logo1 .exe

假如你手動運行logo1_.exe 你的系統就GAMEOVER了。運行系統極度卡機。你重新啟動後你會發現你所有遊戲的.EXE 程式全部都感染了。用最新防毒軟體殺完後。除了系統可以勉強運行。其他的你也別想運行了。

1 病毒體 C:\winnt 目錄下logo1_.exe 。KILL.EXE sws32.dll 等檔案是病毒發作後的檔案。

2、生成病毒檔案

病毒運行後，在c:\winnt 下自己拷貝生成病毒檔案，檔案的名稱是可變，根據不同的變種相應有不同的名稱。好像一共有5個檔案。其中由3個是.exe 2 個是.DLL 檔案。其中有KILL.EXE 等。具體的記不大清楚了。

3、修改註冊表

病毒對註冊表進行修改，在 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\IniFileMapping\system.ini\boot] winlogo 項和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和[HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/中添加鍵值=%System%（其中，和為可變的），使得在下次 系統啟動時，病毒可隨之自動運行。

4、盜取密碼

病毒試圖登入並盜取被感染計算機中網路遊戲傳奇2的密碼，將遊戲密碼傳送到該木馬病毒的植入者手中。

5、阻止以下防毒軟體的運行

病毒試圖終止包含下列進程的運行，這些多為防毒軟體的進程。 包括卡巴斯基、金山毒霸、瑞星防毒軟體等。98%的防毒軟體運行。

國產軟體在中毒後都被病毒殺死，是病毒殺掉-防毒軟體。如金山，瑞星等。哪些軟體可以認出病毒。但是認出後不久就陣亡了。

進程如下 ：

rising

SkyNet

Symantec

McAfee

Gate

Rfw.exe

RavMon.exe

kill

NAV

KAV

LAST 最後說一下解決方案 都是本人個人經驗 有不足之處還請各位多多補充。

先下載好你認為比較好的防毒軟體。此時不要安裝。就是安裝了也是白安裝。所有軟體安裝後很快就被感染。這裡不推薦使用金山，瑞星，江明，SPANT 等。推薦使用卡八斯基5.0版 和我最喜歡的麥咖啡防毒軟體。

請先去把系統設定為“顯示隱藏檔案”，因為病毒以隱藏屬性偽裝，不做此設定將無法看到它，設定的方法如下

打開“我的電腦”；

依次打開選單“工具/資料夾選項”；

然後在彈出的“資料夾選項”對話框中切換到“查看”頁；

去掉“隱藏受保護的作業系統檔案(推薦)”前面的對鉤，讓它變為不選狀態；

在下面的“高級設定” 去掉“隱藏已知檔案類型的擴展名”前面的對鉤，也讓它變為不選狀態；

最後點擊“確定”。

二、修改註冊表

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot] winlogo 項

把WINLOGO 項 後面的C:\WINNT\SWS32.DLL 幹掉（就是刪掉的意思^_^)

接下來把HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/Run 鍵 /RunOnce/RunOnceEx 兩個中其中有個是也是C:\WINNT\SWS32.dll

把類似以上的全部刪掉 注意不要刪除默認的鍵值（刪了的話後果自負）

三 結束進程

按“Ctrl+Alt+Del”鍵彈出任務管理器，找到SWS32 進程，名字記不大清楚了，反正看到最多的進程就殺殺殺！！！！還有幾個很少看到的進程。什麼AUS***之類的都幹掉他。找到EXPL0RER.EXE進程（注意第5個字母是數字0不是字母O），找到它後選中它並點擊“結束進程”以結束掉木馬進程。然後迅速做下面一步，只所以要迅速是因為如果動作慢的話，木馬可能會自動恢復而再次運行起來，這樣就無法刪除掉其他木馬檔案了（如果EXPL0RER.EXE進程再次運行起來需要重做這一步）。

四 裝防毒軟體

裝完後不要重新啟動（切記）直接升級病毒庫，升級完後，把C:\winnt 目錄下所有帶毒檔案刪除。然後運行防毒軟體開始防毒。

殺完後。還有幾個防毒軟體無法刪掉的東西要把名字記下來。因為不同的系統有不同的名字。所以這裡說不清楚了。自己記下來。

重新啟動後再次防毒。記的把可疑的進程的結束。否則防毒軟體無法乾淨防毒。還有最重要的一點記的把防毒軟體無法清除的病毒設定為刪除檔案。一般要重複防毒3-5次才能殺乾淨。

五。看看防毒後的系統。

缺少的了很多系統檔案。系統處於危險狀態。如果你有GHOST 備份。這個時候恢復一下。系統可以乾淨無損。如果沒有請運行 SFC 命令檢查檔案系統。具體操作為 運行-輸入CMD 命令進入DOS 提示符。-輸入SFC /scannow -- 提示放入系統光碟。--放進去吧。然後慢慢等。

看看成果。防毒效果顯著。毒殺乾淨了。但是殺完毒後很多遊戲都玩不了。忙了一圈都不知道自己在忙什麼。鬱悶吧。然後重新做系統吧。誰叫中毒的是網咖的系統。

PS：如果在病毒沒有發作情況下防毒是可以完全搞定的。如果發作了也不要防毒了。直接克盤恢復吧。

在短短的28小時內我接到3個網咖老闆的電話。。。。。。。。做技術員真命苦。。。。。。

這是本人第一次寫這么長的資料。也是忙碌1年半後潛水1年半後。重新的回到技術員的身份（以前我經常發招聘的帖。不過PS喔我不是老闆，招人都是幫朋友招的。我還是網管是大家的同行和朋友）。愛情後門，愛情後門變種。FUNLOVE 變種等病毒曾經把我朋友弄的網咖一度處於停業狀態。寫此文的目的就是希望大家同行群策群力做好預防工作。最好能夠自己寫出個免疫補丁。希望所有人的技術都在進步

PS：做系統的時候把默認共享關閉。關閉IPC$Content$nbsp;ADMIN$Content$nbsp;關閉554 關閉ICMP路由。給ADMINISTRATOR 組所有成員設定密碼。最好數字加英文（愛情後門病毒可以破解簡單的密碼而進行大規模的快速傳播）。 關閉了這些服務加上防毒軟體。LOGO1.exe 基本上拿你沒折了。但是如果是批量克盤 建議客戶機不要使用卡八等防毒軟體。克盤時網線拔掉，克好盤要迅速裝好還原精靈 。為什麼要迅速，不用我說了吧。

辛辛苦苦寫的手都酸了。。天不知覺的也亮起來了。。。。轉貼時希望大家珍惜我的勞動成果。

接上文。經過一段時間的觀察，我找到了可以改病毒的免疫補丁（只適用於沒有感染該病毒或者已經感染該病毒但是沒有發作的機器）其實很簡單只要每次開機刪除病毒體檔案 LOGO1_1.exe 那么即使感染了該病毒的機器也可以救回來。用這個方法本人救活了2家網咖180台機器。目前為止情況正常。

LOGO1_.exe 免疫補丁製作如下：

1 編寫批處理檔案。開機自動刪除logo1_.exe 作用是即使中了該病毒，由於開機後自動刪除該病毒。那么該病毒永遠無法發作。

批處理檔案內容如下：

del c:\winnt\logo1_.exe (就這一行。先保存為記事本，然後保存為.bat的批處理檔案。

2 設定改批處理開機自動運行。

修改註冊表 加入以下項

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"auto"="E:\\網路遊戲\\auto.bat"

把上端文本保存為 .REG 檔案。然後導入註冊表。{ E:\\網路遊戲\\auto.bat } 該路徑為你剛剛編寫批處理所在的目錄。很重要。

好了到此為止你可以安心睡覺去了。。不用再怕那可惡的LOGO1_.exe 了。。

本人再次強調一點。如果該病毒已經在你電腦里發作了。那么還是不要去救了。。直接重新克盤吧。

如果沒有發作。那么用上面方法可以救活你的電腦。判斷依據是 看看網路遊戲圖示有沒有變色。還有

c:\winnt 目錄下有沒有KILL.exe sws.dll sws32.dll 檔案。