词条 | xp.exe |
释义 | xp- xp.exe- 进程信息 进程文件: xp或者 xp.exe.exe 进程名称: Win32.Logogo 描述: xp.exe 和Win32.Logogo病毒相关程序,木马允许攻击者访问你的计算机,窃取密码和个人数据。 出品者: 未知N/A 属于: Win32.Logogo 系统进程: 否 后台程序: 是 使用网络: 是 硬件相关: 否 常见错误: 未知N/A 内存使用: 未知N/A 间谍软件: 否 广告软件: 否 病毒: 是 木马: 是 最近电脑突然卡,发现进程了多了很多个xp.exe 感觉不对,马上用在线杀毒http://www.antidu.cn/board/online/ 查杀 瑞星报毒!!! logogogo最新变种XP.exe的分析(Win32.Logogo) File: logogogo.exe Size: 17196 bytes AV命名:Win32.Logogo.a(瑞星) 1.病毒有两个参数启动自身 -down 和-worm分别执行的是下载和感染操作 2.衍生如下副本: %systemroot%\\system\\logogogo.exe 在每个磁盘分区根目录下释放XP.exe和autorun.inf达到通过移动存储传播的目的 3.创建注册表启动项目 HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run <logogogo><%systemroot%\\system\\logogogo.exe> [] 达到开机启动的目的 在HKLM\\SOFTWARE下面创建logogo子键,用以记录病毒安装成功的信息。 4.在HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options下面创建映像劫持项目,指向病毒本身。 5.感染除如下文件夹内的*.exe文件 windows winnt recycler system volume information 并不感染如下exe文件 被感染文件尾部被加入一个名为.ani的节。被感染文件运行后会释放一个名为ani.ani的临时文件并运行,该文件即为病毒主体logogogo.exe 6.连接网络下载木马 读取http://dow.*.us/xxx.txt的下载列表 然后下载 http://dow.*.com/1.exe~http://dow.*.com/20.exe到%systemroot%\\system下面 并以SYSTEM128.tmp作为下载文件过程中的临时文件 7.病毒同时会获得当前机器名,操作系统版本,MAC地址等信息 8.病毒体内留有作者留下的广告信息:“出售下载者 QQ 2892*” 解决办法: 下载sreng: http://www.antidu.cn/board/helpst/ 首先重启计算机进入安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统) 解压sreng (注意:如果winrar也被感染,请重装winrar后再解压文件,推荐重装winrar) 1.打开sreng 启动项目 注册表 删除如下项目 [HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run] <logogogo><%systemroot%\\system\\logogogo.exe> [] 并删除所有红色的IFEO项目 修复-系统修复-重置winsock 2.删除如下文件 %systemroot%\\system32\\rsmyhpm.dll %systemroot%\\system32\\KVBatch01.dll %systemroot%\\system32\\kapjezy.dll %systemroot%\\system32\\avwgemn.dll %systemroot%\\system32\\avzxfmn.dll %systemroot%\\system32\\avwldmn.dll %systemroot%\\system32\\rarjepi.dll %systemroot%\\system32\\ratbjpi.dll %systemroot%\\system32\\kawdczy.dll %systemroot%\\system32\\kvdxsima.dll %systemroot%\\system32\\raqjdpi.dll %systemroot%\\system32\\kaqhizy.dll %systemroot%\\system32\\sidjczy.dll %systemroot%\\system32\\kvmxhma.dll %systemroot%\\system32\\swjqbzc.dll %Program Files%\\Internet Explorer\\PLUGINS\\Wn_Sys8x.Sys 3.重启计算机后 双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定 点击 菜单栏下方的 文件夹按钮(搜索右边的按钮) 在左边的资源管理器中单击打开系统所在盘 删除%systemroot%\\system\\logogogo.exe %systemroot%\\system32\\qdshm.dll 在左边的资源管理器中单击打开每个盘 删除各个盘根目录下的XP.exe和autorun.inf 4.打开sreng 启动项目 注册表 双击AppInit_DLLs把其键值清空 5.使用杀毒软件全盘杀毒修复被感染的exe文件(如果杀毒软件也被感染,请重装杀毒软件以免造成反复感染) 这是之前logogo.exe病毒的最新变种,此次变种可谓是该系列病毒的一个标志性的变种,如同原先的crsss化身成为“禽兽”病毒一样... |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。