主  题:   rundl132.exe和logo1_.exe病毒如何清除(急,谢谢!顶者有分)
作  者:   ronaldo1983 (打光棍的和尚)        Blog
等  级:  
信 誉 值:   100
所属社区:   Windows专区 安全技术/病毒
问题点数:   100
回复次数:   77
发表时间:   2006-9-13 16:38:38
     
 
     
局域网中机器越来越多的感染了这个病毒,我在网上查到一些办法来清除病毒,并且在CSDN里也看到对该病毒的提问和解决办法。在安全模式下手动清除,并且在注册表中和启动项中都删除想关的东西。但是机器重新启动后,过一段时间就会在WINNT中生成名为1的引用程序,然后又出现rundl132和logo1_这两个病毒。 看介绍说是感染了EXE文件,有没有什么办法可以彻底清除该病毒的,还有清除后还要注意哪些防范措施。 顶者有分。谢谢!!!
  scz123(小章 http://blog.csdn.net/scz123/) ( ) 信誉:147    Blog 2006-9-13 16:50:51 得分: 0
 
 
 
1、先开个CMD窗口,结束木马进程,推荐使用PROCESS EXPLORER 2、恢复EXE文件关联,参考:http://blog.csdn.net/scz123/archive/2006/08/04/1018974.aspx 3、显示隐藏文件和系统文件,用查找功能找出最近创建的文件,全删 4、恢复注册表,推荐使用Autoruns 或 Hijackthis 5、修复ie关联:http://blog.csdn.net/scz123/archive/2006/08/08/1037947.aspx
Top
  wqvbka123(流水有意恋落花,落花无心随波流) ( ) 信誉:100    Blog 2006-9-13 17:34:17 得分: 0
 
 
 
楼上的
Top
  wqvbka123(流水有意恋落花,落花无心随波流) ( ) 信誉:100    Blog 2006-9-13 17:40:36 得分: 0
 
 
 
关注ing
Top
  HochJokerH(-0-) ( ) 信誉:100    Blog 2006-9-13 19:03:57 得分: 0
 
 
 
mark
Top
  ronaldo1983(打光棍的和尚) ( ) 信誉:100    Blog 2006-9-13 19:07:00 得分: 0
 
 
 
楼上的办法能不能再详细点 能不能给出如何清除病毒本身呢?
Top
  HochJokerH(-0-) ( ) 信誉:100    Blog 2006-9-13 20:17:13 得分: 0
 
 
 
http://bbs.cnfan.net/viewthread.php?tid=1894&extra=page%3D1 google的结果,不是很满意,仅作为参考
Top
  liangqingzhi(老之) ( ) 信誉:100    Blog 2006-9-13 20:25:15 得分: 0
 
 
 
这两天都在几台机子上手工杀过这两个木马。我的方法是:先结束进程,在瑞星防火墙的启动选项里检查可疑的启动项(连微软签证的也要列出来)。找到之后在注册表里删除,再在文件夹里找到那个exe文件,连同跟它同一时间创建的dll一并删除。也许这样会有些残余的木马附带的文件没有删除,但至少不会再发作。
Top
  mudonfield(如影随行·郁闷得太久了) ( ) 信誉:118    Blog 2006-9-13 22:10:57 得分: 0
 
 
 
可以用一下Hijackthis。 关注中。。。。
Top
  Purpleendurer(Purplenendurer) ( ) 信誉:100    Blog 2006-9-13 23:03:02 得分: 0
 
 
 
中了viking罢? 遭遇Viking/威金新变种、Trojan-PSW.Win32.WOW.do等 http://endurer.blogchina.com/5419699.html 建议试试: 免费的恶意程序检测和清除工具---Dr.Web CureIt! http://endurer.blogchina.com/5488502.html
Top
  ronaldo1983(打光棍的和尚) ( ) 信誉:100    Blog 2006-9-14 9:02:54 得分: 0
 
 
 
有的DLL文件在安全模式下也杀不掉,但是很明显是木马生成的,用什么软件能看和它关联的注册表进程来?
Top
  jinhengxyz() ( ) 信誉:100    Blog 2006-9-14 12:30:48 得分: 0
 
 
 
我也中了 试过很多方法都没有彻底清除 结果重新装系统还是有这个玩意。。 是vking的变种,还有相关的3sy.exe等等备份,我一直到了8sy.exe ,感染exe文件,同时,该文件图标变得模糊,如果这时候还运行该文件就会产生rundl1.exe 和logo1_.exe 而且杀病毒软件查不出来这个病毒。。。
Top
  leafsword_519(一度的温暖,给你) ( ) 信誉:100    Blog 2006-9-14 12:54:13 得分: 0
 
 
 
Mark
Top
  YE0515(叶子) ( ) 信誉:105    Blog 2006-9-14 13:06:29 得分: 0
 
 
 
http://community.csdn.net/Expert/topic/4962/4962787.xml?temp=.6599695
Top
  YE0515(叶子) ( ) 信誉:105    Blog 2006-9-14 13:07:58 得分: 0
 
 
 
http://community.csdn.net/Expert/topic/5012/5012323.xml?temp=.2814295
Top
  YE0515(叶子) ( ) 信誉:105    Blog 2006-9-14 13:11:21 得分: 0
 
 
 
这是一个通过共享传播的蠕虫病毒。该病毒运行后除了会在系统目录中释放多个木马病毒,还会在除系统盘以为的其他所有磁盘根目录下释放木马病毒和自运行脚本,只要进入该磁盘,病毒就会运行。同时病毒还会修改大量的文件关联,使得用户每次打开这些文件的时候病毒就得到了运行。该蠕虫病毒是通过网络共享传播的,它会将自己拷贝到局域网内所有的共享目录和其所有子目录中,诱骗其他用户运行。 1.将自己拷贝到C:/WINNT/rundl132.exe 2.释放另一蠕虫病毒到C:/Program Files/svhost32.exe(也是worm.Beann) 3.添加注册表启动项: 蠕虫的: HKCU/Software/Microsoft/Windows NT/CurrentVersion/Windows "load"="C:/WINNT/rundl132.exe" HKCU/Software/Microsoft/Windows NT/CurrentVersion/Windows "load"="C:/PROGRA~1/svhost32.exe" 木马的: HKLM/SOFTWARE/MICROSOFT/WINDOWS/CURRENTVERSION/RUN "TProgram"="C:/WINNT/smss.exe" HKLM/SOFTWARE/MICROSOFT/WINDOWS/CURRENTVERSION/RUN "ToP"="C:/WINNT/LSASS.exe" 4.在当前目录下释放vDll.dll 5.释放一传奇木马病毒C:/WINNT/System32/ztdll.dll(Win32.Troj.Lineage.zc) 6..释放Win32.Troj.PSWWoW木马病毒的多个副本: C:/WINNT/1.com C:/WINNT/1SY.EXE C:/WINNT/smss.exe C:/WINNT/finders.com C:/WINNT/EXP10RER.com C:/WINNT/exerouter.exe C:/WINNT/System32/rund1132.com C:/WINNT/System32/command.pif C:/WINNT/System32/MSCONFIG.COM C:/WINNT/System32/dxdiag.com C:/WINNT/System32/regedit.com C:/WINNT/Debug/DebugProgram.exe C:/progra~1/intern~1/inexplore.com C:/progra~1/common~1/inexplore.pif 7.释放Win32.Troj.PSWLmir.xi木马病毒的多个副本: C:/WINNT/2SY.EXE C:/WINNT/LSASS.exe C:/WINNT/EXERT.exe C:/WINNT/System32/MSCONFIG.COM C:/WINNT/System32/dxdiag.com C:/WINNT/System32/regedit.com C:/WINNT/Debug/DebugProgram.exe C:/progra~1/intern~1/INTEXPLORE.com C:/progra~1/common~1/INTEXPLORE.pif 8.在其他盘根目录下释放Win32.Troj.PSWWoW病毒副本: (在此只写了D盘的) D:/command.com 并生成一个D:/autorun.inf,其内容如下: [autorun] OPEN=D:/command.com 此外还有一个.ini文件,该文件只纪录了当前的日期 D:/_desktop.ini 2006/5/26 9.将蠕虫拷贝到局域网所有的共享目录和其所有子目录中 10.修改大量文件关联: HKLM/SOFTWARE/Classes/htmlfile/shell/open/command (Default)=""C:/Program Files/Internet Explorer/inexplore.com" -nohome" HKCR/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D}/shell/OpenHomePage/Command (Default)=""C:/Program Files/Internet Explorer/inexplore.com"" HKCR/ftp/shell/open/command (Default)=""C:/Program Files/Internet Explorer/inexplore.com" %1" HKCR/htmlfile/shell/open/command (Default)=""C:/Program Files/Internet Explorer/inexplore.com" -nohome" HKCR/htmlfile/shell/opennew/command (Default)=""C:/Program Files/common~1/inexplore.pif"" HKCR/http/shell/open/command (Default)=""C:/Program Files/common~1/inexplore.pif" -nohome" HKLM/SOFTWARE/Classes/http/shell/open/command (Default)=""C:/Program Files/common~1/inexplore.pif" -nohome" HKCR/Drive/shell/find/command (Default)="%SystemRoot%/EXP10RER.com" HKLM/SOFTWARE/Classes/htmlfile/shell/open/comman (Default)=""C:/Program Files/Internet Explorer/inexplore.com" -nohome" HKCR/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D}/shell/OpenHomePage/Command (Default)=""C:/Program Files/Internet Explorer/inexplore.com"" HKCR/ftp/shell/open/command (Default)=""C:/Program Files/Internet Explorer/inexplore.com" %1" HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/Shell Folders Cookies="C:/Documents and Settings/jjwen1/Cookies" HKCR/htmlfile/shell/open/command (Default)=""C:/Program Files/Internet Explorer/inexplore.com" -nohome" HKCR/htmlfile/shell/opennew/command (Default)=""C:/Program Files/common~1/inexplore.pif"" HKCR/http/shell/open/command (Default)=""C:/Program Files/common~1/inexplore.pif" -nohome" HKLM/SOFTWARE/Classes/http/shell/open/command (Default)=""C:/Program Files/common~1/inexplore.pif" -nohome" HKCR/WindowFiles/shell/open/command (Default)="C:/WINNT/EXERT.exe "%1" %*" HKCR/.exe (Default)="WindowFiles"
Top
  YE0515(叶子) ( ) 信誉:105    Blog 2006-9-14 13:13:21 得分: 0
 
 
 
logo1_.exe病毒清除办法 http://www.chinaemail.com.cn/bingdu/emailvirus/200609/6726.html
Top
  ronaldo1983(打光棍的和尚) ( ) 信誉:100    Blog 2006-9-14 13:30:59 得分: 0
 
 
 
谢谢楼上的各位 谢谢 YE0515(叶子) 我这就试试
Top
  sun5(壮志骄阳) ( ) 信誉:100    Blog 2006-9-14 14:46:00 得分: 0
 
 
 
但是所有给的方法只能清除病毒本身,而感染的文件好像不能修复?这种方法好像只是解决一半问题吧。我的电脑也中了这个病毒,用卡巴斯基最新6.0.1版本都能查出感染的文件。但金山,瑞星专杀工具就不能查询出来。问题是卡巴斯基不能修复感染的文件,只能删除。我好郁闷啊,有些软件对我很重要,我不想再去上网找了。期望有高手研究一下,发布修复感染的文件的工具程序。
Top
  ronaldo1983(打光棍的和尚) ( ) 信誉:100    Blog 2006-9-14 14:49:41 得分: 0
 
 
 
我这现在的问题也是 好多软件都被感染了 不知道有没有办法解决 . 运行 gpedit.msc 打开组策略 依次单击用户配置- 管理模块- 系统-指定不给windows运行的程序点启用 然后 点显示 添加 logo1_exe 也就是病毒的源文件 。 用这个办法来控制 logo1_.exe rundl13.exe 不知道是否可行 ,可以控制这两个程序不在系统里运行.
Top
  pingyou(裸男.NET) ( ) 信誉:99    Blog 2006-9-14 14:54:42 得分: 0
 
 
 
中了这个病毒,有很多图标会变的无法识别。
Top
  gongzhy(2369) ( ) 信誉:100    Blog 2006-9-14 15:30:52 得分: 0
 
 
 
ding
Top
  gongzhy(2369) ( ) 信誉:100    Blog 2006-9-14 15:40:00 得分: 0
 
 
 
logo1_.exe病毒清除办法 作者:佚名 文章来源:51CTO 点击数:6799 更新时间:2006-9-1 ★★★ 在网上看到关于logo1_.exe病毒的情况,结合我在实际中清除病毒的经验特总结一下,给中此病毒的网友以参 考,我是参考了“网星”和其他网友的帖子综合的,不算我的原创哦,只能是帮助大家尽快清除这可恶的病毒。 在网上看到关于logo1_.exe病毒的情况,结合我在实际中清除病毒的经验特总结一下,给中此病毒的网友以参考,我是参考了“网星”和其他网友的帖子综合的,不算我的原创哦,只能是帮助大家尽快清除这可恶的病毒: 关于 logo1_.exe基本介绍: 病毒名称:worm@w32.looked 病毒别名:virus.win32.delf.62976 [kaspersky], w32/hllp.philis.j [mcafee],w32.looked [symantec]        net-worm.win32.zorin.a 病毒型态:worm (网络蠕虫) 病毒发现日期:2004/12/20 影响平台:windows 95/98/me , windows nt/2000/xp/2003 风险评估:散播程度:中;破坏程度:中. 主要症状: 1、占用大量网速,使机器使用变得极慢。 2、会捆绑所有的exe文件,只要一运用应用程序,在winnt下的logo1.exe图标就会相应变成应用程序图标。 3、有时还会时而不时地弹出一些程序框,有时候应用程序一起动就出错,有时候起动了就被强行退出。 4、网吧中只感梁win2k pro版,server版及xp系统都不感染。 5、能绕过所有的还原软件。 详细技术信息: 病毒运行后,在%windir%生成 logo1_.exe 同时会在windws根目录生成一个名为virdll.dll的文件。 %windir%virdll.dll 该蠕虫会在系统注册表中生成如下键值: [hkey_local_machinesoftwaresoftdownloadwww] auto = 1 盗取密码 病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码,将游戏密码发送到该木马病毒的植入者手中。阻止以下杀毒软件的运行病毒试图终止包含下列进程的运行,这些多为杀毒软件的进程。 包括卡八斯基,金山公司的毒霸。瑞星等。98%的杀毒软件运行。国产软件在中毒后都被病毒杀死,是病毒杀掉-杀毒软件。如金山,瑞星等。哪些软件可以认出病毒。但是认出后不久就阵亡了。通过写入文本信息改变%system%driversetchosts 文件。这就意味着,当受感染的计算机浏览许多站点时(包括众多反病毒站点),浏览器就会重定向到66.197.186.149。 病毒感染运行windows操作系统的计算机,并且通过开放的网络资源传播。一旦安装,蠕虫将会感染受感染计算机中的.exe文件。该蠕虫是一个大小为82k的windows pe可执行文件。通过本地网络传播该蠕虫会将自己复制到下面网络资源: admin$ ipc$ 症状: 蠕虫会感染所有.exe的文件。但是,它不会感染路径中包含下列字符串的文件: program files common files complus applicati documents and settings netmeeting outlook express recycled system system volume information system32 windows windows media player windows nt windowsupdate winnt 蠕虫会从内存中删除下面列出的进程: eghost.exe iparmor.exe kavpfw.exe kwatchui.exe mailmon.exe ravmon.exe z 网吧遭此病毒破坏造成大面积的卡机,瘫痪。危害程度可以和世界排名前十的爱情后门变种相比。该病毒可以通过网络传播,传播周期为3分钟。如果是新做的系统处于中了毒的网络环境内,只要那个机器一上网,3分钟内必定中招。中招后你安装 rising skynet symantec mcafee gate rfw.exe ravmon.exe  kill nav 等杀毒软件 都无法补救你的系统,病毒文件 logo1_.exe 为主体病毒,他自动生成病毒发作所需要的的 sws32.dll sws.dlll kill.exe 等文件。这些文件一但衍生。他将迅速感染系统内explore 等系统核心进程 及所以.exe的可执行文件,外观典型表现症状为 传奇 ,泡泡堂,等游戏图标变色。 此时系统资源可用率极低,你每重新启动一次,病毒就会发作一次。该病毒对于防范意识较弱,还原软件未能及时装到位的网吧十分致命,其网络传播速度十分快捷有效。旧版的杀毒软件无法检测,新版的无法彻底根杀。一但网吧内某台机器中了此病毒,那么该网吧所有未中毒的机器都处于危险状态。由于病毒发作贮留于内存。且通过explore.exe 进行传播。因此即使是装了还原精灵,还原卡的机器也同样会被感染。你重新启动后系统可以还原。但是你一但开机还是会被感染。 病毒发作会生成另外病毒 pwsteal.lemir.gen 和 trojan.psw.lineage 等等。都是些非常厉害的后门程序。和外挂病毒相似,但是其威力是外挂病毒的50倍以上。在win98平台下,改病毒威害比较小。在win2000 /xp/2003 平台对于网吧系统是致命的。运行系统极度卡机。你重新启动后你会发现你所有游戏的.exe 程序全部都感染了最新杀毒软件杀完后。除了系统可以勉强运行。其他的你也别想运行了。 病毒清理办法: 如果在病毒没有发作情况下杀毒是可以完全搞定的。如果发作了也不要杀毒了。直接克盘恢复吧。 一、找到注册表中[hkey_local_machinesoftwaresoftdownloadwww] auto = 1 删除downloadwww主键 二、找到 [hkey_local_machinesoftwaremicrosoftwindows ntcurrentversioninifilemappingsystem.iniboot] winlogo 项,把winlogo 项 后面的c:winntsws32.dll 删掉,接下来把hkey_local_machine]software/microsoft/windows/currentversi 键中 /runonce/runonceex 两个中其中有个是也是 c:winntsws32.dll 把类似以上的全部删掉 注意不要删除默认的键值(删了的话后果自负) 如果没有以上键值,则直接跳过此步骤 三 结束进程 按“ctrl+alt+del”键弹出任务管理器,找到logo1_.exe 等进程,结束进程,可以借助绿鹰的进程管理软件处理更方便。找到expl0rer.exe进程(注意第5个字母是数字0不是字母o),找到它后选中它并点击“结束进程” 以结束掉(如果expl0rer.exe进程再次运行起来需要重做这一步)。 四 装杀毒软件 装完后不要重新启动(切记)直接升级病毒库,升级完后,把c:winnt 目录下所有带毒文件删除。然后运行杀毒软件开始杀毒。杀完后。还有几个杀毒软件无法删掉的东西要把名字记下来。因为不同的系统有不同的名字。所以这里说不清楚了。自己记下来。,重新启动后再次杀毒。记的把可疑的进程的结束。否则杀毒软件无法干净杀毒。还有最重要的一点记的把杀毒软件无法清除的病毒设置为删除文件。一般要重复杀毒3-5次才能杀干净。 五 看看杀毒后的系统。 缺少的了很多系统文件。系统处于危险状态。如果你有ghost 备份。这个时候恢复一下。系统可以干净无损。如果没有请运行 sfc 命令检查文件系统。具体操作为 运行-输入cmd 命令进入dos 提示符。-输入sfc /scannow -- 提示放入系统光盘。--放进去吧。然后慢慢等。看看成果。杀毒效果显著。毒杀干净了。但是杀完毒后很多游戏都玩不了。忙了一圈都不知道自己在忙什么。 郁闷吧。然后重新做系统吧。谁叫中毒的是网吧的系统杀毒及重装系统后的防范。有些网友在处理病毒的时候可能有这样的感觉好不容易清除了,或者没办法重新装了系统,但是没多长时间有中了同样的病毒,所以说有免疫程序实最好的了。 下面就将免疫程序公布如下,供网友们下载使用: 建议做系统的时候把默认共享关闭。关闭ipc$ admin$ 关闭554 关闭icmp路由。给administrator 组所有成员设置密码。最好数字加英文 下载地址可以到http://www.e169.net的软件下载中去找找,你可以直接通过下面的网址下载: http://www.e169.net/softdown/list.asp?id=151 文件说明下载解压后有3个文件dellogo.bat放在winnt目录下,98的用户放到windows目录下delshare.bat放到开始菜单--程序---启动项中,目的能让计算机启动后就删除默认共享,从而阻止病毒对外传播和再次感染的桥梁。ljl.reg下载后直接运行这个文件,提示,信息导入注册表后,说明写入注册表成功,目的是让计算机重新启动后能立刻删除病毒主题文件logo1_.exe文件。要注意的实这个注册表导入文件是针对win2000系统的,如果您是其他的操作系统,请参考修改一下就可以。 以上操作只是阻断传播,如果怕在使用中感染此病毒,您还需要按照如下操作,这样即使病毒感染,也不能运行主体病毒程序。当然这里说的操作实针对win2000系统的,其他的系统可以参考操作: 运行 gpedit.msc 打开组策略 依次单击用户配置- 管理模块- 系统-指定不给windows运行的程序点启用 然后 点显示 添加 logo1_exe 也就是病毒的源文件 。
Top
  wd_6532(胜败有常) ( ) 信誉:100    Blog 2006-9-14 15:41:59 得分: 0
 
 
 
如果是病毒,用诺顿试试。 如果是流氓软件,用安全卫士360试试。
Top
  myminimouse() ( ) 信誉:100    Blog 2006-9-14 16:40:43 得分: 0
 
 
 
ghost一下很快的
Top
  ronaldo1983(打光棍的和尚) ( ) 信誉:100    Blog 2006-9-14 17:14:54 得分: 0
 
 
 
现在用趋势更新到最新 可以杀掉 但是 所有杀过毒的EXE文件都会损坏了 程序都没法用 用卡巴的话 是不是就不会损坏掉EXE文件了?
Top
  sun5(壮志骄阳) ( ) 信誉:100    Blog 2006-9-14 17:40:08 得分: 0
 
 
 
最新的卡巴不能修复,只能删除或隔离。
Top
  sun5(壮志骄阳) ( ) 信誉:100    Blog 2006-9-14 17:42:10 得分: 0
 
 
 
咱们都是可怜人,呵呵。我今天也重装系统。用卡巴杀了一天的毒。忍痛把所有的感染文件都删除了。重要的只能慢慢到网站去找了。不知道用麦咖啡会不会好些?
Top
  odin223() ( ) 信誉:100    Blog 2006-9-14 17:53:59 得分: 0
 
 
 
麦咖啡也修复不了...
Top
  xiaojun19830916() ( ) 信誉:100    Blog 2006-9-14 17:57:21 得分: 0
 
 
 
up
Top
  lexchou(龍子龍孫)(本人已死)(有事烧纸) ( ) 信誉:100    Blog 2006-9-14 18:29:59 得分: 0
 
 
 
http://games.mblogger.cn/lex/posts/6967.aspx 我以前写的一篇对通用病毒免疫的方法
Top
  BrightDawn() ( ) 信誉:100    Blog 2006-9-14 19:46:32 得分: 0
 
 
 
最重要的要用专门的进程工具封杀winlogon这个进程,推荐使用icesword,windows自带的进程管理杀不了的,注意不要杀错了,有一个是系统进程,要杀的应该是administrator进程。 电脑里要是没啥重要东西还是格盘重装,这个比较快 阿
Top
  wcj86009(不懂就问) ( ) 信誉:100    Blog 2006-9-14 20:01:16 得分: 0
 
 
 
jf
Top
  wucuilan827() ( ) 信誉:100    Blog 2006-9-14 20:05:22 得分: 0
 
 
 
up
Top
  wcj86009(不懂就问) ( ) 信誉:100    Blog 2006-9-14 20:07:38 得分: 0
 
 
 
Top
  jndxk(小恩) ( ) 信誉:100    Blog 2006-9-14 20:25:43 得分: 0
 
 
 
mark
Top
  and007() ( ) 信誉:100    Blog 2006-9-14 21:03:57 得分: 0
 
 
 
麻烦呀,重装吧
Top
  ModoRang(天知道?不知道!) ( ) 信誉:100    Blog 2006-9-14 21:13:49 得分: 0
 
 
 
remark
Top
  long_ltoy() ( ) 信誉:100    Blog 2006-9-14 21:40:44 得分: 0
 
 
 
没前几贴哪么麻烦,临时解决办法是先把进程结束了,在windows目录下面新建两个和logo1_.exe与rundl132.exe同名的文件夹,设属性为只读和隐藏就可以了,当然原来的病毒文件要先删掉. 然后去下面下载专杀工具: http://it.rising.com.cn/service/technology/RavVikiing.htm 进安全模式,杀吧. 杀完后,检查查杀结果,看看查出的文件是不是全部清除了,如果还有几个为"无法清除"状态 就看看这几个是什么文件,如果不是什么重要文件,就手工删掉. 然后再进入系统,所有文件的图标都正常了,病毒死光. 以上是我刚经历过的方法.没有照搬网上 ---------------------------------------------------------- 我前天刚中了这个病毒.用临时方法解决了,但图标没有全恢复过来. 昨天又中了灰鸽子,于是重装了系统 发现重装系统后viking病毒还在!!强吧. 不过安全模式用专杀杀一下就可以了.
Top
  danhoo(孤单一个人) ( ) 信誉:100    Blog 2006-9-14 21:54:19 得分: 0
 
 
 
symantec 9.0 企业版 + 9月10日左右的病毒库即可完美解决,所有被感染的exe文件都可以恢复,相信我我也是受害者.
Top
  hyqer(heyiqing) ( ) 信誉:100    Blog 2006-9-14 23:23:53 得分: 0
 
 
 
360safe能杀的
Top
  universee(吾乃太极语言之父) ( ) 信誉:100    Blog 2006-9-14 23:53:05 得分: 0
 
 
 
o
Top
  lionelwy(顺) ( ) 信誉:100    Blog 2006-9-15 9:00:02 得分: 0
 
 
 
安全卫士360
Top
  zmzbs123(小阵阵) ( ) 信誉:100    Blog 2006-9-15 9:09:46 得分: 0
 
 
 
昨天晚上我用诺顿在安全模式下杀的,不知道今天怎么样,555
Top
  bingbingcha(不思不归,不孟不E,原来是头大灰狼) ( ) 信誉:100    Blog 2006-9-15 9:13:00 得分: 0
 
 
 
这个病毒比较麻烦的.修改的地方确实很多..杀毒软件没什么作用.需要手工查杀...我以前也是花了2个小时左右才杀完的.. 简单的办法:就是查看rundl132.exe这个垃圾的创建日期和修改日期..然后所有和这个日期相同的全部删除,并且清理包含这些文件键/值的注册表项... 然后再检查你的SystemRoot/Program Files/Internet Explorer/目录下的Connection Wizard和PLUGINS文件夹内的以及根目录下的垃圾...全部删除就好了.. 最后就是修复一下exe,inf文件关联,修复那些被禁止了的服务..例如瑞星就是依靠Rising Process Communication Center这个服务的...但是病毒禁止了该服务..所以如果杀毒后,某些软件有问题,可以单独恢复一下.. 另外,如果可以的话,麻烦你把病毒发给我一份..我想做个专杀工具..因为手工清理起来太麻烦.. 给我发个短信,我把邮箱地址告诉你..
Top
  cf981231(高兴) ( ) 信誉:100    Blog 2006-9-15 9:44:42 得分: 0
 
 
 
有个简单的方法,就是打开"服务"程序,把疑似病毒的服务停止. 再运行 msconfig 选择服务一栏,点选"隐藏所有microsoft服务",把所有疑似病毒的服务都把打勾去掉. 再选择启动一栏,也是把所有的疑拟病毒程序去把打勾去掉. 再在进程中把疑拟病毒程序中止掉. 再重启就应该OK
Top
  cncanvas() ( ) 信誉:100    Blog 2006-9-15 10:36:09 得分: 0
 
 
 
典型的viking病毒的症状. 首先viking病毒的所有发作症状就不必再罗列了。 介绍下自己的解决办法吧。。未必是最好的。。但到目前为止系统运行正常。 1.运行windows update把系统的补丁打上. 2.修改你登录系统时的密码,如果没猜错的话.你在登录系统时没有设置密码.viking病毒正是利用了这一特征.设置密码虽然在每次登录系统时麻烦了点,但必竟比病毒发作要强不少了,很多人都是因为这一点中了viking病毒的,俺自己也不例外. 3.删除所有已经被感染过的exe文件:图标已经变花的exe文件就是被感染的文件. 4.在安全模式下删除病毒文件:包括rundl132.exe和logo1_.exe;还有另外的病毒生成文件_desktop.ini(隐藏文件,大小为10个字节左右,内容格式如2006/9/12) 5.如果还觉得不放心的话,安装瑞星,然后用瑞星的漏洞扫描程序再把系统补丁打全. 重新启动机器基本上就没有问题了。
Top
  cncanvas() ( ) 信誉:100    Blog 2006-9-15 10:39:54 得分: 0
 
 
 
补充一下: 第4条里可能还需要删除的文件有:vdll.dll和1.txt和0Sy.exe和1Sy.exe和2Sy.exe,如果机器里有这几个文件的话,当然都是在安全模式下.
Top
  mimixxx(~游荡的老妖~) ( ) 信誉:100    Blog 2006-9-15 10:46:17 得分: 0
 
 
 
mark
Top
  huangheng1983(绿茶) ( ) 信誉:100    Blog 2006-9-15 11:12:22 得分: 0
 
 
 
唉,我的机子也中标了啊!。。。。。。。
Top
  fanze2003(孤独的狼) ( ) 信誉:100    Blog 2006-9-15 11:29:28 得分: 0
 
 
 
用最新版的江民或者咔吧 这个病毒挺厉害的 该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒,病毒运行后将自身伪装成系统正常文件,以迷惑用户,通过修改注册表项使病毒开机时可以自动运行,同时病毒通过线程注入技术绕过防火墙的监视,连接到病毒作者指定的网站下载特定的木马或其它病毒,同时病毒运行后枚举内网的所有可用共享,并尝试通过弱口令方式连接感染目标计算机。 运行过程过感染用户机器上的可执行文件,造成用户机器运行速度变慢,破坏用户机器的可执行文件,给用户安全性构成危害。 病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。 1、病毒运行后将自身复制到Windows文件夹下,文件名为: %SystemRoot%/rundl132.exe 2、运行被感染的文件后,病毒将病毒体复制到为以下文件: %SystemRoot%/logo_1.exe 3、同时病毒会在病毒文件夹下生成: 病毒目录/vdll.dll 4、病毒从Z盘开始向前搜索所有可用分区中的exe文件,然后感染所有大小27kb-10mb的可执行文件,感染完毕在被感染的文件夹中生成: _desktop.ini (文件属性:系统、隐藏。) 5、病毒会尝试修改%SysRoot%/system32/drivers/etc/hosts文件。 6、病毒通过添加如下注册表项实现病毒开机自动运行: [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run] "load"="C://WINNT//rundl132.exe" [HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows] "load"="C://WINNT//rundl132.exe" 7、病毒运行时尝试查找窗体名为:"RavMonClass"的程序,查找到窗体后发送消息关闭该程序。 8、枚举以下杀毒软件进程名,查找到后终止其进程: Ravmon.exe Eghost.exe Mailmon.exe KAVPFW.EXE IPARMOR.EXE Ravmond.exe 9、同时病毒尝试利用以下命令终止相关杀病毒软件: net stop "Kingsoft AntiVirus Service" 10、发送ICMP探测数据"Hello,World",判断网络状态,网络可用时, 枚举内网所有共享主机,并尝试用弱口令连接//IPC$、/admin$等共享目录,连接成功后进行网络感染。 11、感染用户机器上的exe文件,但不感染以下文件夹中的文件: system system32 windows Documents and settings system Volume Information Recycled winnt Program Files Windows NT WindowsUpdate Windows Media Player Outlook Express Internet Explorer ComPlus Applications NetMeeting Common Files Messenger Microsoft Office InstallShield Installation Information MSN Microsoft Frontpage Movie Maker MSN Gaming Zone 12、枚举系统进程,尝试将病毒dll(vdll.dll)选择性注入以下进程名对应的进程: Explorer Iexplore 找到符合条件的进程后随机注入以上两个进程中的其中一个。 13、当外网可用时,被注入的dll文件尝试连接以下网站下载并运行相关程序: http://www.17**.com/gua/zt.txt 保存为:c:/1.txt http://www.17**.com/gua/wow.txt 保存为:c:/1.txt http://www.17**.com/gua/mx.txt 保存为:c:/1.txt http://www.17**.com/gua/zt.exe 保存为:%SystemRoot%/0Sy.exe http://www.17**.com/gua/wow.exe 保存为:%SystemRoot%/1Sy.exe http://www.17**.com/gua/mx.exe 保存为:%SystemRoot%/2Sy.exe 注:三个程序都为木马程序 14、病毒会将下载后的"1.txt"的内容添加到以下相关注册表项: [HKEY_LOCAL_MACHINE/SOFTWARE/Soft/DownloadWWW] "auto"="1" [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows] "ver_down0"="[boot loader]+++++++++++++++++++++++" "ver_down1"="[boot loader] timeout=30 [operating systems] multi(0)disk(0)rdisk(0)partition(1)//WINDOWS=/"Microsoft Windows XP Professional/" " "ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)//WINDOWS [operating systems] multi(0)disk(0)rdisk(0)partition(1)//WINDOWS=/"Microsoft Windows XP Professional/" /" 转载! 目前没有好方法处理。
Top
  fanze2003(孤独的狼) ( ) 信誉:100    Blog 2006-9-15 11:30:41 得分: 0
 
 
 
前几天在C:/1.txt中记录的是3.3 现在的是4.4应该有变种或者升级了
Top
  hsydxs() ( ) 信誉:100    Blog 2006-9-15 11:54:12 得分: 0
 
 
 
怎么的 我的电脑昨晚就是中这个毒重装了系统 今天开机又有这个病毒啊 怎么搞的 我没打开什么网页啊 一般就上csdn 怎么办 还有就是我的IE插件很多啊 都是自动安装的 求救
Top
  hsydxs() ( ) 信誉:100    Blog 2006-9-15 11:56:12 得分: 0
 
 
 
会不会是这个网站有病毒 但是想想应该不会吧 呵呵 这个网站的人这么厉害应该不会中毒
Top
  hymxtang(长风—幻影) ( ) 信誉:100    Blog 2006-9-15 12:08:39 得分: 0
 
 
 
结束rundll32.exe这个进程 删除rundl132.exe和logo1_.exe
Top
  zzxing() ( ) 信誉:100    Blog 2006-9-15 12:39:24 得分: 0
 
 
 
hehe
Top
  hsydxs() ( ) 信誉:100    Blog 2006-9-15 12:43:07 得分: 0
 
 
 
怎么办啊 就是这两个病毒啊 删了 重启之后又有了 怎么办啊 各位老大
Top
  fenglinger47073(想成为A+) ( ) 信誉:100    Blog 2006-9-15 13:19:24 得分: 0
 
 
 
同病相怜。关注中……
Top
  hsydxs() ( ) 信誉:100    Blog 2006-9-15 13:27:16 得分: 0
 
 
 
怎么办啊?那么我有很多的exe的都变色了 难道没什么好的办法吗 那么全删了不是很#######
Top
  ronaldo1983(打光棍的和尚) ( ) 信誉:100    Blog 2006-9-15 13:58:32 得分: 0
 
 
 
病毒把除了系统盘以外的一些应用程序都感染了,重装过系统后只要运行那些程序就还会中毒. 重装前应先把.EXE的都删掉,再重新装,然后再用光盘上的或者DOWN新的安装程序,不能使用硬盘里以前的安装程序了.
Top
  slipsun(奋斗!直到我的名字响彻天堂...) ( ) 信誉:100    Blog 2006-9-15 14:24:00 得分: 0
 
 
 
Norton9 + 黄山 就可以搞定了。
Top
  ljj3004() ( ) 信誉:100    Blog 2006-9-15 15:07:17 得分: 0
 
 
 
mark
Top
  ttf345(345*别傻了) ( ) 信誉:100    Blog 2006-9-15 15:08:06 得分: 0
 
 
 
学习
Top
  wuhuiITren(今天我以CSDN为荣,明天CSDN以我为荣) ( ) 信誉:100    Blog 2006-9-15 15:08:55 得分: 0
 
 
 
学习,我最近也中了LOGO1。EXE
Top
  warlord(战神) ( ) 信誉:105    Blog 2006-9-15 15:32:56 得分: 0
 
 
 
9月2日我把病毒样本EMail给SyMantec,4日收到病毒新定义,搞定. 版本:企业版 8.1 所有.EXE文件全部修复.
Top
  ronaldo1983(打光棍的和尚) ( ) 信誉:100    Blog 2006-9-15 15:40:21 得分: 0
 
 
 
楼上的能说的具体点吗?我若是下破解的能不能行啊?
Top
  jkzzh() ( ) 信誉:100    Blog 2006-9-15 16:07:13 得分: 0
 
 
 
我的做法是: 1. 先自己建两个文件Logo1_.exe, rundl132.exe,替换C:/WINDOWS目录下的同名文件。 2. 重新启动后删除注册表里的启动项, 删除自己建立的那两个文件。 3. 重启 我是这么做的,貌似可以清除掉了。
Top
  cnlyli(牛头) ( ) 信誉:100    Blog 2006-9-15 16:17:40 得分: 0
 
 
 
学习
Top
  BurningM(Burning) ( ) 信誉:100    Blog 2006-9-15 16:17:50 得分: 0
 
 
 
前几周中了新的变种,特征是病毒一启动,除了生成logo_1.exe和rundll132.exe外,会下载大量的木马,生成的一个dll就叫dll.dll(其他的什么ztdll.dll也有时会产生),在IE目录下出现大量0sy.exe之类的病毒文件,还有大量的_desktop.ini.用卡巴斯基检测(瑞星和金山专杀无效)可以查出感染所有的setup.exe文件(其它exe文件基本不感染).另外这个病毒比较有趣,我先建了个logo_1.exe文件,结果病毒生成的新文件改个名字叫logo1_.exe...... 最头疼的是删除所有的病毒dll和感染的exe后,系统看起来是好了,但是在运行office文件时又会重新启动,甚至在进行rar文件解压缩时也会,似乎除了修改关联外,还劫持了windows文件管理器的右键菜单命令。
Top
  gotoitcn(gotoitcn) ( ) 信誉:100    Blog 2006-9-15 16:25:08 得分: 0
 
 
 
1 在安全模式下查找dll.dll,logo1_.exe,rundl132.exe 三个文件删除。然后在windows下建立同名的这三个文件的零字节文件,把这三个文件的安全访问删除,就是没有用户可以访问。 2 清除注册表的有这些文件的键值。 3 用杀毒软件进行全部杀毒,并删除所有的0*.log,*.dll 只是指windows目录下的,并且是在你中毒这段时间生成的。 4 将操作系统的补丁更新成最新的。 5 不要上不清楚的网站。 ok
Top
  zhangzumiao(梦里水香) ( ) 信誉:99    Blog 2006-9-15 16:26:19 得分: 0
 
 
 
Top
  hsydxs() ( ) 信誉:100    Blog 2006-9-15 18:06:09 得分: 0
 
 
 
好难搞定
Top
  THXK(THXK) ( ) 信誉:100    Blog 2006-9-15 18:55:32 得分: 0
 
 
 
WINRAR,FLASHGET,FOXMAIL,SETUP.EXE这些常用的软件都会被病毒破坏了,只有重装,瑞星的新版似乎杀不了
Top
  Radar2006(中华英雄) ( ) 信誉:100    Blog 2006-9-15 18:59:24 得分: 0
 
 
 
妈的,又从2003回到xp了
Top
  wcj86009(不懂就问) ( ) 信誉:100    Blog 2006-9-15 19:56:47 得分: 0
 
 
 
接分
Top
  san12655874(小三33) ( ) 信誉:100    Blog 2006-9-15 20:44:08 得分: 0
 
 
 
简单。。。
Top
  fenglinger47073(想成为A+) ( ) 信誉:100    Blog 2006-9-15 21:58:57 得分: 0
 
 
 
打光棍的和尚,我已经解决了这个问题。 1、先把杀毒软件升级到最新版; 2、进入安全模式手动删除RUNDL132.exe和LOGO1.exe文件; 3、安全模式下在安全模式里清除IE临时文件夹里的内容和COOKIES; 4、安全模式下用3721里强力恢复IE等那三四项的功能; 5、安全模式下用优化大师清除不要的文件和动态链接库; 6、安全模式下用反间谍专家查杀; 7、重启后OK~
Top
  lwp55535() ( ) 信誉:100    Blog 2006-09-16 08:42:00 得分: 0
 
 
 
Top

CSDN贴子: rundl132.exe和logo1_.exe病毒如何清除相关推荐

  1. 恢复被维金病毒感染的exe文件--我和病毒作斗争的3天

    我今天非常气愤,上一次机器中毒不知道是多久的事情了.这次这个该死的Logo1_.exe修改了我机器上所有分区的exe文件,我的大多数软件都没有装在C盘,而只有C盘做了ghost的镜像,所以心爱的软件们 ...

  2. 威金病毒、维金病毒、Viking、logo1_.exe专杀 vdll.dll、logo1_.exe、rundl132.exe、_desktop.ini、、0Sy.exe、图标变花...

    威金病毒.维金病毒.Viking.logo1_.exe专杀 vdll.dll.logo1_.exe.rundl132.exe._desktop.ini..0Sy.exe.图标变花 Windows目录下 ...

  3. rundl132.exe,logo1_.exe 病毒专杀工具

    重要提示:本人测试无效(测试时间:20061115) 最后做法:系统重新安装.再用瑞星杀毒工具 rundl132.exe,logo1_.exe 病毒专杀工具 中毒了,中毒了!rundll.exe ru ...

  4. 遭遇难缠的病毒群ntldr.exe和c0nime.exe等,可杀

    据当事人说中毒后就上不了网了,我没有确认.每个硬盘分区下都有 Autorun.inf和ntldr.exe,C:/Windows/System/目录 下有 c0nime.exe(那是数字0不是字母o)等 ...

  5. c0nima.exe,systemKb.sys,mppds.exe,c0nime.exe这些都是病毒产生的文件

    从昨天晚上开始,我的机子就中病毒了,这个病毒总体说来还是不叫仁慈的,没有什么破坏(对我而已),只是把我的瑞星监控给停止了,以及静音!其他的就是在c:/winnt下生成几个文件,下面是我求救时写的文章: ...

  6. 如何查html病毒svchost.exe,小编教你在Win7系统中检查svchost.exe进程是否为病毒的方法步骤...

    在win7系统中,有时候我们打开任务管理器会发现,里面有一个叫svchost.exe的进程,这是动态连接中运行的一种程序,它在系统中占一般居着很大一部分资源,因此这个进程也很容易携带病毒,那么我们如何 ...

  7. 假面exe新U盘病毒专杀发布中【一个正常被隐藏,还有一个是病毒T_X】

    当在下从家里神游回来的时候,著名反病毒人士天月MM,Annygi, 心潮澎湃,龙行江湖,byxxdrls等同学接到KSDA112789150 同学的SOS并发现了一个行为恶劣的新型U盘病毒.摆在反病毒 ...

  8. 掐住吃内存大虫的喉咙---find.exe和cmd.exe和Rar.exe病毒

    掐住吃内存大虫的喉咙 我们都听说过,贝多芬"掐住命运的喉咙"这句响亮而霸气的话语.最近,本想开始写日志的时候,一个"大虫"挡在我的前面--find.exe和cm ...

  9. python exe是什么_[Python] [转] python.exe和pythonw.exe的区别(区分.py、.pyw、.pyc文件)...

    Windows系统搭建好Python的环境后,进入Python的安装目录,大家会发现目录中有python.exe和pythonw.exe两个程序.如下图所示: 它们到底有什么区别和联系呢? 概括说明一 ...

最新文章

  1. Go语言环境搭建(Windows+Linux)
  2. 内存溢出和内存泄漏的定义,产生原因以及解决方法(面试经验总结)
  3. 程序员面试题精选100题(32)-不能被继承的类[C/C++/C#]
  4. mysql-binlog日志恢复数据库
  5. x-shell 通过堡垒机连接 ssh多个机器 自动化脚本
  6. Tcp三次握手和四次挥手状态图
  7. java中异常注意的细节1
  8. 一起谈.NET技术,编写T4模板无法避免的两个话题:quot;Assembly Lockingquot;amp;quot;Debugquot;...
  9. 物联网金融:下一个风口?
  10. html推箱子过关检测函数,HTML5推箱子实现
  11. Eplan教学视频合集-百度网盘-收集于网络,供参考
  12. 3dB短缝波导耦合器设计
  13. 项目管理知识体系指南学习(三)项目整合管理
  14. Android参考之代号、标签和版本号
  15. Linux中的stdout和stderr
  16. GZIP压缩和解压缩不删除原始文件
  17. 100个小学生猜字谜大全及答案
  18. 双非本硕,成功上岸大数据开发 !!!
  19. BAT互联网公司的程序员,应用程序架构思路,这些都懂?
  20. Android几行代码实现监听微信聊天

热门文章

  1. 2023最新全网素材解析网站工作原理,附带小例子。
  2. 窥一斑而知全豹,从五大厂商看MCU国产化的机遇和挑战
  3. 歌谣学前端之类笔记1
  4. 面经(三)武汉 山水光电
  5. 2022年武汉软件和信息服务企业资质补贴通知
  6. win10与fedora双系统,删除fedora。
  7. (转)Neithernbsp;usernbsp;10027…
  8. delphi updown控件的使用
  9. 管道(pipe)原理。
  10. 计算机类实用新型专利,计算机机箱小物件类职称用实用新型专利办理评职称专...