一、認識一下logo病毒
logo_exe 是一種名叫w32.look.*的病毒(這是諾頓起的病毒名稱，*為不同變種的名稱)，也就是所說的W32.Viking威金蠕蟲病毒的變種。不過它是通過什么途徑傳播的，目前還不得而知。一個月變種三次讓人很頭疼，它首先感染一些升級文件，如名稱里含有UPDATE的文件，發(fā)作后迅速感染其他EXE文件，并在局域網(wǎng)里傳播，尤其喜歡攻擊服務(wù)器，在局域網(wǎng)中廣播頻率大約是三分鐘（w32.look.BK版本），同時釋放出多種木馬和后門等黑客工具。中招后的主要癥狀是EXE文件無法使用。
二、如何判斷你的機子是否中毒
看看你的C:\WINDOWS以及C:\WINDOWS\SYSTEM32里是否有l(wèi)ogo1_.exe 或logo_1.exe大約40多k，同時在c:\windows\uninstall或c:\windows或c:\windows\system32里是否有rundl132.dll或rund1l32.dll，其實有第一個癥狀就基本能恭喜你中招了。其他跟隨產(chǎn)生的文件還有zts2.dll、mhs2.dll、dll.dll、xy.dll、richdll.dll等dll文件（每個變種生成的dll文件不一樣)同時還有dc1.exe~dc15.exe等，并且還感染SVCHOST.EXE、LSASS.EXE、SMSS.EXE、RUNDLL32等系統(tǒng)核心文件。所以，一旦中招并發(fā)作，系統(tǒng)會遭受嚴重的創(chuàng)傷，危在旦夕了……嚴重的重裝是無法避免了。節(jié)哀順便吧。
三、中招后補救措施
一旦發(fā)現(xiàn)logo文件，一定不要重起機子，據(jù)說每重起一次病毒就復(fù)制一次，重起五次系統(tǒng)就基本沒救了。先深呼吸五次，保持冷靜。然后打開任務(wù)管理器，看看進程里是否有l(wèi)ogo項，沒有的話可能沒發(fā)作，抓緊把重要想要保住的軟件的EXE文件打開，并把文件類型改成只讀然后刪除可疑文件。然后靜靜的等待殺毒軟件的病毒庫更新到可以殺毒為止。如果發(fā)現(xiàn)可疑進程，那就比較棘手了。關(guān)閉可疑進程，然后刪除可疑文件。重復(fù)剛才所說的內(nèi)容。接下來新的有效的病毒庫到來的時候，安全模式下全盤掃描吧，很有可能被感染的EXE文件都被刪除（諾頓就是如此，哭了）而且很可能把系統(tǒng)文件也刪掉了，這就面臨著以后要重裝或者修復(fù)系統(tǒng)了。不要想著使用系統(tǒng)還原等其他還原工具，因為還原文件照樣會被感染的。
四、為中招機子的預(yù)防措施
在局域網(wǎng)中發(fā)現(xiàn)機子中招，立馬拔掉該機子的網(wǎng)線，以免作為傳染源繼續(xù)危害社會。在其他未中招或中招但沒發(fā)作的機子，做一個只讀的并且和病毒文件logo1_.exe 或logo_1.exe以及rundl132.dll或rund1l32.dll放在相應(yīng)的文件夾里。方法是先建一個同名的txt文件，再換成EXE文件，再設(shè)成只讀形式。再設(shè)置讓計算機不會自動運行該logo文件，方法是在運行里輸入gpedit.msc，選擇 用戶配置---管理模板---系統(tǒng)---不用運行指定的windows應(yīng)用程序 然后添加進logo1_.exe 、logo_1.exe等文件名。預(yù)防是很重要的哦，雖然病毒是防不勝防。

本文出自51CTO安全論壇，轉(zhuǎn)載請注明出處及作者。請原文作者速與責(zé)編聯(lián)系。