参加讨论的比较少，请斑竹撤除此置顶

以前单位机器，局域网内。系统为xpsp2，

回家后，直接连接宽带猫，除了ie无法打开以外，其他互联网应用均正常，包括qq，msn，网络游戏。

.......................................................................................



后来经过询问，发现该机器ie，工具--ineternet选项中--连接--局域网设置中，添加了一个代理服务器地址，是该单位web服务器的地址。取消后，正常。

[ Last edited by 疯狂小四轮 on 2006-10-26 at 09:38 ]

我今天才上班，

到单位没几分钟，

上报到我这儿5台电脑中毒了

恐怖啊，刚才忙乎这个去了

Logo_1.exe病毒，

还有一个打印机病毒spoolsv.exe

四轮哥你遇到过没有啊

那个U盘，我觉得是不是没有驱动啊？

以前我遇到过移动硬盘插入后发现新硬件

可是我的电脑打不开，重新安装驱动程序以后

才可以打开

W32/HLLP.Philis.g 病毒，最近发作比较平繁。造成好多局域网遭此病毒破坏造成大面积的卡机，瘫痪。此病毒极度变态。可以通过网络传播，传播周期为3分钟。如果是新做的系统处于中了毒的网络环境内，只要那个机器一上网，3分钟内必定中招。中招后绝大多数杀毒软件都无法补救你的系统，病毒文件 Logo1_.exe 为主体病毒，他自动生成病毒发作所需要的的 SWS32.DLL SWS.DLLL KILL.EXE 等文件。这些文件一但衍生。他将迅速感染系统内EXPLORE  等系统核心进程 及所以.exe  的可执行文件，外观典型表现症状为 传奇 ，泡泡堂，等游戏图标变色。 此时系统资源可用率极低，你每重新启动一次，病毒就会发作一次，重新启动5次后系统基本崩溃。
     该病毒对于防范意识较弱，还原软件未能及时装到位的局域网十分致命，其网络传播速度十分快捷有效。旧版的杀毒软件无法检测，新版的无法彻底根杀。一但局域网内某台机器中了此病毒，那么该局域网所有未中毒的机器都处于危险状态。由于病毒发作贮留于内存。且通过EXPLORE.exe 进行传播。因此即使是装了还原精灵，还原卡的机器也同样会被感染。你重新启动后系统可以还原。但是你一但开机还是会被感染。
logo1_.exe( W32/HLLP.Philis.g) 病毒发作会生成另外几中病毒 PWSteal.Lemir.Gen 和 trojan.psw.lineage 等等。都是些非常厉害的后门程序。和外挂病毒相似，但是其威力是外挂病毒的50倍以上。在WIN98平台下，改病毒威害比较小。在WIN2000 /XP/2003 平台对于局域网系统是致命的

　　病毒特征：
      假如你手动运行logo1_.exe 你的系统就GAMEOVER了。运行系统极度卡机。你重新启动后你会发现你所有游戏的.EXE 程序全部都感染了。用最新杀毒软件杀完后。除了系统可以勉强运行。其他的你也别想运行了。
   1  病毒体
     %WINDIR%目录下logo1_.exe 。KILL.EXE sws32.dll 等文件是病毒发作后的文件。
  2、生成病毒文件
    病毒运行后，在%WINDIR%下自己拷贝生成病毒文件，文件的名称是可变，根据不同的变种相应有不同的名称。好像一共有5个文件。其中3个是.exe 2 个是.DLL 文件。其中有KILL.EXE,%WINDIR%\RUNDL132.DLL,%WINDIR%\COMMAND\RUNDL132.EXE 等。具体的记不大清楚了。
  3、修改注册表
　　病毒对注册表进行修改，在 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot]
   winlogo 项和
　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和   
[HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/中添加键值=%System%（其中，和为可变的），使得在  下次系统启动时，病毒可随之自动运行。
　　4、盗取密码
　　病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码，将游戏密码发送到该木马病毒的植入者手中。
　　5、阻止以下杀毒软件的运行
　　病毒试图终止包含下列进程的运行，这些多为杀毒软件的进程。 包括卡八斯基，金山公司的毒霸。瑞星等。98%的杀毒软件运行。
   国产软件在中毒后都被病毒杀死，是病毒杀掉-杀毒软件。如金山，瑞星等。哪些软件可以认出病毒。但是认出后不久就阵亡了。

解决方案
     请先去把系统设置为“显示隐藏文件”，因为病毒以隐藏属性伪装，不做此设置将无法看到它，设置的方法如下打开“我的电脑”—— 依次打开菜单“工具/文件夹选项”；
     然后在弹出的“文件夹选项”对话框中切换到“查看”页；
     去掉“隐藏受保护的操作系统文件(推荐)”前面的对钩，让它变为不选状态；
     在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项；
     去掉“隐藏已知文件类型的扩展名”前面的对钩，也让它变为不选状态；
     最后点击“确定”。
二、修改注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot]winlogo 项
把WINLOGO 项 后面的C:\WINNT\SWS32.DLL 干掉（就是删掉的意思^_^)
接下来把HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/Run 键中  /RunOnce/RunOnceEx  两个中其中有个是也是
C:\WINNT\SWS32.dll
把类似以上的全部删掉 注意不要删除默认的键值（删了的话后果自负）
三  结束进程
按“Ctrl+Alt+Del”键弹出任务管理器，找到SWS32 进程，名字记不大清楚了，反正看到最多的进程就杀杀杀！！！！找到EXPL0RER.EXE进程（注意第5个字母是数字0不是字母O），找到它后选中它并点击“结束进程”以结束掉木马进程。然后迅速做下面一步，只所以要迅速是因为如果动作慢的话，木马可能会自动恢复而再次运行起来，这样就无法删除掉其他木马文件了（如果EXPL0RER.EXE进程再次运行起来需要重做这一步），然后是RUNDL132.DLL，注意是132不是L32，再就是LOGO1_.EXE。结束后不要再启动任何程序。
四、目前所有的杀毒软件只能删除，不能清除，由于此病毒属复合型，能够感染EXE文件，因此使用杀毒软件杀毒后系统将不得不重做，这也是此病毒的可恨之处。
五、LOGO1_.exe 免疫及清除方法如下：
1、进入DOS模式，打入：
DEL %WINDIR%\RUNDL132.DLL
DEL %WINDIR%\COMMAND\RUNDL132.EXE
DEL %WINDIR%\LOGO1_.EXE
MD  %WINDIR%\LOGO1_.EXE
这样建立一个名为“LOGO1_.EXE”的文件夹，该病毒就无法覆盖产生新病毒体了。
从而断绝了传播途径。
2、该病毒体长32124字节，捆绑EXE文件方式为把被感染文件复制到病毒体后，改名为该EXE文件，从而劫持病原，由于对ICO等资源无法更改，因此只能显示乱图标，使用杀马或杀毒软件仅能删除而不能修复。

网上有vb6编的代码，你参考一下

'killvirus
    Dim i&, sTmp$, num&
    On Error Resume Next
     'c:\windows应改为您的%windir%文件夹
       Kill "c:\windows\logo1_.exe"
      MkDir "c:\windows\logo1_.exe"
     ' 遍历所需清除文件
    For i = 0 To UBound(asFiles)
        sTmp$ = asFiles(i)
        Dim sTMPFIle$
        sTMPFIle$ = GetFileName(sTmp)
        Dim sExt$
        sExt$ = GetFileExt(sTmp)
        sTMPFIle$ = Left(sTMPFIle$, Len(sTMPFIle$) - Len(sExt) - 1)
        Dim f&
        f = FreeFile
         Open sTmp For Binary As f
         Dim sTmpVirus(7) As Byte
         Get #f, &H35, sTmpVirus
           ' 此病毒使用upack0.3x压缩，35h处有"KwBywing"标志。
         If StrConv(sTmpVirus, vbUnicode) = "KwBywing" Then
         Close f
         num = num + 1
          FileCopy sTmp, sTmp & ".bak"
          f = FreeFile
         Open sTmp & ".bak" For Binary As f
          ' 删除病毒文件
              Kill sTmp
            Dim g&
            g = FreeFile
            Open sTmp For Binary As g
               
                Dim abFile() As Byte, abfile1() As Byte
                Dim lFile&
               ' 原始文件长度为感染后长度-32124字节
                lFile = LOF(f) - 32124
                ReDim abFile(lFile - 1)
                Get #f, 32125, abFile
                Put #g, , abFile
            Close g
         End If
         Close f
         ' 可以删除备份文件了Kill sTmp & ".bak"
    Next
    MsgBox num & "病毒清除完毕，下回注意！"

我vb6不会，别问我

我也不会VB6啊
哈哈

格盘重装倒是能，只是费点时间，
关键是以后怎么防啊？
郁闷啊

有办法，运行gpedit.msc

y用户配置--管理模板--系统--不要运行指定的windows程序，添加那个文件名logo_1.exe

ok了。