Logo1_.exe 木马/病毒的清除和免疫

关于 Logo1_.exe（W32/HLLP.Philis.g  trojan.pwsteal.gen ） 病毒解决方案及免疫补丁的制作！
W32/HLLP.Philis.g 病毒，最近发作比较平繁。造成好多朋友网吧遭此病毒破坏造成大面积的卡机，瘫痪。我查遍了好多病毒，和自己收集的病毒样本做了比较，发现此病毒极度变态。危害程度可以和世界排名前十的爱情后门变种相比。该病毒可以通过网络传播，传播周期为3分钟。如果是新做的系统处于中了毒的网络环境内，只要那个机器一上网，3分钟内必定中招。中招后
你安装　rising SkyNet Symantec McAfee Gate Rfw.exe RavMon.exe 　kill  NAV 等杀毒软件 都无法补救你的系统，病毒文件 Logo1_.exe 为主体病毒，他自动生成病毒发作所需要的的 SWS32.DLL SWS.DLLL KILL.EXE 等文件。这些文件一但衍生。他将迅速感染系统内EXPLORE  等系统核心进程 及所以.exe  的可执行文件，外观典型表现症状为 传奇 ，泡泡堂，等游戏图标变色。 此时系统资源可用率极低，你每重新启动一次，病毒就会发作一次，重新启动5次后系统基本崩溃。
     该病毒对于防范意识较弱，还原软件未能及时装到位的网吧十分致命，其网络传播速度十分快捷有效。旧版的杀毒软件无法检测，新版的无法彻底根杀。一但网吧内某台机器中了此病毒，那么该网吧所有未中毒的机器都处于危险状态。由于病毒发作贮留于内存。且通过EXPLORE.exe 进行传播。因此即使是装了还原精灵，还原卡的机器也同样会被感染。你重新启动后系统可以还原。但是你一但开机还是会被感染。
logo1_.exe( W32/HLLP.Philis.g) 病毒发作会生成另外几中病毒 PWSteal.Lemir.Gen 和 trojan.psw.lineage 等等。都是些非常厉害的后门程序。和外挂病毒相似，但是其威力是外挂病毒的50倍以上。在WIN98平台下，改病毒威害比较小。在WIN2000 /XP/2003 平台对于网吧系统是致命的
关于此病毒的技术报告如下
  病毒名称：W32/HLLP.Philis.g 或者 （用著名杀毒软件麦咖啡（MACFEE ）检测结果，其他杀毒软件检测为  trojan类木马
　　病毒类型：木马程序
　　病毒长度：随机的
　　受影响的系统：Windows /98/NT/2000/XP/2003
　　病毒特征：
      假如你手动运行logo1_.exe 你的系统就GAMEOVER了。运行系统极度卡机。你重新启动后你会发现你所有游戏的.EXE 程序全部都感染了。用
最新杀毒软件杀完后。除了系统可以勉强运行。其他的你也别想运行了。
   1  病毒体 
     %WINDIR%目录下logo1_.exe 。KILL.EXE sws32.dll 等文件是病毒发作后的文件。
  2、生成病毒文件
    病毒运行后，在%WINDIR%下自己拷贝生成病毒文件，文件的名称是可变，根据不同的变种相应有不同的名称。好像一共有5个文件。其中3个是.exe 2 个是.DLL 文件。其中有KILL.EXE,%WINDIR%/RUNDL132.DLL,%WINDIR%/COMMAND/RUNDL132.EXE 等。具体的记不大清楚了。
  3、修改注册表
　　病毒对注册表进行修改，在 [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/IniFileMapping/system.ini/boot]
   winlogo 项和
　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和  
[HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/中添加键值=%System%（其中，和为可变的），使得在  下次系统启动时，病毒可随之自动运行。
　　4、盗取密码
　　病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码，将游戏密码发送到该木马病毒的植入者手中。
　　5、阻止以下杀毒软件的运行
　　病毒试图终止包含下列进程的运行，这些多为杀毒软件的进程。 包括卡八斯基，金山公司的毒霸。瑞星等。98%的杀毒软件运行。
   国产软件在中毒后都被病毒杀死，是病毒杀掉-杀毒软件。如金山，瑞星等。哪些软件可以认出病毒。但是认出后不久就阵亡了。
   进程如下 ：
　　   rising
　　SkyNet
　　Symantec
　　McAfee
   　Gate
   　Rfw.exe
　　RavMon.exe
　　kill
　　NAV
      KAV 
最后说一下解决方案 
     请先去把系统设置为“显示隐藏文件”，因为病毒以隐藏属性伪装，不做此设置将无法看到它，设置的方法如下打开“我的电脑”—— 依次打开菜单“工具/文件夹选项”；
     然后在弹出的“文件夹选项”对话框中切换到“查看”页；
     去掉“隐藏受保护的操作系统文件(推荐)”前面的对钩，让它变为不选状态；
     在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项；
     去掉“隐藏已知文件类型的扩展名”前面的对钩，也让它变为不选状态；
     最后点击“确定”。
二、修改注册表
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/IniFileMapping/system.ini/boot]winlogo 项
把WINLOGO 项 后面的C:/WINNT/SWS32.DLL 干掉（就是删掉的意思^_^)
接下来把HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/Run 键中  /RunOnce/RunOnceEx  两个中其中有个是也是
C:/WINNT/SWS32.dll
把类似以上的全部删掉 注意不要删除默认的键值（删了的话后果自负）
三  结束进程
按“Ctrl+Alt+Del”键弹出任务管理器，找到SWS32 进程，名字记不大清楚了，反正看到最多的进程就杀杀杀！！！！找到EXPL0RER.EXE进程（注意第5个字母是数字0不是字母O），找到它后选中它并点击“结束进程”以结束掉木马进程。然后迅速做下面一步，只所以要迅速是因为如果动作慢的话，木马可能会自动恢复而再次运行起来，这样就无法删除掉其他木马文件了（如果EXPL0RER.EXE进程再次运行起来需要重做这一步），然后是RUNDL132.DLL，注意是132不是L32，再就是LOGO1_.EXE。结束后不要再启动任何程序。
四、目前所有的杀毒软件只能删除，不能清除，由于此病毒属复合型，能够感染EXE文件，因此使用杀毒软件杀毒后系统将不得不重做，这也是此病毒的可恨之处。
五、LOGO1_.exe 免疫及清除方法如下：
1、进入DOS模式，打入：
 DEL %WINDIR%/RUNDL132.DLL
 DEL %WINDIR%/COMMAND/RUNDL132.EXE
 DEL %WINDIR%/LOGO1_.EXE
 MD  %WINDIR%/LOGO1_.EXE
这样建立一个名为“LOGO1_.EXE”的文件夹，该病毒就无法覆盖产生新病毒体了。
从而断绝了传播途径。
2、该病毒体长32124字节，捆绑EXE文件方式为把被感染文件复制到病毒体后，改名为该EXE文件，从而劫持病原，由于对ICO等资源无法更改，因此只能显示乱图标，使用杀马或杀毒软件仅能删除而不能修复，现在将VB代码贴下供参考，这种小工具是VB6的拿手好戏。

代码

'killvirus
    Dim i&, sTmp$, num&
    On Error Resume Next

     'c:/windows应改为您的%windir%文件夹
       Kill "c:/windows/logo1_.exe"
      MkDir "c:/windows/logo1_.exe"
     ' 遍历所需清除文件
    For i = 0 To UBound(asFiles)
        sTmp$ = asFiles(i)
        Dim sTMPFIle$
        sTMPFIle$ = GetFileName(sTmp)
        Dim sExt$
        sExt$ = GetFileExt(sTmp)
        sTMPFIle$ = Left(sTMPFIle$, Len(sTMPFIle$) - Len(sExt) - 1)
        Dim f&
        f = FreeFile
         Open sTmp For Binary As f
         Dim sTmpVirus(7) As Byte
         Get #f, &H35, sTmpVirus
           ' 此病毒使用upack0.3x压缩，35h处有"KwBywing"标志。
         If StrConv(sTmpVirus, vbUnicode) = "KwBywing" Then
         Close f
         num = num + 1
          FileCopy sTmp, sTmp & ".bak"
          f = FreeFile
         Open sTmp & ".bak" For Binary As f
          ' 删除病毒文件 
              Kill sTmp
            Dim g&
            g = FreeFile
            Open sTmp For Binary As g
                
                Dim abFile() As Byte, abfile1() As Byte
                Dim lFile&
               ' 原始文件长度为感染后长度-32124字节
                lFile = LOF(f) - 32124
                ReDim abFile(lFile - 1)
                Get #f, 32125, abFile
                Put #g, , abFile
            Close g
         End If
         Close f
         ' 可以删除备份文件了Kill sTmp & ".bak"
    Next
    MsgBox num & "病毒清除完毕，下回注意！"