打印

高危病毒“恐怖鸡感染号”(logogogo.exe)毒霸用户处理方案

papa

中将(版主)

积分: 600
威望: 766
元宝: 0
铜钱: 498

1楼大中小发表于 2007-11-17 09:41 只看该作者

高危病毒“恐怖鸡感染号”(logogogo.exe)毒霸用户处理方案

最近爆发一款具备AV终结者特征同时具备感染文件特性的破坏型病毒，毒霸发布的病毒预警信息分析如下：
该病毒运行后，分别在系统盘目录下的%Temporary Internet Files%\Content.IE5(IE缓存)、%Program Files%\Internet Explorer\PLUGINS\、%WINDOWS%\Font、%WINDOWS%\system\、%WINDOWS%\system32\等目录下生成非常多的病毒文件。并在所有磁盘盘中都生成AUTO病毒，分别是：XP.EXE和autorun.inf病毒辅助文件。同时，病毒还修改注册表，这样它以后便可随系统一起启动。完成以上步骤后，病毒自删除源文件，使用户无法找到病毒源。
如果用户双击进入有AUTO病毒的盘符，病毒立即发作，其症状是窗口会发生一次“跳转”。发作的病毒马上开始感染可执行文件，被病毒感染的文件在打开时，其实已经再次激活病毒。这时查看任务管理器便可发现，病毒进程logogogo.exe正在运行，并大量吞噬系统资源，使得系统处于半瘫痪状态。
这种情况下，大部分人一定会重启电脑。可这时系统关闭的速度异常缓慢，而且一直停留在关闭的截面上“正在保存设置......”。当强制重启以后，如果运行刚才被修改感染的可执行文件，会立即在当前目录中生成ani.ani文件。检查一下电脑中的文件，会发现反病毒、安全软件的可执行文件、WINRAR压缩包、MSN等已经全被感染。
该病毒还会在注册表中添加映像劫持项，著名的反病毒软件以及安全辅助工具都会被劫持，如金山毒霸、瑞星、360、卡巴斯基等。浏览器也被感染，任何网站无法打开，用户将无法通过网络向安全软件厂商求援。这样一来，整个电脑系统都将成为该病毒的“领地”。

金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2007年11月17日的病毒库即可查杀该病毒。

关于感染后没有及时升级的毒霸2007用户本文提供完整处理方案：

由于此病毒属于感染型病毒，所以毒霸文件被感染后弹出以下提示：

首先打开系统属性(win+pause可直接调用)关闭系统还原功能。如图所示：

由于毒霸程序被感染，所以无法正常运行。需要重启计算机后按F8键进入带命令行的安全模式。如图所示：

进入命令行安全模式后输入以下命令：
cd\回车
cd kav2007回车（以毒霸具体安装路径为准）
kavdx /ac 扫描一段时间会发现导致之前提示的问题已经修复，按ctrl+c取消扫描即可。如图所示：

进入正常模式不要进行其他操作，建议直接升级毒霸到最新病毒库。升级完成后再度进入命令行安全模式重复之前操作，但不要取消病毒扫描，等待扫描结束后再重启。

由于该病毒大量吞噬系统资源，一些已经感染的用户可能无法完成升级。以下是升级方案：
毒霸2007默认安装用户下载附件中的“kill恐怖鸡感染号.rar”解压缩后运行里面的批处理文件即可。（由毒霸2005或者2006升级至毒霸2007的非默认安装用户参考解压后文件夹内的使用说明）

病毒库更新完成具备对该感染型病毒的识别修复能力后再度进入命令行安全模式重复之前操作，但不要取消病毒扫描，等待扫描结束后再重启。会有类似如下病毒清除信息，如图所示：