每次运行软件（播放器 迅雷等）都会在同一个文件夹显示名为1_.ii的II文件 。。
同时在进程里面有：logogo.exe。。。在安全模式下也杀不了啊。。。求高手解决啊！！！
we.jpg

在外网找的,结果如下

Quote:

logogo.exe病毒昨天才拿到样本      - - ！    （样本还真难拿）    由于样本过少 可能分析不全面    因此参考了网络了信息

综合分析如下：

病毒文件名: logogo.exe
大小: 23151 ~~~27034    bytes
MD5: 2FE74B4FADECC310DF67560665C2E04E
SHA1: 218E8821E78A581B58985A600971F34EA5FD8576
CRC32: 8A4A3ED5

病毒行为分析：

生成进程：
------logogo.exe ,
------1_.ii

生成如下文件：
------C:\WINDOWS\system\logogo.exe
------%systemroot%\win.log
------c:\windows\system\inudhya.dll
------c:\windows\system32\ldf252.dll
------在每个分区下面生成setup.exe和autorun.inf
-------自动连接网络，下载生成以下木马：
C:\WINDOWS\system\    文件夹下
4位或者5位字母组成的EXE文件    例如；2222.exe,20000.exe等

感染生成以下文件：
C:\Program Files\NetMeeting\ravmsmon.dat
C:\Program Files\NetMeeting\ravmsmon.exe
C:\WINDOWS\system32\***ins.exe
C:\WINDOWS\system32\***pri.dll
C:\WINDOWS\system32\***ini.dll
C:\WINDOWS\system32\kvmxacf.dll
C:\WINDOWS\system32\kvmxbis.exe
C:\WINDOWS\system32\kvmxbma.dll
C:\WINDOWS\system32\mxbcfg.dll
C:\WINDOWS\system32\***man.dll
C:\WINDOWS\system32\ntaskldr.exe
C:\WINDOWS\system32\WinForm.dll
C:\WINDOWS\WinForm.exe

改变注册表：
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\NoAutoUpdate
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
        <logogo><C:\WINDOWS\system\logogo.exe>      []
        <WinForm><C:\WINDOWS\WinForm.exe>      []
        <ravmsmon><C:\Program Files\NetMeeting\ravmsmon.exe>      []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
        <AppInit_DLLs><jhbpri.dll>      []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]       
<{E1351752-5628-1547-FFAB-BADC13512AFE}><C:\WINDOWS\system32\ztaman.dll>      []
        <{352D2432-37A2-324F-2A54-21BF5CF2F1A3}><C:\WINDOWS\system32\jhbpri.dll>      []
        <{2231A43A-1642-641A-64FD-146ADAB223B2}><C:\WINDOWS\system32\mxbman.dll>      []

手动删除办法：

一、修复注册表
开始--运行--输入REGEDIT
删除以下子项：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
        <logogo><C:\WINDOWS\system\logogo.exe>   
        <WinForm><C:\WINDOWS\WinForm.exe> 
<ravmsmon><C:\Program Files\NetMeeting\ravmsmon.exe> 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
        <AppInit_DLLs><jhbpri.dll>   
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]       
<{E1351752-5628-1547-FFAB-BADC13512AFE}><C:\WINDOWS\system32\ztaman.dll> 
        <{352D2432-37A2-324F-2A54-21BF5CF2F1A3}><C:\WINDOWS\system32\jhbpri.dll>   
        <{2231A43A-1642-641A-64FD-146ADAB223B2}><C:\WINDOWS\system32\mxbman.dll> 
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\NoAutoUpdate

2；清除病毒文件
把下面的内容保存成 a.reg 文件后，双击导入注册表（显示隐藏文件） 

Windows Registry Editor Version 5.00 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]  "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" 
"Text"="@shell32.dll,-30500" 
"Type"="radio" 
"CheckedValue"=dword:00000001 
"ValueName"="Hidden" 
"DefaultValue"=dword:00000002 
"HKeyRoot"=dword:80000001 
"HelpID"="shell.hlp#51105"

删除C:\WINDOWS\system\logogo.exe
以及该文件夹下的2222.exe~9999.exe 10000.exe~20000.exe
删除系统盘根目录下的setup.exe autorun.inf
右键右键点击其他盘------“打开” ----E、F、G盘
删除根目录：
setup.exe以及 autorun.inf

3：杀毒软件配合360扫描查杀残留病毒文件

4.修复受感染的exe文件

被感染的exe文件用 dr.web cureit 官方中文版修复
下载地址：
http://dl.pconline.com.cn/html_2/1/66/id=40056&pn=0.html
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe