请输入您要查询的百科知识:

 

词条 xp.exe
释义

xp- xp.exe- 进程信息

进程文件: xp或者 xp.exe.exe

进程名称: Win32.Logogo

描述:

xp.exe 和Win32.Logogo病毒相关程序,木马允许攻击者访问你的计算机,窃取密码和个人数据。

出品者: 未知N/A

属于: Win32.Logogo

系统进程: 否

后台程序: 是

使用网络: 是

硬件相关: 否

常见错误: 未知N/A

内存使用: 未知N/A

间谍软件: 否

广告软件: 否

病毒: 是

木马: 是

最近电脑突然卡,发现进程了多了很多个xp.exe

感觉不对,马上用在线杀毒http://www.antidu.cn/board/online/ 查杀

瑞星报毒!!!

logogogo最新变种XP.exe的分析(Win32.Logogo)

File: logogogo.exe

Size: 17196 bytes

AV命名:Win32.Logogo.a(瑞星)

1.病毒有两个参数启动自身

-down 和-worm分别执行的是下载和感染操作

2.衍生如下副本:

%systemroot%\\system\\logogogo.exe

在每个磁盘分区根目录下释放XP.exe和autorun.inf达到通过移动存储传播的目的

3.创建注册表启动项目

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

<logogogo><%systemroot%\\system\\logogogo.exe> []

达到开机启动的目的

在HKLM\\SOFTWARE下面创建logogo子键,用以记录病毒安装成功的信息。

4.在HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options下面创建映像劫持项目,指向病毒本身。

5.感染除如下文件夹内的*.exe文件

windows

winnt

recycler

system volume information

并不感染如下exe文件

被感染文件尾部被加入一个名为.ani的节。被感染文件运行后会释放一个名为ani.ani的临时文件并运行,该文件即为病毒主体logogogo.exe

6.连接网络下载木马

读取http://dow.*.us/xxx.txt的下载列表

然后下载

http://dow.*.com/1.exe~http://dow.*.com/20.exe到%systemroot%\\system下面

并以SYSTEM128.tmp作为下载文件过程中的临时文件

7.病毒同时会获得当前机器名,操作系统版本,MAC地址等信息

8.病毒体内留有作者留下的广告信息:“出售下载者 QQ 2892*”

解决办法:

下载sreng: http://www.antidu.cn/board/helpst/

首先重启计算机进入安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)

解压sreng

(注意:如果winrar也被感染,请重装winrar后再解压文件,推荐重装winrar)

1.打开sreng

启动项目 注册表 删除如下项目

[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]

<logogogo><%systemroot%\\system\\logogogo.exe> []

并删除所有红色的IFEO项目

修复-系统修复-重置winsock

2.删除如下文件

%systemroot%\\system32\\rsmyhpm.dll

%systemroot%\\system32\\KVBatch01.dll

%systemroot%\\system32\\kapjezy.dll

%systemroot%\\system32\\avwgemn.dll

%systemroot%\\system32\\avzxfmn.dll

%systemroot%\\system32\\avwldmn.dll

%systemroot%\\system32\\rarjepi.dll

%systemroot%\\system32\\ratbjpi.dll

%systemroot%\\system32\\kawdczy.dll

%systemroot%\\system32\\kvdxsima.dll

%systemroot%\\system32\\raqjdpi.dll

%systemroot%\\system32\\kaqhizy.dll

%systemroot%\\system32\\sidjczy.dll

%systemroot%\\system32\\kvmxhma.dll

%systemroot%\\system32\\swjqbzc.dll

%Program Files%\\Internet Explorer\\PLUGINS\\Wn_Sys8x.Sys

3.重启计算机后

双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定

点击 菜单栏下方的 文件夹按钮(搜索右边的按钮)

在左边的资源管理器中单击打开系统所在盘

删除%systemroot%\\system\\logogogo.exe

%systemroot%\\system32\\qdshm.dll

在左边的资源管理器中单击打开每个盘

删除各个盘根目录下的XP.exe和autorun.inf

4.打开sreng

启动项目 注册表

双击AppInit_DLLs把其键值清空

5.使用杀毒软件全盘杀毒修复被感染的exe文件(如果杀毒软件也被感染,请重装杀毒软件以免造成反复感染)

这是之前logogo.exe病毒的最新变种,此次变种可谓是该系列病毒的一个标志性的变种,如同原先的crsss化身成为“禽兽”病毒一样...

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/12/23 18:34:20