W32/HLLP.Philis.aw

中招後

你安裝 rising SkyNet Symantec McAfee Gate Rfw.exe RavMon.exe kill NAV 等防毒軟體 都無法補救你的系統，病毒檔案 Logo1_.exe 為主體病毒，他自動生成病毒發作所需要的的 SWS32.DLL SWS.DLLL KILL.EXE 等檔案。這些檔案一旦衍生，它將迅速感染系統內EXPLORE 等系統核心進程 及所以.exe 的執行檔，外觀典型表現症狀為 傳奇 ，泡泡堂，等遊戲圖示變色。 此時系統資源可用率極低，你每重新啟動一次，病毒就會發作一次，重新啟動5次後系統基本崩潰。

該病毒對於防範意識較弱，還原軟體未能及時裝到位的網咖十分致命，其網路傳播速度十分快捷有效。舊版的防毒軟體無法檢測，新版的無法徹底根殺。一但網咖內某台機器中了此病毒，那么該網咖所有未中毒的機器都處於危險狀態。由於病毒發作貯留於記憶體。且通過EXPLORE.exe 進行傳播。因此即使是裝了還原精靈，還原卡的機器也同樣會被感染。你重新啟動後系統可以還原。但是你一但開機還是會被感染。

logo1_.exe( W32/HLLP.Philis.g) 病毒發作會生成另外幾中病毒 PWSteal.Lemir.Gen 和 trojan.psw.lineage 等等。都是些非常厲害的後門程式。和外掛病毒相似，但是其威力是外掛病毒的50倍以上。在WIN98平台下，改病毒威害比較小。在WIN2000 /XP/2003 平台對於網咖系統是致命的

關於此病毒的技術報告如下

病毒名稱：W32/HLLP.Philis.g 或者 （用著名防毒軟體麥咖啡（MACFEE ）檢測結果，其他防毒軟體檢測為 trojan類木馬

病毒特徵：

假如你手動運行logo1_.exe 你的系統就GAMEOVER了。運行系統極度卡機。你重新啟動後你會發現你所有遊戲的.EXE 程式全部都感染了。用

最新防毒軟體殺完後。除了系統可以勉強運行。其他的你也別想運行了。

1 病毒體 C:\winnt 目錄下logo1_.exe 。KILL.EXE sws32.dll 等檔案是病毒發作後的檔案。 2、生成病毒檔案

病毒運行後，在c:\winnt 下自己拷貝生成病毒檔案，檔案的名稱是可變，根據不同的變種相應有不同的名稱。好像一共有5個檔案。其中

由3個是.exe 2 個是.DLL 檔案。其中有KILL.EXE 等。具體的記不大清楚了。

3、修改註冊表

病毒對註冊表進行修改，在 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot]

winlogo 項和

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和

[HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/中添加鍵值=%System%（其中，和為可變的），使得在 下次系統啟動時，病毒可隨之自動運行。

4、盜取密碼

病毒試圖登入並盜取被感染計算機中網路遊戲傳奇2的密碼，將遊戲密碼傳送到該木馬病毒的植入者手中。

5、阻止以下防毒軟體的運行

病毒試圖終止包含下列進程的運行，這些多為防毒軟體的進程。 包括卡八斯基，金山公司的毒霸。瑞星等。98%的防毒軟體運行。

國產軟體在中毒後都被病毒殺死，是病毒殺掉-防毒軟體。如金山，瑞星等。哪些軟體可以認出病毒。但是認出後不久就陣亡了。。本人一 直都支持國產，但是在電腦和手機方面就沒辦法支持了。鬱悶 中~~~

進程如下 ：

rising

SkyNet

Symantec

McAfee

Gate

Rfw.exe

RavMon.exe

kill

NAV

KAV

LAST 最後說一下解決方案 都是本人個人經驗 有不足之處還請各位多多補充。

先下載好你認為比較好的防毒軟體。此時不要安裝。就是安裝了也是白安裝。所有軟體安裝後很快就被感染。這裡不推薦使用金山，瑞星，江明，SPANT 等。推薦使用卡巴斯基最新版 和我最喜歡的麥咖啡防毒軟體。

請先去把系統設定為“顯示隱藏檔案”，因為病毒以隱藏屬性偽裝，不做此設定將無法看到它，設定的方法如下

打開“我的電腦”—— 依次打開選單“工具/資料夾選項”；

然後在彈出的“資料夾選項”對話框中切換到“查看”頁；

去掉“隱藏受保護的作業系統檔案(推薦)”前面的對鉤，讓它變為不選狀態；

在下面的“高級設定”列表框中改變“不顯示隱藏的檔案和資料夾”選項為“顯示所有檔案和資料夾”選項；

去掉“隱藏已知檔案類型的擴展名”前面的對鉤，也讓它變為不選狀態；

最後點擊“確定”。

二、修改註冊表

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot]winlogo 項

把WINLOGO 項 後面的C:\WINNT\SWS32.DLL 幹掉（就是刪掉的意思^_^)

接下來把HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/Run 鍵中 /RunOnce/RunOnceEx 兩個中其中有個是也是

C:\WINNT\SWS32.dll

把類似以上的全部刪掉 注意不要刪除默認的鍵值（刪了的話後果自負）

三 結束進程

按“Ctrl+Alt+Del”鍵彈出任務管理器，找到SWS32 進程，名字記不大清楚了，反正看到最多的進程就殺殺殺！！！！還有幾個很少看到的進程。什麼AUS***之類的都幹掉他。找到EXPL0RER.EXE進程（注意第5個字母是數字0不是字母O），找到它後選中它並點擊“結束進程”以結束掉木馬進程。然後迅速做下面一步，只所以要迅速是因為如果動作慢的話，木馬可能會自動恢復而再次運行起來，這樣就無法刪除掉其他木馬檔案了（如果EXPL0RER.EXE進程再次運行起來需要重做這一步）。

四 裝防毒軟體

裝完後不要重新啟動（切記）直接升級病毒庫，升級完後，把C:\winnt 目錄下所有帶毒檔案刪除。然後運行防毒軟體開始防毒。

殺完後。還有幾個防毒軟體無法刪掉的東西要把名字記下來。因為不同的系統有不同的名字。所以這裡說不清楚了。自己記下來。

重新啟動後再次防毒。記的把可疑的進程的結束。否則防毒軟體無法乾淨防毒。還有最重要的一點記的把防毒軟體無法清除的病毒設定為刪除檔案。一般要重複防毒3-5次才能殺乾淨。

五。看看防毒後的系統。

缺少的了很多系統檔案。系統處於危險狀態。如果你有GHOST 備份。這個時候恢復一下。系統可以乾淨無損。如果沒有請運行 SFC 命令檢查檔案系統。具體操作為 運行-輸入CMD 命令進入DOS 提示符。-輸入SFC /scannow -- 提示放入系統光碟。--放進去吧。然後慢慢等。

看看成果。防毒效果顯著。毒殺乾淨了。但是殺完毒後很多遊戲都玩不了。忙了一圈都不知道自己在忙什麼。鬱悶吧。然後重新做系統吧。誰叫中毒的是網咖的系統。

只要把那個LOG01-。XEX刪了就可以拉！

LOGO1_.exe 免疫補丁製作如下：

1 編寫批處理檔案。開機自動刪除logo1_.exe 作用是即使中了該病毒，由於開機後自動刪除該病毒。那么該病毒永遠無法發作。

批處理檔案內容如下：

del c:\winnt\logo1_.exe (就這一行。先保存為記事本，然後保存為.bat的批處理檔案。

2 設定改批處理開機自動運行。

修改註冊表 加入以下項

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"auto"="E:\\網路遊戲\\auto.bat"

把上端文本保存為 .REG 檔案。然後導入註冊表。{ E:\\網路遊戲\\auto.bat } 該路徑為你剛剛編寫批處理所在的目錄。很重要。

好了到此為止你可以安心睡覺去了。。不用再怕那可惡的LOGO1_.exe 了。。

本人再次強調一點。如果該病毒已經在你電腦里發作了。那么還是不要去救了。。直接重新克盤吧。

如果沒有發作。那么用上面方法可以救活你的電腦。判斷依據是 看看網路遊戲圖示有沒有變色。還有

c:\winnt 目錄下有沒有KILL.exe sws.dll sws32.dll 檔案