1.win32.logogo.a病毒有两个参数启动自身
-down 和-worm分别执行的是下载和感染操作
2.win32.logogo.a衍生如下副本:
%systemroot%\system\logogogo.exe
在每个磁盘分区根目录下释放XP.exe和autorun.inf达到通过移动存储传播的目的
3.win32.logogo.a创建注册表启动项目
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
<logogogo><%systemroot%\system\logogogo.exe> []
达到开机启动的目的
在HKLM\SOFTWARE下面创建logogo子键,用以记录病毒安装成功的信息.
4.win32.logogo.a在HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下面创建映像劫持项目,指向病毒本身.
被感染文件尾部被加入一个名为.ani的节.被感染文件运行后会释放一个名为ani.ani的临时文件并运行,该文件即为病毒主体logogogo.exe
6.win32.logogo.a连接网络下载木马
下载到%systemroot%\system下面
并以SYSTEM128.tmp作为下载文件过程中的临时文件
7.win32.logogo.a病毒同时会获得当前机器名,操作系统版本,MAC地址等信息
8.win32.logogo.a病毒体内留有作者留下的广告信息:“出售下载者 QQ 2892*”
win32.logogo.a解决办法:
首先重启计算机进入安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
1.打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<logogogo><%systemroot%\system\logogogo.exe> []
并删除所有红色的IFEO项目
修复-系统修复-重置winsock
2.重启计算机后
双击我的电脑,工具,文件夹选项,查看,单击选取”显示隐藏文件或文件夹” 并清除”隐藏受保护的操作系统文件(推荐)”前面的钩.在提示确定更改时,单击“是” 然后确定
点击 菜单栏下方的 文件夹按钮(搜索右边的按钮)
在左边的资源管理器中单击打开系统所在盘
删除%systemroot%\system\logogogo.exe
%systemroot%\system32\qdshm.dll
在左边的资源管理器中单击打开每个盘
删除各个盘根目录下的XP.exe和autorun.inf
3.打开sreng
启动项目 注册表
双击AppInit_DLLs把其键值清空
4.使用杀毒软件全盘杀毒修复被win32.logogo.a感染的exe文件(如果杀毒软件也被win32.logogo.a感染,请重装杀毒软件以免造成反复感染win32.logogo.a病毒)
