的进程 logo1_exe,rundl132.exe,12.exe,svchs0t.exe 有了这几个 那您就得注意啦 还有一个与之相关的VDLL.DLL文件。。在C盘根目录底下。。

如果是服务器中毒了 。。直接格式化吧。。别犹豫了。。。

我第一次中标后 大意了下 只是GHOST恢复了下服务器的系统 谁知道 过了2天可又复发了。。。 然后我就忍痛把全盘给格了。。。。然后问题算是解决了。。

另外特别提醒下 这可恶的病毒是会通过网络传播的 而且速度很快 只有你有1台机子中毒 3分钟 他就会开始传播别的机子 中此病毒的哥们 最好仔细检查你的每台 客户机子 因为他可以饶过某些还原卡和还原软件

我中这个病毒的原因 是因为用了 那个CCDISK1.3 破解的 我也忘记是从哪下的了 是安装他那个硬盘序列号修改工具 感染 我也不晓得谁那么阴险 怎么把病毒捆绑到那个软件的 还有我后来发现的 下载的电影里 也有可能会感染那个病毒。。。

建议大家 新下载的东西 首先要杀毒`````

-------------------------------------------------------------------------

中病毒的情况：
　1. CPU占有率非常 系统奇慢无比(占有率高的时候反而变低 占有率为零的时候反而100%)
　2. 进程里有个叫 logo1_.exe的进程 删了又弹出来(先弹出cmd.exe后弹出logo1_.exe)
　3. %windir%下有个叫logo1_.exe的文件 图标会随上面进程被删的次数变化万千 并且删后又回重生。
　4. 最显著的特点就是硬盘里的文件图标被改的乱七八糟(不是变大或变小 就是变色或...) 　　　　
5. 关闭一些杀毒软件的进程

1.绝对不能重启电脑（否则病毒会橄榄更多的文件 想重启也启不了了）
2.留个IE和进程管理器 把explorer,logo1.exe,cmd.exe=进程关掉（对explorer也要关 不然病毒会根据这个进程 每1分种 加载一次）还有按上面的顺序关 关的时候要迅速 如果又出来 再关！ 要快
3.下面留个IE在线 杀毒 由于现在只有金山=少数软件可以杀 所以去www.kingsoft.com在线杀毒，记住是杀毒 不是查毒，，由于杀毒要钱（为了电脑 发5元），可以拨168*****申请杀毒号（号码我忘了自己看看），让后用全面杀毒查杀。杀好后图标都会还原。

网上说明：
主要症状:
1、占用大量网速，使机器使用变得极慢。
2、会捆绑所有的EXE文件，只要一运用应用程序，在winnt下的logo1.exe图标就会相应变成应用程序图标。
3、有时还会时而不时地弹出一些程序框，有时候应用程序一起动就出错，有时候起动了就被强行退出。
4、网吧中只感梁win2k pro版，server版及XP系统都不感染。
5、能绕过所有的还原软件。

安全防范：

关闭内网共享SERVER服务，修改QQ-DLL文件，禁止打开网页。最重要的是关闭端口及用HOSTS屏蔽该网址，从路由彻底封杀。据我所知，DF5.70-220-1426以上的版本可以抵住。但如果不保护游戏盘的，装了新版DF也是白搭，因为该病毒是全盘感染，类似Win32变种白蚁的那类。但可怕的是该病毒可以穿偷还原

avast杀毒能力不是很强，但是检测能力还是可以的，建议你下个KAV，也可以手动删除，你先找到这个木马的相关文件（到网上搜索），找齐了的话就进入安全模式，找到各个路径下的木马相关文件删除，然后进入注册表进行查找，把与它相关的键值给删除了就可以了。

安全模式下清空这些临时文件夹；
我的空间也有清空的批处理

关于此病毒的技术报告如下
病毒名称：W32/HLLP.Philis.g 或者 （用著名杀毒软件麦咖啡（MACFEE ）检测结果，其他杀毒软件检测为 trojan类木马

病毒类型：木马程序
病毒长度：随机的
受影响的系统：Windows /98/NT/2000/XP/2003
病毒特征： 假如你手动运行logo1_.exe 你的系统就GAMEOVER了。运行系统极度卡机。你重新启动后你会发现你所有游戏的.EXE 程序全部都感染了。用最新杀毒软件杀完后。除了系统可以勉强运行。其他的你也别想运行了。
1 病毒体 C:\winnt 目录下logo1_.exe 。KILL.EXE sws32.dll 等文件是病毒发作后的文件。
2、生成病毒文件
病毒运行后，在c:\winnt 下自己拷贝生成病毒文件，文件的名称是可变，根据不同的变种相应有不同的名称。好像一共有5个文件。其中由3个是.exe 2 个是.DLL 文件。其中有KILL.EXE 等。具体的记不大清楚了。
3、修改注册表
病毒对注册表进行修改，在 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\IniFileMapping\system.ini\boot] winlogo 项和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和[HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/中添加键值=%System%（其中，和为可变的），使得在下次 系统启动时，病毒可随之自动运行。
4、盗取密码
病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码，将游戏密码发送到该木马病毒的植入者手中。
5、阻止以下杀毒软件的运行
病毒试图终止包含下列进程的运行，这些多为杀毒软件的进程。 包括卡八斯基，金山公司的毒霸。瑞星等。98%的杀毒软件运行。
国产软件在中毒后都被病毒杀死，是病毒杀掉-杀毒软件。如金山，瑞星等。哪些软件可以认出病毒。但是认出后不久就阵亡了。。本人一 直都支持国产，但是在电脑和手机方面就没办法支持了。郁闷 中~~~
进程如下 ：
rising
SkyNet
Symantec
McAfee
Gate
Rfw.exe
RavMon.exe
kill
NAV
KAV
先下载好你认为比较好的杀毒软件。此时不要安装。就是安装了也是白安装。所有软件安装后很快就被感染。这里不推荐使用金山，瑞星，江明，SPANT 等。推荐使用卡八斯基5.0版 和我最喜欢的麦咖啡杀毒软件。
请先去把系统设置为“显示隐藏文件”，因为病毒以隐藏属性伪装，不做此设置将无法看到它，设置的方法如下
打开“我的电脑”；
依次打开菜单“工具/文件夹选项”；
然后在弹出的“文件夹选项”对话框中切换到“查看”页；
去掉“隐藏受保护的操作系统文件(推荐)”前面的对钩，让它变为不选状态；
在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项；
去掉“隐藏已知文件类型的扩展名”前面的对钩，也让它变为不选状态；
最后点击“确定”。

二、修改注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot] winlogo 项
把WINLOGO 项 后面的C:\WINNT\SWS32.DLL 干掉（就是删掉的意思^_^)
接下来把HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/Run 键 /RunOnce/RunOnceEx 两个中其中有个是也是C:\WINNT\SWS32.dll
把类似以上的全部删掉 注意不要删除默认的键值（删了的话后果自负）

三 结束进程
按“Ctrl+Alt+Del”键弹出任务管理器，找到SWS32 进程，名字记不大清楚了，反正看到最多的进程就杀杀杀！！！！还有几个很少看到的进程。什么AUS***之类的都干掉他。找到EXPL0RER.EXE进程（注意第5个字母是数字0不是字母O），找到它后选中它并点击“结束进程”以结束掉木马进程。然后迅速做下面一步，只所以要迅速是因为如果动作慢的话，木马可能会自动恢复而再次运行起来，这样就无法删除掉其他木马文件了（如果EXPL0RER.EXE进程再次运行起来需要重做这一步）。

四 装杀毒软件
装完后不要重新启动（切记）直接升级病毒库，升级完后，把C:\winnt 目录下所有带毒文件删除。然后运行杀毒软件开始杀毒。
杀完后。还有几个杀毒软件无法删掉的东西要把名字记下来。因为不同的系统有不同的名字。所以这里说不清楚了。自己记下来。
重新启动后再次杀毒。记的把可疑的进程的结束。否则杀毒软件无法干净杀毒。还有最重要的一点记的把杀毒软件无法清除的病毒设置为删除文件。一般要重复杀毒3-5次才能杀干净。

五。看看杀毒后的系统。
缺少的了很多系统文件。系统处于危险状态。如果你有GHOST 备份。这个时候恢复一下。系统可以干净无损。如果没有请运行 SFC 命令检查文件系统。具体操作为 运行-输入CMD 命令进入DOS 提示符。-输入SFC /scannow -- 提示放入系统光盘。--放进去吧。然后慢慢等。
看看成果。杀毒效果显著。毒杀干净了。但是杀完毒后很多游戏都玩不了。忙了一圈都不知道自己在忙什么。郁闷吧。然后重新做系统吧。谁叫中毒的是网吧的系统。
PS：如果在病毒没有发作情况下杀毒是可以完全搞定的。如果发作了也不要杀毒了。直接克盘恢复吧。
在短短的28小时内我接到3个网吧老板的电话。。。。。。。。做技术员真命苦。。。。。。
这是本人第一次写这么长的资料。也是忙碌1年半后潜水1年半后。重新的回到技术员的身份（以前我经常发招聘的帖。不过PS哦我不是老板，招人都是帮朋友招的。我还是网管是大家的同行和朋友）。爱情后门，爱情后门变种。FUNLOVE 变种等病毒曾经把我朋友弄的网吧一度处于停业状态。写此文的目的就是希望大家同行群策群力做好预防工作。最好能够自己写出个免疫补丁。希望所有人的技术都在进步
PS：做系统的时候把默认共享关闭。关闭IPC$Content$nbsp;ADMIN$Content$nbsp;关闭554 关闭ICMP路由。给ADMINISTRATOR 组所有成员设置密码。最好数字加英文（爱情后门病毒可以破解简单的密码而进行大规模的快速传播）。 关闭了这些服务加上杀毒软件。LOGO1.exe 基本上拿你没折了。但是如果是批量克盘 建议客户机不要使用卡八等杀毒软件。克盘时网线拔掉，克好盘要迅速装好还原精灵 。为什么要迅速，不用我说了吧。

辛辛苦苦写的手都酸了。。天不知觉的也亮起来了。。。。转贴时希望大家珍惜我的劳动成果。
接上文。经过一段时间的观察，我找到了可以改病毒的免疫补丁（只适用于没有感染该病毒或者已经感染该病毒但是没有发作的机器）其实很简单只要每次开机删除病毒体文件 LOGO1_1.exe 那么即使感染了该病毒的机器也可以救回来。用这个方法本人救活了2家网吧180台机器。目前为止情况正常。
LOGO1_.exe 免疫补丁制作如下：

1 编写批处理文件。开机自动删除logo1_.exe 作用是即使中了该病毒，由于开机后自动删除该病毒。那么该病毒永远无法发作。
批处理文件内容如下：
del c:\winnt\logo1_.exe (就这一行。先保存为记事本，然后保存为.bat的批处理文件。

2 设置改批处理开机自动运行。
修改注册表 加入以下项

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"auto"="E:\\网络游戏\\auto.bat"
把上端文本保存为 .REG 文件。然后导入注册表。{ E:\\网络游戏\\auto.bat } 该路径为你刚刚编写批处理所在的目录。很重要。
好了到此为止你可以安心睡觉去了。。不用再怕那可恶的LOGO1_.exe 了。。
本人再次强调一点。如果该病毒已经在你电脑里发作了。那么还是不要去救了。。直接重新克盘吧。
如果没有发作。那么用上面方法可以救活你的电脑。判断依据是 看看网络游戏图标有没有变色。还有
c:\winnt 目录下有没有KILL.exe sws.dll sws32.dll 文件。

liuzhao

鄙视这个病毒！！！！！！！！！！！
前几天查点把我搞疯了
最后把CDEF盘全格了
要是有兴趣也试试啊