U盤感染下載者Xp.exe BoBoTurbo.exe logogogo.exe查殺綜述2007-11-25 23:17作者：清新陽光 ( http://hi.baidu.com/newcenturysun)
日期：2007/11/25 (轉載請保留此聲明)

這是最近很流行的木馬下載者病毒，它是之前的logogo病毒的變種，不過最近的新變種非常肆虐。該病毒主要具有如下破壞作用
1.通過U盤等移動存儲傳播
2.創建IFEO項目劫持殺毒軟體
3.感染exe檔案（被感染檔案尾部被加入一個名為.ani的節。被感染檔案運行後會釋放一個名為ani.ani的臨時檔案並運行）
4.下載木馬
5.向指定網址發送被感染者的及其名稱，操作系統，MAC地址等信息

關於該病毒的具體分析請參考

http://hi.baidu.com/newcenturysun/b...2742a75b36.html
（BoBoTurbo.exe即為logogogo.exe的最新變種，只是檔案名改變，其他未變）

下面通過舉例完整的闡述一遍這個病毒的解決辦法：
以下是一個被感染這個病毒後的sreng日誌
啟動項目
註冊表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<logogogo><%systemroot%\system\logogogo.exe>
或者是<logogogo><%systemroot%\system\BoBoTurbo.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<GenProtect><C:\WINDOWS\GenProtect.exE> []
<inudhya><C:\WINDOWS\system\soundma.exe> []
<logogogo><C:\WINDOWS\system\BoBoTurbo.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><kvdxsjma.dll> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{9D57B341-43DF-4563-753F-345FFA3157D9}><C:\WINDOWS\system32\kvmxjma.dll> []
<{AD561258-45F3-A451-F908-A258458226DA}><C:\WINDOWS\system32\kvdxsjma.dll> []
<{5598FF45-DA60-F48A-BC43-10AC47853D55}><C:\WINDOWS\system32\rarjepi.dll> []
<{A7D81718-1314-5200-2597-58790101807A}><C:\WINDOWS\system32\kaqhjzy.dll> []
<{AC87A354-ABC3-DEDE-FF33-3213FD7447CA}><C:\WINDOWS\system32\kvdxjma.dll> []
<{C34345F1-DACF-3452-CB7D-4620F34A153C}><C:\WINDOWS\system32\rsztlpm.dll> []
<{54783410-4F90-34A0-7820-3230ACD05F45}><C:\WINDOWS\system32\raqjepi.dll> []
<{9859245F-345D-BC13-AC4F-145D47DA34F9}><C:\WINDOWS\system32\avzximn.dll> []
<{C6650011-3344-6688-4899-345FABCD156C}><C:\WINDOWS\system32\ratblpi.dll> []
<{68907901-1416-3389-9981-372178569986}><C:\WINDOWS\system32\kawdfzy.dll> []
<{5A321487-4977-D98A-C8D5-6488257545A5}><C:\WINDOWS\system32\kapjezy.dll> []
<{65983698-1025-2685-5984-595778514656}><C:\WINDOWS\system32\wsjrfzx.dll> []
<{5960356A-458E-DE24-BD50-268F589A56A5}><C:\WINDOWS\system32\avwlemn.dll> []
<{B6650011-3344-6688-4899-345FABCD156B}><C:\WINDOWS\system32\ratbkpi.dll> []
<{24909874-8982-F344-A322-7898787FA742}><C:\WINDOWS\system32\swjqbzc.dll> []
<{678A7521-FA87-34AB-34C2-4893F3AD34C6}><C:\WINDOWS\system32\swrcezc.dll> []
<{25679330-4034-9021-7012-909856721372}><C:\WINDOWS\system32\wszjbzx.dll> []
IFEO項
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe]
<IFEO[360rpt.exe]><%systemroot%\system\logogogo.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe]
<IFEO[360Safe.exe]><%systemroot%\system\logogogo.exe> []
或者指向%systemroot%\system\BoBoTurbo.exe
==================================
Autorun.inf
[C:\]
[AutoRun]

OPEN=XP.EXE
shellexecute=XP.EXE
shell\打開(&O)\command=XP.EXE
[D:\]
[AutoRun]
OPEN=XP.EXE
shellexecute=XP.EXE
shell\打開(&O)\command=XP.EXE...

解決辦法：
下載sreng:http://download.kztechs.com/files/sreng2.zip
Xdelbox:http://www.dodudou.com/down/裡面的原創軟體檔案夾下

首先重啟電腦進入安全模式下(開機後不斷 按F8鍵 然後出來一個高級選單 選擇第一項 安全模式 進入系統)
分別解壓Xdelbox和sreng
(注意：如果winrar也被感染，請重裝winrar後再解壓檔案,推薦重裝winrar)

1.打開sreng
啟動項目 註冊表 刪除如下項目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<logogogo><%systemroot%\system\logogogo.exe> []
或者是<logogogo><%systemroot%\system\BoBoTurbo.exe>

並刪除所有紅色的IFEO項目



2.解壓Xdelbox所有檔案到一個檔案夾
在 添加旁邊的框中 分別輸入（實際情況不一定與此相同，因為木馬隨時會變化）
C:\WINDOWS\system32\kvmxjma.dll
C:\WINDOWS\system32\kvdxsjma.dll
C:\WINDOWS\system32\rarjepi.dll
C:\WINDOWS\system32\kaqhjzy.dll
C:\WINDOWS\system32\kvdxjma.dll
C:\WINDOWS\system32\rsztlpm.dll
C:\WINDOWS\system32\raqjepi.dll
C:\WINDOWS\system32\avzximn.dll
C:\WINDOWS\system32\ratblpi.dll
C:\WINDOWS\system32\kawdfzy.dll
C:\WINDOWS\system32\kapjezy.dll
C:\WINDOWS\system32\wsjrfzx.dll
C:\WINDOWS\system32\avwlemn.dll
C:\WINDOWS\system32\ratbkpi.dll
C:\WINDOWS\system32\swjqbzc.dll
C:\WINDOWS\system32\swrcezc.dll
C:\WINDOWS\system32\wszjbzx.dll
C:\WINDOWS\system\soundma.exe
C:\WINDOWS\GenProtect.exE
%systemroot%\system\logogogo.exe或者%systemroot%\system\BoBoTurbo.exe

（對照sreng日誌的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks的相關項目可得）

輸入完一個以後 點擊旁邊的添加 按鈕 被添加的檔案 將出現在下面的大框中
然後一次性選中 （按住ctrl)下面大框中所有的檔案
右鍵 單擊 點擊 重啟立即刪除



重啟電腦以後 會有兩個系統進入的選擇的倒計時界面
第一個是你原來的windows系統
第二個是我的軟體給你設定的dos系統
進入第二個系統



類似dos的界面滾動完畢以後 病毒就被刪除了





之後他會自動重啟進入正常模式

3.重啟電腦後
雙擊我的電腦，工具，檔案夾選項，查看，單擊選取"顯示隱藏檔案或檔案夾" 並清除"隱藏受保護的操作系統檔案（推薦）"前面的鉤。在提示確定更改時，單擊「是」 然後確定
點擊 選單欄下方的 檔案夾按鈕（搜索右邊的按鈕）
在左邊的資源管理器中單擊打開每個盤



刪除各個盤根目錄下的XP.exe和autorun.inf

4.打開sreng
啟動項目 註冊表
雙擊AppInit_DLLs把其鍵值清空

5.使用殺毒軟體全盤殺毒以修復被感染的exe檔案(如果殺毒軟體也被感染，請重裝殺毒軟體以免造成反覆感染