3天內中國網吧面臨強大的木馬(穿透冰點等還原)以及解
木馬傳播為
“看看啊. 我最近的照片~ 才掃瞄到QQ象冊上的 ^_^ !
http://www.(騙子或虛假QQ推廣信息地址)search_2.shtml.cgi-client-entry.photo.39pic.com/qq%E5%83%8F%E5%86%8C2/”
此木馬可以在局域網中傳播,能穿透冰點 還原精靈的等還原軟件。自動在QQ上發傳播。而且病毒針對全盤,用ghost恢復C盤是沒用的。
昨天1天就有上萬家網吧被中木馬,
大家小心 小心在小心。
PS 現在最大的問題不少網吧從新做母盤刻網吧,但是不到幾天又種了.無奈
解決方法:
有關這個病毒的消除方法(我也在別的地方看到的,現在我轉載給大家看看)
下面我把此病毒的相關資料以及中了此病毒的解決辦法說一下!
Worm.Logo.b病毒
“logo”蠕蟲病毒,
該病毒通過IPC共享進行傳播,會感染系統中的可執行文件。病毒還會從網上下載木馬,從而竊取感染機器上的敏感信息。
一、“logo”(Worm.logo.b)
威脅級別:★★
據金山毒霸反病毒工程師介紹,該病毒通過IPC共享進行傳播,會感染系統中的可執行文件。病毒還會從網上下載木馬,從而竊取感染機器上的敏感信息。由於該病毒通過IPC$弱密碼進行傳播,所以建議用戶特別是局域網用戶在殺毒前,斷網並將管理員密碼設置較為複雜,以防止殺毒後再次感染。
主要症狀:
1、佔用大量網速,使機器使用變得極慢。
2、會捆綁所有的EXE文件,只要一運用應用程序,在winnt下的logo1.exe圖標就會相應變成應用程序圖標。
3、有時還會時而不時地彈出一些程序框,有時候應用程序一起動就出錯,有時候起動了就被強行退出。
4、網吧中只感梁win2k pro版,server版及XP系統都不感染。
5、能繞過所有的還原軟件。詳細技術信息:
病毒運行後,在%Windir%生成 Logo1_.exe 同時會在windws根目錄生成一個名為"virDll.dll"的文件。
%WinDir%\virDll.dll該蠕蟲會在系統註冊表中生成如下鍵值:[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]"auto" = "1"
盜取密碼
病毒試圖登陸並盜取被感染計算機中網絡遊戲傳奇2的密碼,將遊戲密碼發送到該木馬病毒的植入者手中。
阻止以下殺毒軟件的運行
病毒試圖終止包含下列進程的運行,這些多為殺毒軟件的進程。 包括卡八斯基,金山公司的毒霸。瑞星等。98%的殺毒軟件運行。國產軟件在中毒後都被病毒殺死,是病毒殺掉-殺毒軟件。如金山,瑞星等。哪些軟件可以認出病毒。但是認出後不久就陣亡了。通過寫入文本信息改變"%System%\drivers\etc\hosts" 文件。這就意味著,當受感染的計算機瀏覽許多站點時(包括眾多反病毒站點),瀏覽器就會重定向到66.197.186.149。
病毒感染運行windows操作系統的計算機,並且通過開放的網絡資源傳播。一旦安裝,蠕蟲將會感染受感染計算機中的.exe文件。該蠕蟲是一個大小為82K的Windows PE可執行文件。通過本地網絡傳播該蠕蟲會將自己複製到下面網絡資源:ADMIN$ IPC$症狀蠕蟲會感染所有.exe的文件。但是,它不會感染路徑中包含下列字符串的文件: \Program Files
Common Files
ComPlus Applications
Documents and Settings
NetMeeting
Outlook Express
Recycled
system
System Volume Information
system32
windows
Windows Media Player
Windows NT
WindowsUpdate
winnt蠕蟲會從內存中刪除下面列出的進程:
EGHOST.EXE
IPARMOR.EXE
KAVPFW.EXE
KWatchUI.EXE
MAILMON.EXE
Ravmon.exe
ZoneAlarmHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot] winlogo 項把WINLOGO 項 後面的C:\WINNT\SWS32.DLL 幹掉(就是刪掉的意思^_^)接下來把HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/Run 鍵中 /RunOnce/RunOnceEx 兩個中其中有個是也是C:\WINNT\SWS32.dll 把類似以上的全部刪掉 注意不要刪除默認的鍵值(刪了的話後果自負)
三 結束進程按
“Ctrl+Alt+Del”鍵彈出任務管理器,找到SWS32 進程,名字記不大清楚了,反正看到最多的進程就殺殺殺!!!!還有幾個很少看到的進程。什麼AUS***之類的都幹掉他。找到EXPL0RER.EXE進程(注意第5個字母是數字0不是字母O),找到它後選中它並點擊“結束進程”以結束掉木馬進程。然後迅速做下面一步,只所以要迅速是因為如果動作慢的話,木馬可能會自動恢復而再次運行起來,這樣就無法刪除掉其他木馬文件了(如果EXPL0RER.EXE進程再次運行起來需要重做這一步)。PS:做系統的時候把默認共享關閉。關閉IPC$ ADMIN$ 關閉554 關閉ICMP路由。給ADMINISTRATOR 組所有成員設置密碼。最好數字加英文
LOGO1_.exe 免疫補丁製作如下:
1 編寫批處理文件。開機自動刪除logo1_.exe 作用是即使中了該病毒,由於開機後自動刪除該病毒。那 麼該病毒永遠無法發作。批處理文件內容如下:del c:\winnt\logo1_.exe (就這一行。先保存為記事本,然後保存為.bat的批處理文件。
2 設置改批處理開機自動運行。修改註冊表 加入以下項Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"auto"="E:\\網絡遊戲\\auto.bat"
把上端文本保存為 .REG 文件。然後導入註冊表。{ E:\\網絡遊戲\\auto.bat } 該路徑為你剛剛編寫批處理所在的目錄。很重要。
好了到此為止你可以安心睡覺去了。。不用再怕那可惡的LOGO1_.exe 了。。
本人再次強調一點。如果該病毒已經在你電腦裡發作了。那麼還是不要去救了。。直接重新克盤吧。如果沒有發作。那麼用上面方法可以救活你的電腦。判斷依據是 看看網絡遊戲圖標有沒有變色。還有c:\winnt 目錄下有沒有KILL.exe sws.dll sws32.dll 文件。
判斷是否中了這個病毒 最明顯的就是 你的EXE文件是否 變色。。。。如果發現好多EXE文件已變色。。。那已代表 你中毒已深。。病毒已經捆綁到EXE文件了。運行變色的EXE,就是運行病毒啦 然後就是看你的進程 logo1_exe,rundl132.exe,12.exe,svchs0t.exe
有了這幾個 那您就得注意啦
還有一個與之相關的VDLL.DLL文件。。在C盤根目錄底下。。
如果是服務器中毒了 。。直接格式化吧。。別猶豫了。。。
我第一次中標後 大意了下 只是GHOST恢復了下服務器的系統
誰知道 過了2天可又復發了。。。 然後我就忍痛把全盤給格了。。。。然後問題算是解決了。。
另外特別提醒下
這可惡的病毒是會通過網絡傳播的
而且速度很快 只有你有1台機子中毒 3分鐘
他就會開始傳播別的機子 中此病毒的哥們
最好仔細檢查你的每台 客戶機子 因為他可以饒過某些還原卡和還原軟件
我中這個病毒的原因 是因為用了 那個CCDISK1.3 破解的 我也忘記是從哪下的了
是安裝他那個硬盤序列號修改工具 感染 我也不曉得誰那麼陰險 怎麼把病毒捆綁到那個軟件的 還有我後來發現的
下載的電影裡 也有可能會感染那個病毒。。。
建議大家 新下載的東西 首先要殺毒`````
-------------------------------------------------------------------------
中病毒的情況:
1. CPU佔有率非常 系統奇慢無比(佔有率高的時候反而變低 佔有率為零的時候反而100%)
2. 進程裡有個叫 logo1_.exe的進程 刪了又彈出來(先彈出cmd.exe後彈出logo1_.exe)
3. %windir%下有個叫logo1_.exe的文件 圖標會隨上面進程被刪的次數變化萬千 並且刪後又回重生。
4. 最顯著的特點就是硬盤裡的文件圖標被改的亂七八糟(不是變大或變小 就是變色或...)
5. 關閉一些殺毒軟件的進程
1.絕對不能重啟電腦(否則病毒會橄欖更多的文件 想重啟也啟不了了)
2.留個IE和進程管理器 把explorer,logo1.exe,cmd.exe=進程關掉(對explorer也要關 不然病毒會根據這個進程 每1分種 加載一次)還有按上面的順序關 關的時候要迅速 如果又出來 再關! 要快
3.下面留個IE在線 殺毒 由於現在只有金山=少數軟件可以殺 所以去www.kingsoft.com在線殺毒,記住是殺毒 不是查毒,,由於殺毒要錢(為了電腦 發5元),可以撥168*****申請殺毒號(號碼我忘了自己看看),讓後用全面殺毒查殺。殺好後圖標都會還原。
網上說明:
主要症狀:
1、佔用大量網速,使機器使用變得極慢。
2、會捆綁所有的EXE文件,只要一運用應用程序,在winnt下的logo1.exe圖標就會相應變成應用程序圖標。
3、有時還會時而不時地彈出一些程序框,有時候應用程序一起動就出錯,有時候起動了就被強行退出。
4、網吧中只感梁win2k pro版,server版及XP系統都不感染。
5、能繞過所有的還原軟件。
安全防範:
關閉內網共享SERVER服務,修改QQ-DLL文件,禁止打開網頁。最重要的是關閉端口及用HOSTS屏蔽該網址,從路由徹底封殺。據我所知,DF5.70-220-1426以上的版本可以抵住。但如果不保護遊戲盤的,裝了新版DF也是白搭,因為該病毒是全盤感染,類似Win32變種白蟻的那類。但可怕的是該病毒可以穿偷還原。