logogo.exe病毒的清除方法

病毒文件名: logogo.exe
大小: 23151 ~~~27034     bytes
MD5: 2FE74B4FADECC310DF67560665C2E04E
SHA1: 218E8821E78A581B58985A600971F34EA5FD8576
CRC32: 8A4A3ED5

病毒行为分析：

生成进程：

------logogo.exe ,

------1_.ii

生成如下文件：
------C:\WINDOWS\system\logogo.exe

------%systemroot%\win.log

------c:\windows\system\inudhya.dll

------c:\windows\system32\ldf252.dll

------在每个分区下面生成setup.exe和autorun.inf

-------自动连接网络，下载生成以下木马：

C:\WINDOWS\system\     文件夹下

4位或者5位字母组成的EXE文件    例如；2222.exe,20000.exe等

感染生成以下文件：
C:\Program Files\NetMeeting\ravmsmon.dat
C:\Program Files\NetMeeting\ravmsmon.exe
C:\WINDOWS\system32\***ins.exe
C:\WINDOWS\system32\***pri.dll
C:\WINDOWS\system32\***ini.dll
C:\WINDOWS\system32\kvmxacf.dll
C:\WINDOWS\system32\kvmxbis.exe
C:\WINDOWS\system32\kvmxbma.dll
C:\WINDOWS\system32\mxbcfg.dll
C:\WINDOWS\system32\***man.dll

C:\WINDOWS\system32\ntaskldr.exe
C:\WINDOWS\system32\WinForm.dll
C:\WINDOWS\WinForm.exe

改变注册表：

HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\NoAutoUpdate

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
         <logogo><C:\WINDOWS\system\logogo.exe>       []
         <WinForm><C:\WINDOWS\WinForm.exe>       []
         <ravmsmon><C:\Program Files\NetMeeting\ravmsmon.exe>       []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
         <AppInit_DLLs><jhbpri.dll>       []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
         <{E1351752-5628-1547-FFAB-BADC13512AFE}><C:\WINDOWS\system32\ztaman.dll>       []
         <{352D2432-37A2-324F-2A54-21BF5CF2F1A3}><C:\WINDOWS\system32\jhbpri.dll>       []
         <{2231A43A-1642-641A-64FD-146ADAB223B2}><C:\WINDOWS\system32\mxbman.dll>       []

手动删除办法：

一、修复注册表

开始--运行--输入REGEDIT

删除以下子项：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
         <logogo><C:\WINDOWS\system\logogo.exe>   

         <WinForm><C:\WINDOWS\WinForm.exe>  

<ravmsmon><C:\Program Files\NetMeeting\ravmsmon.exe> 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
         <AppInit_DLLs><jhbpri.dll>   

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
         <{E1351752-5628-1547-FFAB-BADC13512AFE}><C:\WINDOWS\system32\ztaman.dll>  

         <{352D2432-37A2-324F-2A54-21BF5CF2F1A3}><C:\WINDOWS\system32\jhbpri.dll>   

         <{2231A43A-1642-641A-64FD-146ADAB223B2}><C:\WINDOWS\system32\mxbman.dll>  

HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\NoAutoUpdate

2；清除病毒文件

把下面的内容保存成 a.reg 文件后，双击导入注册表（显示隐藏文件） 
Windows Registry Editor Version 5.00 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] 
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" 
"Text"="@shell32.dll,-30500" 
"Type"="radio" 
"CheckedValue"=dword:00000001 
"ValueName"="Hidden" 
"DefaultValue"=dword:00000002 
"HKeyRoot"=dword:80000001 
"HelpID"="shell.hlp#51105"

删除C:\WINDOWS\system\logogo.exe
以及该文件夹下的2222.exe~9999.exe 10000.exe~20000.exe
删除系统盘根目录下的setup.exe autorun.inf
右键右键点击其他盘------“打开” ----E、F、G盘
删除根目录：

setup.exe以及 autorun.inf