关于 Logo1_.exe病毒解决方案及免疫补丁的制作！

下下雪

关于 Logo1_.exe（W32/HLLP.Philis.g  trojan.pwsteal.gen ） 病毒解决方案及免疫补丁的制作！！！！
W32/HLLP.Philis.g 病毒，最近发作比较平繁。造成好多朋友网吧遭此病毒破坏造成大面积的卡机，瘫痪。我查遍了好多病毒，和自己收集的病毒样本做了比较，发现此病毒极度变态。危害程度可以和世界排名前十的爱情后门变种相比。该病毒可以通过网络传播，传播周期为3分钟。如果是新做的系统处于中了毒的网络环境内，只要那个机器一上网，3分钟内必定中招。中招后

你安装　rising SkyNet Symantec McAfee Gate Rfw.exe RavMon.exe 　kill  NAV 等杀毒软件 都无法补救你的系统，病毒文件 Logo1_.exe 为主体病毒，他自动生成病毒发作所需要的的 SWS32.DLL SWS.DLLL KILL.EXE 等文件。这些文件一但衍生。他将迅速感染系统内EXPLORE  等系统核心进程 及所以.exe  的可执行文件，外观典型表现症状为 传奇 ，泡泡堂，等游戏图标变色。 此时系统资源可用率极低，你每重新启动一次，病毒就会发作一次，重新启动5次后系统基本崩溃。
     该病毒对于防范意识较弱，还原软件未能及时装到位的网吧十分致命，其网络传播速度十分快捷有效。旧版的杀毒软件无法检测，新版的无法彻底根杀。一但网吧内某台机器中了此病毒，那么该网吧所有未中毒的机器都处于危险状态。由于病毒发作贮留于内存。且通过EXPLORE.exe 进行传播。因此即使是装了还原精灵，还原卡的机器也同样会被感染。你重新启动后系统可以还原。但是你一但开机还是会被感染。

logo1_.exe( W32/HLLP.Philis.g) 病毒发作会生成另外几中病毒 PWSteal.Lemir.Gen 和 trojan.psw.lineage 等等。都是些非常厉害的后门程序。和外挂病毒相似，但是其威力是外挂病毒的50倍以上。在WIN98平台下，改病毒威害比较小。在WIN2000 /XP/2003 平台对于网吧系统是致命的

关于此病毒的技术报告如下
  病毒名称：W32/HLLP.Philis.g 或者 （用著名杀毒软件麦咖啡（MACFEE ）检测结果，其他杀毒软件检测为  trojan类木马

　　病毒类型：木马程序
　　病毒长度：随机的
　　受影响的系统：Windows /98/NT/2000/XP/2003
　　病毒特征：
      假如你手动运行logo1_.exe 你的系统就GAMEOVER了。运行系统极度卡机。你重新启动后你会发现你所有游戏的.EXE 程序全部都感染了。用

最新杀毒软件杀完后。除了系统可以勉强运行。其他的你也别想运行了。

   1  病毒体 C:\winnt 目录下logo1_.exe 。KILL.EXE sws32.dll 等文件是病毒发作后的文件。　　2、生成病毒文件
　　病毒运行后，在c:\winnt 下自己拷贝生成病毒文件，文件的名称是可变，根据不同的变种相应有不同的名称。好像一共有5个文件。其中

由3个是.exe 2 个是.DLL 文件。其中有KILL.EXE 等。具体的记不大清楚了。

　　3、修改注册表

　　病毒对注册表进行修改，在 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot]
   winlogo 项和

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和   
[HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/中添加键值=%System%（其中，和为可变的），使得在  下次系统启动时，病毒可随之自动运行。

　　4、盗取密码
　　病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码，将游戏密码发送到该木马病毒的植入者手中。
　　5、阻止以下杀毒软件的运行
　　病毒试图终止包含下列进程的运行，这些多为杀毒软件的进程。 包括卡八斯基，金山公司的毒霸。瑞星等。98%的杀毒软件运行。
   国产软件在中毒后都被病毒杀死，是病毒杀掉-杀毒软件。如金山，瑞星等。哪些软件可以认出病毒。但是认出后不久就阵亡了。。本人一 直都支持国产，但是在电脑和手机方面就没办法支持了。郁闷    中~~~
   
   进程如下 ：
　　   rising
　　SkyNet
　　Symantec
　　McAfee
   　Gate
   　Rfw.exe
　　RavMon.exe
　　kill
　　NAV
      KAV


LAST 最后说一下解决方案 都是本人个人经验 有不足之处还请各位多多补充。
先下载好你认为比较好的杀毒软件。此时不要安装。就是安装了也是白安装。所有软件安装后很快就被感染。这里不推荐使用金山，瑞星，江明，SPANT 等。推荐使用卡八斯基5.0版 和我最喜欢的麦咖啡杀毒软件。
     请先去把系统设置为“显示隐藏文件”，因为病毒以隐藏属性伪装，不做此设置将无法看到它，设置的方法如下
     打开“我的电脑”；
     依次打开菜单“工具/文件夹选项”；
     然后在弹出的“文件夹选项”对话框中切换到“查看”页；
     去掉“隐藏受保护的操作系统文件(推荐)”前面的对钩，让它变为不选状态；
     在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项；
     去掉“隐藏已知文件类型的扩展名”前面的对钩，也让它变为不选状态；
     最后点击“确定”。

二、修改注册表

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot]winlogo 项
把WINLOGO 项 后面的C:\WINNT\SWS32.DLL 干掉（就是删掉的意思^_^)
接下来把HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/Run 键中  /RunOnce/RunOnceEx  两个中其中有个是也是
C:\WINNT\SWS32.dll
把类似以上的全部删掉 注意不要删除默认的键值（删了的话后果自负）


三  结束进程
按“Ctrl+Alt+Del”键弹出任务管理器，找到SWS32 进程，名字记不大清楚了，反正看到最多的进程就杀杀杀！！！！还有几个很少看到的进程。什么AUS***之类的都干掉他。找到EXPL0RER.EXE进程（注意第5个字母是数字0不是字母O），找到它后选中它并点击“结束进程”以结束掉木马进程。然后迅速做下面一步，只所以要迅速是因为如果动作慢的话，木马可能会自动恢复而再次运行起来，这样就无法删除掉其他木马文件了（如果EXPL0RER.EXE进程再次运行起来需要重做这一步）。

四 装杀毒软件
装完后不要重新启动（切记）直接升级病毒库，升级完后，把C:\winnt  目录下所有带毒文件删除。然后运行杀毒软件开始杀毒。
杀完后。还有几个杀毒软件无法删掉的东西要把名字记下来。因为不同的系统有不同的名字。所以这里说不清楚了。自己记下来。
重新启动后再次杀毒。记的把可疑的进程的结束。否则杀毒软件无法干净杀毒。还有最重要的一点记的把杀毒软件无法清除的病毒设置为删除文件。一般要重复杀毒3-5次才能杀干净。

五。看看杀毒后的系统。

缺少的了很多系统文件。系统处于危险状态。如果你有GHOST 备份。这个时候恢复一下。系统可以干净无损。如果没有请运行 SFC 命令检查文件系统。具体操作为 运行-输入CMD 命令进入DOS 提示符。-输入SFC /scannow --  提示放入系统光盘。--放进去吧。然后慢慢等。
看看成果。杀毒效果显著。毒杀干净了。但是杀完毒后很多游戏都玩不了。忙了一圈都不知道自己在忙什么。郁闷吧。然后重新做系统吧。谁叫中毒的是网吧的系统。
PS：如果在病毒没有发作情况下杀毒是可以完全搞定的。如果发作了也不要杀毒了。直接克盘恢复吧。

在短短的28小时内我接到3个网吧老板的电话。。。。。。。。做技术员真命苦。。。。。。

这是本人第一次写这么长的资料。也是忙碌1年半后潜水1年半后。重新的回到技术员的身份（以前我经常发招聘的帖。不过PS哦我不是老板，招人都是帮朋友招的。我还是网管是大家的同行和朋友）。爱情后门，爱情后门变种。FUNLOVE 变种等病毒曾经把我朋友弄的网吧一度处于停业状态。写此文的目的就是希望大家同行群策群力做好预防工作。最好能够自己写出个免疫补丁。希望所有人的技术都在进步~~~~网星祝福所有网管兄弟天天开心。

PS：做系统的时候把默认共享关闭。关闭IPC$ ADMIN$ 关闭554 关闭ICMP路由。给ADMINISTRATOR 组所有成员设置密码。最好数字加英文（爱情后门病毒可以**简单的密码而进行大规模的快速传播）。 关闭了这些服务加上杀毒软件。LOGO1.exe 基本上拿你没折了。但是如果是批量克盘 建议客户机不要使用卡八等杀毒软件。克盘时网线拔掉，克好盘要迅速装好还原精灵 。为什么要迅速，不用我说了吧。
辛辛苦苦写的手都酸了。。天不知觉的也亮起来了。。。。转贴时希望大家珍惜我的劳动成果。经过一段时间的观察，我找到了可以改病毒的免疫补丁（只适用于没有感染该病毒或者已经感染该病毒但是没有发作的机器）其实很简单只要每次开机删除病毒体文件 LOGO1_1.exe  那么即使感染了该病毒的机器也可以救回来。用这个方法本人救活了2家网吧180台机器。目前为止情况正常。

LOGO1_.exe 免疫补丁制作如下：
1 编写批处理文件。开机自动删除logo1_.exe 作用是即使中了该病毒，由于开机后自动删除该病毒。那么该病毒永远无法发作。
批处理文件内容如下：
     del c:\winnt\logo1_.exe (就这一行。先保存为记事本，然后保存为.bat的批处理文件。

2 设置改批处理开机自动运行。
修改注册表 加入以下项

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"auto"="E:\\网络游戏\\auto.bat"  

把上端文本保存为 .REG  文件。然后导入注册表。{ E:\\网络游戏\\auto.bat } 该路径为你刚刚编写批处理所在的目录。很重要。

好了到此为止你可以安心睡觉去了。。不用再怕那可恶的LOGO1_.exe  了。。

本人再次强调一点。如果该病毒已经在你电脑里发作了。那么还是不要去救了。。直接重新克盘吧。
如果没有发作。那么用上面方法可以救活你的电脑。判断依据是 看看网络游戏图标有没有变色。还有
c:\winnt 目录下有没有KILL.exe sws.dll sws32.dll 文件。

spc_cll

我前段时间就是中的该病毒，它在系统目录（c:\winnt\)下生成文件logo_.exe
及c:\winnt\uninstall\rundll32.exe, 病毒体大小为62919字节（被感染的文件大小就是原文件字节数+62919），把自己添加到了自启动里。

当时为了恢复被感染的程序文件（大于62919字节,且图标变成了DOS程序图标的那些
执行文件99%以上都被感染了)，首先手工清除了内存中的病毒(现在穷了，没装杀毒软件)，
然后安装了个虚拟Windows98系统，在虚拟98里运行把些被感染的文件，病毒居然自动将程序还原了，(真的幸运.),接着继续在虚拟98里把所有的被感染的文件都点了一下，还原了所有的文件.