exe文件修复，关于logo1_exe“威金”变种病毒的探讨

exe文件修复，关于logo1_exe“威金”变种病毒的探讨

    变种的“威金”病毒主要通过网络共享传播，病毒会感染电脑中所有的.EXE可执行文件，传播速度十分迅速。“威金”病毒运行后，修改注册表自启动项，以使自己随系统一起运行，国产软件在中毒后都被病毒杀死,到目前为止还不见瑞星和江民有相应对付的办法，特别是恢复电脑中所有的.EXE可执行文件。本人收集到一套专杀工具,是热心的网友自己编写的专杀软件，可以恢复电脑中所有的.EXE可执行文件，让图标还原，可能对各位网友有很大的帮助。小雨沙沙对广大网友深受其害感同身受，自己亲自中毒测试后上传到网站给大家下载，并教大家预防和杀毒，让我们先来看一看病毒文件。

exe文件修复，关于logo1_exe“威金”变种病毒的探讨 

Logo1_.exe被屏蔽木马

“威金”变种病毒会在系统文件目录下生成以下病毒文件：

Program Files\svhost32.exe
Program Files\micorsoft\svhost32.exe
windows\explorer.exe
windows\logo1_exe
windows\rundll32.exe
windows\rundl132.exe
windows\intel\rundl132.exe
windows\dll.dll
      病毒新变种还会自动从网站下载“天堂杀手”以及“QQ大盗（QQpass）”等10余种木马病毒，企图盗取包括天堂、征途、梦幻西游、传奇等多种流行网游以及QQ的帐号、密码。

      针对该病毒以及最新变种，局域网用户，在杀毒时务必断开网络，以免病毒在局域网流窜，导致病毒屡杀不绝的现象。单机用户应检查自己的电脑是否存在共享，在全盘杀毒后及时关闭所有共享设置，以免再遭病毒侵扰。

  变种的威金病毒，已经导致了数以万计的网吧及PC网络出现严重问题，几乎所有小于10m以下*.exe文件都被感染甚至让这些文件变色，而瑞星，金山等杀毒软件根本就解决不了这些文件关联只能把这些文件删除，要知这种后果有多严重，而这些受关联文件一旦运行，几乎整台机子就告瘫痪，
甚至与这台机子联机的pc都会感染，而这些向logo1.exe，rundl132.exe文件删掉之后重启，又会死灰复燃，搞的你发疯，其他修复*.exe关联工具都没用，

亲亲家园测试的解决办法（推荐）：

先下载本站提供的专杀系列工具，里边有3个查杀工具请按顺序查杀: 下载

请依次按照：病毒专杀清除主病毒 → 杀毒残留文件清除 → 修复部分被破坏的EXE文件  → 最后再用杀毒软件查杀！（推荐木马杀客加瑞星）如果有GHOST备份，请先杀毒后再还原系统，否则会死灰复燃。 ghost备份时，要将GHOST.exe删除。再重新下载新的GHOST.exe还原备份文件（原GHOST.exe已受破坏）

 

 

切记：由于此病毒程序会自动下载其他一些普通病毒！！~`所以按以上步骤清理完“威金”病毒，

记得把杀毒软件升级到最新，然后全盘查杀一次普通病毒！！   

最后还要将硬盘共享去除，如果不会，可以用本站提供的自动解除共享工具: 下载。

解决办法二：

首先下载终截者入侵阻止程序，接着你就可以运行*.exe文件了
看到logo1_.exe，rundl132.exe等程序你禁止运行,别的允许就ok了.最后到从c：\windows\下把logo1_.exe，rundl132.exe文件删掉再到注册表里把相关联文件值删掉就行接着用安全回归就行了重启之后全面杀毒就ok了.

其它关于logo1_exe“威金”变种病毒的系列研究：

一、研究病毒介绍：

1.可穿透还原系统。如果是ghost备份的，要将GHOST.exe删除。重新下载新的GHOST.exe再还原（原文件已受破坏）

2.在WINDOWS文件夹下，生成LOGO1_.EXE、RICHDLL.DLL、RUNDL123.EXE等病毒文件

3.在系统盘跟目录下生成_desktop.ini

4.把所有的.EXE都变成模糊的图标，并感染整个硬盘几乎所有.exe文件

Worm.Viking.m

该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒，病毒运行后将自身伪装成系统正常文件，以迷惑用户，通过修改注册表项使病毒开机时可以自动运行，同时病毒通过线程注入技术绕过防火墙的监视，连接到病毒作者指定的网站下载特定的木马或其它病毒，同时病毒运行后枚举内网的所有可用共享，并尝试通过弱口令方式连接感染目标计算机。 运行过程过感染用户机器上的可执行文件，造成用户机器运行速度变慢，破坏用户机器的可执行文件，给用户安全性构成危害。 病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播

二、研究viking变种病毒：

Windows目下出�Fdll.dll、logo1_.exe、rundl132.exe文件，报废所有exe程序文件

  该病毒运行后，释放若干病毒文件，并会大量感染.exe文件。修改注册表,添加启动项键值，以达到开机启动病毒的目的。病毒试图连接某网站下载文件，但链接已失效。当用户运行受感染的.exe文件后,病毒会在%Windows%目录下生成rundl132.exe文件，图标据用户当前桌面图标随机生成。插入Dll.dll线程到explore.exe进程中,以隐藏病毒体。

主要症状:
1、占用大量网速，使机器使用变得极慢。
2、会捆绑所有的exe文件，只要一运用应用程序，在winnt下的logo1.exe图标就会相应变成应用程序图标。
3、有时还会时而不时地弹出一些程序框，有时候应用程序一起动就出错，有时候起动了就被强行退出。
4、能绕过所有的还原软件。

详细技术信息：
病毒运行后，在%windir%生成 logo1_.exe 同时会在windws根目录生成一个名为dll.dll的文件。

该蠕虫会在系统注册表中生成如下键值：
[hkey_local_machinesoftwaresoftdownloadwww]
auto = 1

  病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码，将游戏密码发送到该木马病毒的植入者手中。阻止以下杀毒软件的运行病毒试图终止包含下列进程的运行，这些多为杀毒软件的进程。 包括卡八斯基，金山公司的毒霸。瑞星等。98%的杀毒软件运行。国产软件在中毒后都被病毒杀死，是病毒杀掉-杀毒软件。如金山，瑞星等。哪些软件可以认出病毒。但是认出后不久就阵亡了。通过写入文本信息改变%system%driversetchosts 文件。这就意味着，当受感染的计算机浏览许多站点时（包括众多反病毒站点），浏览器就会重定向到66.197.186.149。

病毒感染运行windows操作系统的计算机，并且通过开放的网络资源传播。一旦安装，蠕虫将会感染受感染计算机中的.exe文件。该蠕虫是一个大小为82k的windows pe可执行文件。通过本地网络传播该蠕虫会将自己复制到下面网络资源：
admin$
ipc$

  病毒发作会生成另外病毒 pwsteal.lemir.gen 和 trojan.psw.lineage 等等。都是些非常厉害的后门程序。和外挂病毒相似，但是其威力是外挂病毒的50倍以上。在win98平台下，改病毒威害比较小。在win2000 /xp/2003 平台对于网吧系统是致命的。运行系统极度卡机。你重新启动后你会发现你所有游戏的.exe 程序全部都感染了最新杀毒软件杀完后。除了系统可以勉强运行。其他的你也别想运行了。

三、研究研究log1_.exe病毒感染症状：

1.系统进程中有log1_.exe、0sy.exe和1sy.exe和3sy.exe及rundl132.dll等进程
2.%systemroot%中有log1_.exe、rundl132.dll及dll.dll等文件
3.从硬盘最后一个盘符到第一个盘符，所有文件夹下如果有小于2MB的.exe的文件，均被感染（修复后用MACFEE查出），被感染的文件图标变得模糊。
4.所有盘符中，只要有文档文件存在，都会生成一个_desktop.ini的感染文件
5.如果重装时，只是格式化了C盘，没动其它盘符，只要开机后，运行其它盘符上的应用程序，系统就会重新感染。这是很讨厌的一点现象。用一般的杀毒软件杀毒，要么杀不掉被感染的exe文件里面的病毒，要么杀毒软件把整个被感染的exe文件删除导致系统基本不能运行。
6.插入移动硬盘，如果不小心，执行了什么可执行程序，你会发现移动硬盘，一阵狂转，其实后来才知道，原来它是在感染.exe文件和添加_desktop.ini文件了，由其是你的移动硬盘目录比较多，文件比较小时，更加严重
7.等等

===============================

手工恢复.EXE关联

第一步:在“开始→运行”中输入CMD，打开“命令提示符”窗口。

第二步:输入ftype exefile=notepad.exe %1，这句话的意思是将所有的EXE文件用“记事本”打开。这样原来的病毒就无法启动了。

第三步:重启电脑，你会看见打开了许多“记事本”。当然，这其中不仅有病毒文件，还有一些原来的系统文件，比如:输入法程序。

第四步:右击任何文件，选择“打开方式”，然后点击“浏览”，转到Windows\System32下，选择cmd.exe，这样就可以再次打开“命令提示符”窗口。

第五步:运行ftype exefile=%1 %*，将所有的EXE文件关联还原。现在运行杀毒软件或直接改回注册表，就可以杀掉病毒了。

第六步:在每一个“记事本”中，点击菜单中的“文件→另存为”，就可看到了路径以及文件名了。找到病毒文件，手动删除即可，但得小心，必须确定那是病毒才能删除。建议将这些文件改名并记下，重启后，如果没有病毒作怪，也没有系统问题，再进行删除

在Windows中，Ftype命令用来显示及修改不同扩展名文件所关联的打开程序。相当于在注册表编辑器中修改“HKEY_CLASSES_ROOT”项下的部分内容一样。

Ftype的基本使用格式为:Ftype [文件类型[=[打开方式/程序]]]

比如:像上例中的ftype exefile=notepad.exe %1，表示将所有文件类型为EXE(exefile表示为EXE类型文件)的文件都通过“记事本”程序打开，后面的%1表示要打开的程序本身(就是双击时的那个程序)。

ftype exefile=%1 %*则表示所有EXE文件本身直接运行(EXE 可以直接运行，所以用表示程序本身的%1即可)，后面的%*则表示程序命令后带的所有参数(这就是为什么EXE文件可以带参数运行的原因)。

=================================

修复.exe文件关连及其图标显示

发现部份被恶意修改.exe关连的电脑用一些修复软件修复后虽然可恢复关连，但图标却未恢复，仍显示为未注册文件样式。以下内容可彻底修复.exe文件关连以及.exe文件图标显示。至于桌面某些图标一时未恢复，可手工恢复，或者重启后电脑自动修复。拷以下内容存为.reg文件，双击加入注册表即可(For 2000/XP/2003)。

Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\.exe]
@=exefile
Content Type=application/x-msdownload
[HKEY_CLASSES_ROOT\.exe\PersistentHandler]
@={098f2470-bae0-11cd-b579-08002b30bfeb}
[HKEY_CLASSES_ROOT\exefile]
@=应用程序
EditFlags=hex:38,07,00,00
TileInfo=prop:FileDescription;Company;FileVersion
InfoTip=prop:FileDescription;Company;FileVersion;Create;Size
[HKEY_CLASSES_ROOT\exefile\DefaultIcon]
@=%1
[HKEY_CLASSES_ROOT\exefile\shell]
[HKEY_CLASSES_ROOT\exefile\shell\open]
EditFlags=hex:00,00,00,00
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@=\%1\ %*
[HKEY_CLASSES_ROOT\exefile\shell\runas]
[HKEY_CLASSES_ROOT\exefile\shell\runas\command]
@=\%1\ %*
[HKEY_CLASSES_ROOT\exefile\shellex]
[HKEY_CLASSES_ROOT\exefile\shellex\DropHandler]
@={86C86720-42A0-1069-A2E8-08002B30309D}
[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers]
[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\PifProps]
@={86F19A00-42A0-1069-A2E9-08002B30309D}
[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\ShimLayer Property Page]
@={513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}