病毒特點,病毒表現,
病毒特點
該毒最大的“優點”就是會自動查找你硬碟上的一些EXE檔案。(附加:這種worm類病毒曾在DOS下是很讓人頭疼的事,曾是一個dir就感染了整個目錄。)這樣一來,即使你清掉記憶體中的病毒也於事無補,因為你總要運行電腦上的exe檔案。但是對容量超過100MB的EXE檔案不進行感染。染毒後的EXE檔案只要運行就會自動釋放logo1_exe 、rundl132.exe、dll.dll 至%Windir%中,%Windir%默認為C:\Windows或者C:\Winnt。 同時染毒檔案圖示恢復正常。
病毒表現
2. 部分圖示變得模糊
3. 進程裡面出現例如 Logo_1.exe , 0Sy.exe等莫名其妙的東西
4. C糟隱藏檔案出現 _desktop.ini(隱藏檔案)
5. 磁碟的autorun被修改,以至於雙擊磁碟盤符時提示出錯
步驟一:
1.在安全模式下結束以下進程: logo1_.exe rundl132.exe(注意第六個為數字1而不是L) explorer.exe(清除記憶體和病毒生成的檔案後,又觀察了病毒的運行結果,發現病毒是在windows目錄下生成vdll.dll,logo1_.exe,dl132.exe這三個檔案。又經過實驗,vdll.dll注入exeplorer.exe是由logo1_.exe來完成。病毒會在開機自動執行中加入rundl132.exe) 另外有類似OS.exe的進程也一併結束掉~~!
2.到windows目錄刪除"logo1_.exe"、"rundl132.exe"、"vdll.dll"檔案!(注意這些進程都是隱藏的,需要把系統設定為“顯示隱藏檔案”,設定的方法:打開“我的電腦”; 依次打開選單“工具/資料夾選項”;然後在彈出的“資料夾選項”對話框中切換到“查看”頁; 去掉“隱藏受保護的作業系統檔案(推薦)”前面的對鉤,讓它變為不選狀態; 在下面的“高級設定”列表框中改變“不顯示隱藏的檔案和資料夾”選項為“顯示所有檔案和資料夾”選項; 去掉“隱藏已知檔案類型的擴展名”前面的對鉤,也讓它變為不選狀態;最後點擊“確定”。 )
3.運行 gpedit.msc 打開組策略,依次單擊用戶配置- 管理模組- 系統-指定不給windows運行的程式, 點啟用 然後 點顯示 添加 logo1_exe 也就是病毒的源檔案
4.找到並刪除%Windir%下的Logo1_.exe、rundl132.exe、vDll.dll檔案,其中vDll.dll可能在其他目錄中,%Windir%默認為C:\Windows或者C:\Winnt。
打開註冊表,索引到HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW,刪除auto鍵值;
打開註冊表,索引到HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\WIndows,刪除load鍵值;
打開%system%\drivers\etc下hosts檔案,刪除“127.0.0.1 localhost”一行後所有內容;
5.在windows目錄下新建檔案:"logo1_.exe"、"rundl132.exe"、"vdll.dll"並把屬性設為“唯讀”,這樣病毒也就無法運行了 現在你的電腦基本上說可以對該病毒免疫了,即使中了該病毒,它也發作不了啦!最後這一點不怎么好辦那些應用程式都被感染了病毒,如果中了病毒,下次重啟後,就會彈出來“rundl132.exe不是有效的應 用程式”和“無法載入註冊表中c;\windows\rundl132.exe”的對話框 要么刪除所有被感染的應用程式,然後從其它地方複製沒感染病毒的過來,要么就是在搜尋里用“*.exe”找出所有的exe檔案,然後每個運行一下:L最後從註冊表里找出“rundl132.exe”的啟動項,刪掉就OK了
步驟二:
先按照步驟一在安全模式下清除%Windir%中的病毒原檔案,並進行初級免疫,然後利用專殺工具如江民的威金專殺,奇諾的Anti-Virus Tools 2007對染毒檔案進行防毒徹底清除病毒根源。
