WINLOGON.EXE最近在网上很红,很多朋友都上当了。很多杀毒软件都能找到,但是无论如何都无法删除。
不知什么原因,这种病毒的中文翻译叫“落雪”,也叫“飘雪”。是不是很美?
我查了一下,发现进程中多了一个大写的WINLOGON,在winnt或者windows的目录下。正常情况下,这个进程应该在winnt或者windows/system32的目录下。这个过程不言而喻。注册表下的启动项包含一个Torjan pragramme的启动项,不能完全删除。
下面是删除的方法
这个进程WINLOGON.EXE的用户名是用户本人,所以不可能是正常的系统进程,正常的winlogon系统进程,用户名是“SYSTEM”,程序名是小写的winlogon.exe。而木马伪装成这个进程的用户名是当前系统的用户名,而程序名是大写的WINLOGON.exe。通过ctrl+alt+del查看进程,然后选择进程。正常情况下,只有一个winlogon.exe进程,其用户名为“SYSTEM”。如果有两个winlogon.exe,且其中一个大写,用户名为当前系统用户,则说明可能有木马。
这个木马非常厉害,可以破坏很多著名的杀毒软件,比如木马克星,让它无法正常运行。即使能正常运行,也会误杀或查杀病毒。目前其他杀毒软件已经查杀失败。但是很明显,手动可以看出,WINDOWS下的WINLOGON.EXE确实是病毒。然而,她只是这个病毒中的一个小角色。大家用鼠标右键【打开】,打开D盘,看看有没有pagefile的DOS指向文件和autorun.inf文件。这些都是隐藏的,当然。删除这些是没有用的,因为她和很多东西都有关联,即使在安全模式下,你也不能删除。随便运行个程序。而且因为这个破解的传家宝,很多人的账号都被盗了。
我分析过这个木马的信息,连接的是河南天津某地区,好像是国内的。而且,她很有趣。如果你电脑里有传奇之类的游戏,必然会引发她的吻。所以,qq等账号密码会不会泄露还不清楚,但至少我的一些朋友被盗过。
“落雪”病毒的解决方案
症状:双击D盘打不开,里面有autorun.inf和pagefile.com文件。
这个病毒的制造者非常了解系统的操作,所以很难删除这两个文件,在安全模式下不是管理员能解决的!打了一下午,才勉强定下来。我没有用任何软件查杀木马。我只是手动把它们一个一个拉出来删除。其关联文件如下,大部分显示为系统文件,隐藏。所以你应该在文件夹选项中打开并显示隐藏文件。
D盘只有两个,所以你不能双击打开D盘. C盘的许多相关文件程序
D:\autorun.inf
D:\pagefile.com
c:\ Program Files \ Internet Explorer \ ie xplore . com
c:\ Program Files \ Common Files \ ie xplore . com
C:\WINDOWS\1.com
C:\WINDOWS\iexplore.com
C:\WINDOWS\finder.com
C:\WINDOWS\Exeroud.exe(传说中的图标,非常漂亮)
c:\ Windows \ Debug \ * * Programme.exe(也是上面的图标,每台电脑的名字都不一样,但显然没有隐藏)
c:\ windows \ system32 \ command.com这个不要轻易删除。让我们看看它是否与以下日期不同,但与其他文件相同。如果和其他文件的大部分系统文件一样,就不能删除。当然,系统文件肯定不是这个时期的。
c:\ Windows \ system32 \ msconfig . com
c:\ Windows \ system32 \ regedit . com
C:\Windows\system32\dxdiag.com
c:\ Windows \ system32 \ rundll32 . com
C:\Windows\system32\finder.com
C:\Windows\system32\a.exe
注意:看看这些文件的日期,看看是否有其他文件的时间相同或可疑的文件结束。COM。注意不要运行任何程序,否则会重新启动,包括双击磁盘,还有一个一号文件!WINLOGON.EXE!这一切工作的目的就是为了留下她的吻!
C:\Windows\WINLOGON。可执行程序的扩展名
在这个过程中可以清楚的看到,有两个,一个是真的,一个是假的。
真的是小写的winlogon.exe,(不知道你的是不是),用户名是SYSTEM。
假的是大写的WINLOGON.EXE,用户名是你自己的用户名。
这个文件在过程中不能停,说关键过程不能停。就像真的一样!即使在安全模式下,它也会
保持你的进步!我现在就知道这么多。如果你不放心,最好看一下其中一个文件的修改日期,然后用“搜索”来搜索这一天的修改文件。肯定会同时有很多文件,甚至在系统还原文件夹里!这些文件会自己关联起来。如果你删除了其中的一些,不小心运行了一个,或者在start-run中运行了命令msocnfig,command,regedit,所有这些文件都会自行补充!
知道了这些文件,首先关闭所有可以关闭的程序,打开程序附件中的WINDOWS资源管理器,在上面工具的文件夹选项中设置在视图中显示所有文件和file false,取消隐藏受保护的操作系统文件,然后打开开始菜单运行,输入命令regedit,进入注册表,进入
HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \当前版本\Run
里面有一个Torjan程序,很明显是“我是特洛伊木马”。删除它!
然后注销!重新进入系统后,打开“任务管理器”看看有没有rundll32。如果有,先制止。不知道这是真是假。小心点。转到D盘(注意不要双击进入!否则,此病毒将被激活。)右键选择【打开】删除autorun.inf和pagefile.com。
然后转到c盘,删除上面列出的所有文件!注意不要双击中间的某个文件,否则所有的步骤都要重新开始!然后注销。
在战斗的过程中,删除了那些文件后,所有的exe文件都打不开了,甚至运行cmd。
打开我的电脑工具==文件夹选项==文件类型==创建新的exe扩展名,点击高级选择应用程序。
你可以跑。
但是我做完这些之后,启动电脑进入用户会有点慢,会弹出一个警告框,说找不到文件‘1’。(应该是Windows下的1.com文件。),最后用系统修复工程师修复启动项、系统关联等。根据情况调整系统。
最后,如何解决开机提示找不到文件“1.com”的问题:
在正在运行的程序中运行“regedit”,打开[HKEY _本地_机器\软件\微软\ windows nt \当前版本\ winlogon]中的注册表
将“Shell”=“explorer . exe 1”还原为“Shell”=“explorer . exe”。当然,这只是一个启动项目。
