文章大纲：

• 1、W32.Looked.I这是什么病毒?有什么软件可以杀得掉?
• 2、网吧电脑中木马,怎么办?
• 3、logo1.exe是什么病毒，怎么可以彻底清除
• 4、网吧电脑不安全，病毒木马很多，真的是这样吗？
• 5、网吧电脑客户机系统遭木马病毒攻击严重使系统瘫痪，怎么恢复系统到原来状态？

W32.Looked.I这是什么病毒?有什么软件可以杀得掉?

W32.Looked病毒清除办法

!----

软件名称 W32.Looked病毒免疫程序及清楚办法

软件类型 专杀工具

运行环境 Win9x/WinNT/Win2000/WinME

授权方式 共享软件

软件大小 370K

软件评价

上传时间 2005-8-29

相关链接

下载地址 请点击附件

在网上看到关于logo1_.exe病毒的情况，结合我在实际中清除病毒的经验特总结一下，给中此病毒的网友以参考，我是参考了“网星”和其他网友的帖子综合的，不算我的原创哦，只能是帮助大家尽快清除这可恶的病毒：

关于 Logo1_.exe

基本介绍

病毒名称 Worm@W32.Looked

病毒别名 Virus.Win32.Delf.62976 [Kaspersky], W32/HLLP.Philis.j [McAfee],W32.Looked [symantec] Net-Worm.Win32.Zorin.a

病毒型态 Worm ( *** 蠕虫)

病毒发现日期 2004/12/20

影响平台 Windows 95/98/ME , Windows NT/2000/XP/2003

风险评估

散播程度：中

破坏程度：中

主要症状:

1、占用大量网速，使机器使用变得极慢。

2、会捆绑所有的EXE文件，只要一运用应用程序，在winnt下的logo1.exe图标就会相应变成应用程序图标。

3、有时还会时而不时地弹出一些程序框，有时候应用程序一起动就出错，有时候起动了就被强行退出。

4、网吧中只感梁win2k pro版，server版及XP系统都不感染。

5、能绕过所有的还原软件。

详细技术信息：

病毒运行后，在%Windir%生成 Logo1_.exe 同时会在windws根目录生成一个名为"virDll.dll"的文件。

%WinDir%\virDll.dll

该蠕虫会在系统注册表中生成如下键值：

[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]

"auto" = "1"

盗取密码

病毒试图登陆并盗取被感染计算机中 *** 游戏传奇2的密码，将游戏密码发送到该木马病毒的植培塌入者手中。

阻止以下杀毒软件的运行

病毒试图终止包含下列进程的运行，这些多为杀毒软件的进程。 包括卡八斯基，金山公司的毒霸。瑞星等。98%的杀毒软件运行。

国产软件在中毒后都被病毒杀死，是病毒杀掉-杀毒软件。如金山，瑞星等。哪些软件可以认出病毒。但是认出后不久就阵亡了。

通过写入文本信息改变"%System%\drivers\etc\hosts" 文件。这就意味着，当受感染的计算机浏览许多站点时（包括众多反病毒站点），浏览器就会重定向到66.197.186.149。

病毒感染运行windows操作系统的计算机，并且通过开放的 *** 资源传播。一旦安装，蠕虫将会感染受感染计算机中的.exe文件。

该蠕虫是一个大小为82K的Windows PE可执行文件。

通过本地 *** 传播

该蠕虫会将自己复制到下面 *** 资源：

ADMIN$

IPC$

症状

蠕虫会感染所有.exe的文件。碧弯但是，它不会感染路径中包含下列字符串的文件：

\Program Files

Common Files

ComPlus Applications

Documents and Settings

NetMeeting

Outlook Express

Recycled

system

System Volume Information

system32

windows

Windows Media Player

Windows NT

WindowsUpdate

winnt

蠕虫会从内存中删除下面列出的进程：

EGHOST.EXE

IPARMOR.EXE

KAVPFW.EXE

KWatchUI.EXE

MAILMON.EXE

Ravmon.exe

ZoneAlarm

网吧遭此配慧圆病毒破坏造成大面积的卡机，瘫痪。危害程度可以和世界排名前十的爱情后门变种相比。该病毒可以通过 *** 传播，传播周期为3分钟。如果是新做的系统处于中了毒的 *** 环境内，只要那个机器一上网，3分钟内必定中招。中招后你安装 rising SkyNet Symantec McAfee Gate Rfw.exe RavMon.exe kill NAV 等杀毒软件 都无法补救你的系统，病毒文件 Logo1_.exe 为主体病毒，他自动生成病毒发作所需要的的 SWS32.DLL SWS.DLLL KILL.EXE 等文件。这些文件一但衍生。他将迅速感染系统内EXPLORE 等系统核心进程 及所以.exe 的可执行文件，外观典型表现症状为 传奇 ，泡泡堂，等游戏图标变色。 此时系统资源可用率极低，你每重新启动一次，病毒就会发作一次。

该病毒对于防范意识较弱，还原软件未能及时装到位的网吧十分致命，其 *** 传播速度十分快捷有效。旧版的杀毒软件无法检测，新版的无法彻底根杀。一但网吧内某台机器中了此病毒，那么该网吧所有未中毒的机器都处于危险状态。由于病毒发作贮留于内存。且通过EXPLORE.exe 进行传播。因此即使是装了还原精灵，还原卡的机器也同样会被感染。你重新启动后系统可以还原。但是你一但开机还是会被感染。

病毒发作会生成另外病毒 PWSteal.Lemir.Gen 和 trojan.psw.lineage 等等。都是些非常厉害的后门程序。和外挂病毒相似，但是其威力是外挂病毒的50倍以上。在WIN98平台下，改病毒威害比较小。在WIN2000 /XP/2003 平台对于网吧系统是致命的

运行系统极度卡机。你重新启动后你会发现你所有游戏的.EXE 程序全部都感染了

最新杀毒软件杀完后。除了系统可以勉强运行。其他的你也别想运行了。

病毒清理办法

如果在病毒没有发作情况下杀毒是可以完全搞定的。如果发作了也不要杀毒了。直接克盘恢复吧。

一、找到注册表中[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]

"auto" = "1"

删除DownloadWWW主键

二、找到

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot]

winlogo 项

把WINLOGO 项 后面的C:\WINNT\SWS32.DLL 删掉

接下来把HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/Run 键中 /RunOnce/RunOnceEx 两个中其中有个是也是

C:\WINNT\SWS32.dll

把类似以上的全部删掉 注意不要删除默认的键值（删了的话后果自负）

如果没有以上键值，则直接跳过此步骤

三 结束进程

按“Ctrl+Alt+Del”键弹出任务管理器，找到logo1_.exe 等进程，结束进程，可以借助绿鹰的进程管理软件处理更方便。找到EXPL0RER.EXE进程（注意第5个字母是数字0不是字母O），找到它后选中它并点击“结束进程”以结束掉（如果EXPL0RER.EXE进程再次运行起来需要重做这一步）。

四 装杀毒软件

装完后不要重新启动（切记）直接升级病毒库，升级完后，把C:\winnt 目录下所有带毒文件删除。然后运行杀毒软件开始杀毒。

杀完后。还有几个杀毒软件无法删掉的东西要把名字记下来。因为不同的系统有不同的名字。所以这里说不清楚了。自己记下来。,重新启动后再次杀毒。记的把可疑的进程的结束。否则杀毒软件无法干净杀毒。还有最重要的一点记的把杀毒软件无法清除的病毒设置为删除文件。一般要重复杀毒3-5次才能杀干净。

五。看看杀毒后的系统。

缺少的了很多系统文件。系统处于危险状态。如果你有GHOST 备份。这个时候恢复一下。系统可以干净无损。如果没有请运行 SFC 命令检查文件系统。具体操作为 运行-输入CMD 命令进入DOS 提示符。-输入SFC /scannow -- 提示放入系统光盘。--放进去吧。然后慢慢等。

看看成果。杀毒效果显著。毒杀干净了。但是杀完毒后很多游戏都玩不了。忙了一圈都不知道自己在忙什么。郁闷吧。然后重新做系统吧。谁叫中毒的是网吧的系统

杀毒及重装系统后的防范

有些网友在处理病毒的时候可能有这样的感觉好不容易清除了，或者没办法重新装了系统，但是没多长时间有中了同样的病毒，所以说有免疫程序实更好的了。下面就将免疫程序公布如下，供网友们下载使用：

建议做系统的时候把默认共享关闭。关闭IPC$ ADMIN$ 关闭554 关闭ICMP路由。给ADMINISTRATOR 组所有成员设置密码。更好数字加英文

现在地址可以到的软件下载中去找找，你可以直接通过下面的网址下载：

文件说明下载解压后有3个文件

dellogo.bat放在winnt目录下，98的用户放到windows目录下

delshare.bat放到开始菜单--程序---启动项中，目的能让计算机启动后就删除默认共享，从而阻止病毒对外传播和再次感染的桥梁。

ljl.reg下载后直接运行这个文件，提示，信息导入注册表后，说明写入注册表成功，目的是让计算机重新启动后能立刻删除病毒主题文件

logo1_.exe文件。要注意的实这个注册表导入文件是针对win2000系统的，如果您是其他的操作系统，请参考修改一下就可以。

以上操作只是阻断传播，如果怕在使用中感染此病毒，您还需要按照如下操作，这样即使病毒感染，也不能运行主体病毒程序。

当然这里说的操作实针对win2000系统的，其他的系统可以参考操作：

运行 gpedit.msc 打开组策略

依次单击用户配置- 管理模块- 系统-指定不给windows运行的程序

点启用 然后 点显示 添加 logo1_exe 也就是病毒的源文件 。

网吧电脑中木马,怎么办?

正常情况下,网吧裤棚电脑都有还原掘薯卡,你不用担心一旦你中毒了重启一下就会恢复到刚上机的初始状态.如果真的病毒能把还原卡也破了,那你只好在上机前装个杀毒软件.反正现在免费的一大堆.不过前提是那网吧电脑允许你胡散则装程序.

logo1.exe是什么病毒，怎么可以彻底清除

威金Worm.viking资料(w32.Looked.p)最新有效专杀工具!!2006年10月20日 星期五 13:05病毒类型：NetWorm *** 蠕虫

病毒名称：Worm.Viking（瑞星) , Worm.Win32.Viking.aa , bb(卡巴斯基), w32.Looked.p (诺顿) ；

统称威金虚耐。 如下资料转载自水木社区 !!

1、搜没手动清除

发信人: ILOVEAPPLE (大海), 信区: Virus

标 题: Re: 有没有中过viking维金的,请问卡巴6对此有效否?

发信站: 水木社区 (Sat Sep 23 15:33:43 2006), 站内

可以这样：

先删除dll.dll(删除 *** 见置底)、log_1.exe、rundl123.exe等文件，或在安全模式下清除。

主要是dll.dll，这个文件会让windows的explorer.exe调用（这个传播 *** 较历害）。

然后根据病毒感染exe的特征，你可以用搜索查找所有的的*.exe文件，然后浏览一下文件，利用卡巴实时检测功能把查毒，清除（也可设置卡巴查杀配置，不过好几个选项，。。。）；最后执行如下命令清除病毒遗留文件：

如下命令 可以全选 用记事本保存成一个 killViking.bat 文件。

也可以一条一条的手动输入，开始菜单 运行 输入CMD回车，然后执行下面的每一条，按回车执行。

带echo , pause的可以忽略。

echo off

del %Windir%\ MH_FILE\ MH_DLL.dll

del %Windir%\MickNew\MickNew.dll

del %Windir%\TODAYZTKING\TODAYZTKING.DLL

del %Windir%\1.txt

del %Windir%\0Sy.exe

del %Windir%\1Sy.exe

del %Windir%\2Sy.exe

del %Windir%\rundl132.exe

del %Windir%\vDll.dll

del %Windir%\Dll.dll

del %Windir%\log_1.exe

del %Windir%\rundl123.exe

echo 正在清除_desktop.ini文件，请稍等......

del c:\_desktop.ini /f/s/q/a

del d:\_desktop.ini /f/s/q/a

del e:\_desktop.ini /f/s/q/a

echo 清除完毕！

pause

2、发信人: itrose (说不清楚), 信区: Virus

标 题: viking威金dll.dll变种暂时解决方案

发信站: 水木社区 (Tue Sep 12 18:59:31 2006), 站内

威金某变种,病毒文件:

c:\windows\rundl132.exe

c:\windows\dll.dll

在该文件夹下还可能有realplayer.exe excel.exe qq.exe等并不该出现的文件

此变种尚无专杀,我摸索出一种 *** ,目前看有效,请大家参考.

卸载WINRAR , *** ,OFFICE,realplayer等知名软件,安全模式下删除上面提到的病毒文件.

3、被威金感染后的应用程序，一般都需要重装了。

4、总结

发信人: sihecun (如果有来生), 信区: Virus

标 题: Worm.Viking变种疯狂席卷国内互联网

发信站: 水木社区 (Thu Jun 8 22:39:08 2006), 站内

附件是瑞星的专杀(20060606)

国内老牌的感染型蠕虫Worm.Viking变种正在国内快速传播中，金山、瑞星等国内反病毒厂商都对变种做了应急处理，小陌提醒广大国内用户紧快升级手中的杀毒软件来防范此家族的变种。

Viking家族的变种会感染pe文件，给中招用户带来不小麻烦，同时还具有 *** 感染、下载 *** 木马等其他功能。中招用户的典型特征为电脑中出现logo_1.exe、rundl132.exe文件。

同时该家族的Worm.Viking.i（瑞星Worm.Viking.bp）变种还通过qq尾巴传播，qq尾巴的世誉纳形式：

h**p://

以下是金山的报告：

金山：Worm.Viking.m ;virusid=38415action=viewgraph

病毒分析

病毒被激活后，释放以下文件：

%SystemRoot%\rundl132.exe

%SystemRoot%\logo_1.exe

病毒目录\vdll.dll

添加以下启动项：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"load"="%SystemRoot%\rundl132.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]

"load"="%SystemRoot%\rundl132.exe"

感染所有分区下大小27KB-10MB的可执行文件（但不感染系统文件夹和programe files文件夹下的文件），并在被感染的文件夹中生成_desktop.ini。文件如果发现这个东西的话，恭喜恭喜，估计十有八九已遭遇不幸了，并且感染后会造成一些网友说的“EXE文件图标花了”

通过不安全的共享 *** 传播， *** 可用时，枚举内网所有共享主机，并尝试用弱口令连接\IPC$、\admin$等共享目录，连接成功后进行 *** 感染。

结束一些国内的反病毒软件进程，如毒霸，瑞星，木马客星等。

vdll.dll注入Explorer或者Iexplore进程，当外网可用时，下载其他木马程序(如前段时间比较 *** 的红底黑色龙头图案的WINLOGON)。

将拿到的几个样本文件看了下，其中rundl132.exe为病毒文件，VThunder为感染后的文件，Thunder为原文件。

winhex将这3个文件打开，发现感染方式为“头寄生”，VThunder文件头 *** 入了rundl132的代码。

rundl132.exe

VThunder.exe

Thunder.exe

offset删除至00069E6后另存为，即可还原到原来的thunder了。

在这里提醒大家，对这个病毒防范胜于查杀。目前，包括毒霸在内的部分杀软可以较好的处理感染后的EXE文件，但部分杀软采取的 *** 却是直接删除（如卡巴斯基），这可不是件好事。因此，小空建议你，及时升级你的杀软，并打开实时监控；安装一款防火墙；关闭不必要的 *** 共享；通过在线更新等给系统打好补丁；给管理员帐户加上足够强壮的密码；对于来历不名的文件不要随意运行。

※ 来源:·水木社区 new *** th.net·[FROM: 221.221.27.*]

5、其他专杀

（1）瑞星的提取工具

（2）金山毒霸的专杀

（3） 强烈推荐的专杀 by nslog

流行感染EXE文件清除提取修复工具（威金、千橡等）

即.exe执行的时候生成一个同名的xxx~.exe，可以完美修复所有.exe可执行文件 版本更新为1.6

下载地址：

目前版本： v1.6

使用办法： 选择目录或者文件夹扫描便可。没有什么好说的。

网吧电脑不安全，病毒木马很多，真的是这样吗？

我仍然觉得网吧又不安全因素，但是不是绝对的。1.不是每一个盯察网吧都使用正版的还原软件非常可能被利用。而且可能会有一些黑网吧会自主的植入一些病毒而旦拿不还原，而起到盗取帐号某私利的目的。2或许一般的用户确实没有能力破解掉网吧的安全措施，但是其实学过一些电脑知识的人是有能力破解的。3没有人能模则搭证明没有一个黑客对网吧里的帐号有兴趣，在钱的面前谁都有兴趣。

网吧电脑客户机系统遭木马病毒攻击严重使系统瘫痪，怎么恢复系统到原来状态？

先神茄断开 *** ，再进入安全模式，用杀毒软件杀毒，再补全系统漏洞，升级杀毒软件，对于系统崩溃，则使用光盘进入PE系统，若有GHOST备份，则用其还原液瞎团，若没有，则用台同大小的硬盘内存大小闹橘的机器，用GHOST拷贝，实在不行就只能重来，对于客户机，更好安装还原精灵，向你推荐冰点还原精灵，不伤硬盘的