WINLOGON.EXE病毒徹底清除方案
WINLOGON.EXE病毒,j近來(lái)在網(wǎng)絡(luò)很流行,許多朋友都中了,許多殺毒軟件能查到,但是無(wú)論如何都無(wú)法清除。
不知道什么原因,這個(gè)病毒的中文譯名叫做“落雪”,又叫“飄雪”,很美吧?
我檢查了一下,發(fā)現(xiàn)進(jìn)程里多出一個(gè)大寫(xiě)的WINLOGON,是在winnt或windows目錄下的,而正常情況下,這個(gè)進(jìn)程應(yīng)該是在winnt或windows/system32目錄下的,此進(jìn)程不言而知。注冊(cè)表下的啟動(dòng)項(xiàng),里面有個(gè)Torjan pragramme的啟動(dòng)項(xiàng)目,不能徹底刪除。
以下是刪除的方法
這個(gè)進(jìn)程WINLOGON.EXE的用戶(hù)名是用戶(hù)自己,因此不可能是正常的系統(tǒng)進(jìn)程,正常的winlogon系統(tǒng)進(jìn)程,其用戶(hù)名為“SYSTEM” 程序名為小寫(xiě)winlogon.exe。而偽裝成該進(jìn)程的木馬程序其用戶(hù)名為當(dāng)前系統(tǒng)用戶(hù)名,且程序名為大寫(xiě)的WINLOGON.exe。進(jìn)程查看方式 ctrl+alt+del 然后選擇進(jìn)程。正常情況下有且只有一個(gè)winlogon.exe進(jìn)程,其用戶(hù)名為“SYSTEM”。如果出現(xiàn)了兩個(gè)winlogon.exe,且其中一個(gè)為大寫(xiě),用戶(hù)名為當(dāng)前系統(tǒng)用戶(hù)的話,表明可能存在木馬。
這個(gè)木馬非常厲害,能破壞掉木馬克星等許多著名的殺毒軟件,使其不能正常運(yùn)行,就算能正常運(yùn)行,也會(huì)錯(cuò)誤殺毒或查毒。目前使用其他殺毒軟件未能殺死。但是很明顯,人工也可以看出,那個(gè)WINDOWS下的WINLOGON.EXE確實(shí)是病毒,但是,她不過(guò)是這個(gè)病毒中的小角色而已,大家用鼠標(biāo)右鍵【打開(kāi)】,打開(kāi)D盤(pán)看看是否有一個(gè)pagefile的DOS指向文件和一個(gè)autorun.inf文件了,這些當(dāng)然都是隱藏的,刪這幾個(gè)沒(méi)用的,因?yàn)樗P(guān)聯(lián)了很多東西,甚至在安全模式都不能刪死,只要運(yùn)行任何程序,或者雙擊打開(kāi)D盤(pán),她就會(huì)重新被安裝了。而且這段時(shí)間很多人的帳號(hào)被盜就是因?yàn)檫@個(gè)破解的傳家寶了。
我分析了一下這個(gè)木馬的資料,連接是通向河南和天津的某一地區(qū),看來(lái)是國(guó)內(nèi)的。而且她很有趣,如果你機(jī)子上有傳奇等游戲,必然惹來(lái)她的親吻,那么說(shuō)QQ之類(lèi)的帳號(hào)密碼會(huì)不會(huì)被泄漏,這個(gè)不清楚,但起碼我有些朋友已經(jīng)被盜了。
解決“落雪”病毒的方法
癥狀:D盤(pán)雙擊打不開(kāi),而且里面有autorun.inf和pagefile.com文件
此病毒的制作者很了解系統(tǒng)的運(yùn)作,因此此兩個(gè)文件難以刪除,在安全模式用Administrator一樣解決不了!經(jīng)過(guò)一個(gè)下午的奮戰(zhàn)才算勉強(qiáng)解決。 我沒(méi)用什么查殺木馬的軟件,全是手動(dòng)一個(gè)一個(gè)把它揪出來(lái)把他刪掉的。它所關(guān)聯(lián)的文件如下,絕大多數(shù)文件都是顯示為系統(tǒng)文件和隱藏的。 所以要在文件夾選項(xiàng)里打開(kāi)顯示隱藏文件。
D盤(pán)里就兩個(gè),搞得你無(wú)法雙擊打開(kāi)D盤(pán)。C盤(pán)很多相關(guān)文件程序
D:\autorun.inf
D:\pagefile.com
C:\Program Files\Internet Explorer\iexplore.com
C:\Program Files\Common Files\iexplore.com
C:\WINDOWS\1.com
C:\WINDOWS\iexplore.com
C:\WINDOWS\finder.com
C:\WINDOWS\Exeroud.exe(傳奇的圖標(biāo),很漂亮)
C:\WINDOWS\Debug\*** Programme.exe(也是上面那個(gè)圖標(biāo),名字每臺(tái)機(jī)子都不同,但是明顯是非隱藏的)
C:\Windows\system32\command.com 這個(gè)不要輕易刪,看看是不是和下面幾個(gè)日期不一樣而和其他文件日期一樣,如果和其他文件大部分系統(tǒng)文件日期一樣就不能刪,當(dāng)然系統(tǒng)文件肯定不是這段時(shí)間的。
C:\Windows\system32\msconfig.com
C:\Windows\system32\regedit.com
C:\Windows\system32\dxdiag.com
C:\Windows\system32\rundll32.com
C:\Windows\system32\finder.com
C:\Windows\system32\a.exe
值得注意的是:看看這些文件的日期,看看其他地方還有沒(méi)有相同時(shí)間的文件還是.COM結(jié)尾的可疑文件,小心不要運(yùn)行任何程序,要不就又啟動(dòng)了,包括雙擊磁盤(pán),還有一個(gè)頭號(hào)文件!WINLOGON.EXE!做了這么多工作目的就是要離開(kāi)她的親吻!
C:\Windows\WINLOGON.EXE
這個(gè)在進(jìn)程里明顯可以看得到,有兩個(gè),一個(gè)是真的,一個(gè)是假的。
真的是小寫(xiě)winlogon.exe,(不知你們的是不是),用戶(hù)名是SYSTEM,
而假的是大寫(xiě)的WINLOGON.EXE,用戶(hù)名是你自己的用戶(hù)名。
這個(gè)文件在進(jìn)程里是中止不了的,說(shuō)是關(guān)鍵進(jìn)程無(wú)法中止,搞得跟真的一樣!就連在安全模式下它都會(huì)
呆在你的進(jìn)程里! 我現(xiàn)在所知道的就這些,要是不放心,就最好看一下其中一個(gè)文件的修改日期,然后用“搜索”搜這天修改過(guò)的文件,相同時(shí)間的肯定會(huì)出來(lái)一大堆的, 連系統(tǒng)還原夾里都有?。?這些文件會(huì)自己關(guān)聯(lián)的,要是你刪了一部分,不小心運(yùn)行了一個(gè),或在開(kāi)始-運(yùn)行里運(yùn)行msocnfig,command,regedit這些命令,所有的這些文件全會(huì)自己補(bǔ)充回來(lái)!
知道了這些文件,首先關(guān)閉可以關(guān)閉的所有程序,打開(kāi)程序附件里頭的WINDOWS資源管理器,并在上面的工具里頭的文件夾選項(xiàng)里頭的查看里設(shè)置顯示所有文件和文件假,取消隱藏受保護(hù)操作系統(tǒng)文件,然后打開(kāi)開(kāi)始菜單的運(yùn)行,輸入命令 regedit,進(jìn)注冊(cè)表,到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
里面,有一個(gè)Torjan pragramme,這個(gè)明擺著“我是木馬”,刪??!
然后注銷(xiāo)! 重新進(jìn)入系統(tǒng)后,打開(kāi)“任務(wù)管理器”,看看有沒(méi)rundll32,有的話先中止了,不知這個(gè)是真還是假,小心為好。 到D盤(pán)(注意不要雙擊進(jìn)入!否則又會(huì)激活這個(gè)病毒)右鍵,選【打開(kāi)】,把a(bǔ)utorun.inf和pagefile.com刪掉,
然后再到C盤(pán)把上面所列出來(lái)的文件都刪掉!中途注意不要雙擊到其中一個(gè)文件,否則所有步驟都要重新來(lái)過(guò)! 然后再注銷(xiāo)。
我在奮戰(zhàn)過(guò)程中,把那些文件刪掉后,所有的exe文件全都打不開(kāi)了,運(yùn)行cmd也不行。
打開(kāi)我的電腦點(diǎn)工具==>文件夾選項(xiàng)==>文件類(lèi)型==>新建exe擴(kuò)展名,點(diǎn)高級(jí)選應(yīng)用程序。
即可運(yùn)行
但我在弄完這些之后,在開(kāi)機(jī)的進(jìn)入用戶(hù)時(shí)會(huì)有些慢,并會(huì)跳出一個(gè)警告框,說(shuō)文件"1"找不到。(應(yīng)該是Windows下的1.com文件。),最后用System Repair Engineer看情況修理一下系統(tǒng)的啟動(dòng)項(xiàng)、系統(tǒng)關(guān)聯(lián)等。
最后說(shuō)一下怎么解決開(kāi)機(jī)提示找不到文件“1.com”的方法:
在運(yùn)行程序中運(yùn)行“regedit”,打開(kāi)注冊(cè)表,在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]中
把"Shell"="Explorer.exe 1"恢復(fù)為"Shell"="Explorer.exe" 當(dāng)然這也是啟動(dòng)項(xiàng)罷了。
關(guān)鍵詞:WINLOGON.EXE,病毒,WINLOGON.EXE病毒
閱讀本文后您有什么感想? 已有 人給出評(píng)價(jià)!
- 1
- 1
- 1
- 1
- 1
- 1