当前位置: 首页 > 图文教程 > 网络安全 > 杀毒防毒 > 举一反三 经典winlogon病毒查杀方法

杀毒防毒
U盘(auto病毒)类病毒分析与解决方案
解析魔兽木马Trojan-PSW.Win32.WOW
绕过主动防御 木马病毒刺穿卡巴斯基
总结经典:木马十大藏身地点大搜查
手动清除 chcp.exe病毒 保护 MSN的安全
卡巴斯基KIS 7.0防火墙设置完全攻略
百毒不侵 如何以不变应万变预防病毒
病毒日新月异 六大反病毒技术亟待成熟
守住你的网站 防御DDoS攻击实用指南
提高诺顿杀毒软件速度的五则技巧
安全升级 新版迅雷杀毒方案之详解
病毒非电脑的专利 常见手机病毒分析
卡巴斯基8.0主要特性介绍(附激活码)
几大常见的手机杀毒软件试用横评
三种2008版杀毒软件七大主流功能横评
检测硬盘与内存中病毒痕迹的四种绝招
优化XP使卡巴斯基7.0单机版运行流畅
上网不再怕中毒 教你一招克死所有病毒
“色情终结者”病毒专删PC内色情电影
精心设置卡巴斯基 加快杀毒速度

杀毒防毒 中的 举一反三 经典winlogon病毒查杀方法


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 131 ::
收藏到网摘: n/a

此病毒虽已成为过去,但问题比较经典,现把查杀方法写出来,举一反三,希望对大家有所帮助!
这个木马可能会释放出QQ尾巴msinfo.rx是在C:\Program Files\Common Files\microsoft shared\msinfo\内,是隐藏文件,启动QQ后会加载到QQ.exe、TIMPlatform.exe线程内,可在安全模式下删除。另C:\Program Files\Internet Explorer\PLUGINS内也会生成systme.sys木马文件,安全模式下可删除!这是在清理同事机器时发现的,是否和“落雪”关联,还不清楚,大家要注意下。
同事的机器种病毒了,我检查了一下,发现进程里多出一个大写的WINLOGON,是在winnt目录下的,而正常情况下,这个进程应该是在winnt/system32目录下的,看来一定有鬼。
查了下注册表的启动项,里面果然有个异常的Torjan pragramme,可以换到安全模试下删除后,重启又会出现,看来这个东西不简单。
上网搜了下,原来是个叫“落雪”的病毒,好美的名字啊。
下面把搜到的解决方法分享下:
这个进程是不是一个传奇世界程序的图标使用51破解版传家宝会生产一个WINLOGON.EXE进程,正常的winlogon系统进程,其用户名为“SYSTEM” 程序名为小写winlogon.exe。而伪装成该进程的木马程序其用户名为当前系统用户名,且程序名为大写的WINLOGON.exe。进程查看方式 ctrl+alt+del 然后选择进程。正常情况下有且只有一个winlogon.exe进程,其用户名为“SYSTEM”。如果出现了两个winlogon.exe,且其中一个为大写,用户名为当前系统用户的话,表明可能存在木马。
这个木马非常厉害,能破坏掉木马克星,使其不能正常运行。目前我使用其他杀毒软件未能查出。那个WINDOWS下的WINLOGON.EXE确实是病毒,但是,她不过是这个病毒中的小角色而已,大家打开D盘看看是否有一个pagefile的DOS指向文件和一个autorun.inf文件了,呵呵,当然都是隐藏的,删这几个没用的,因为她关联了很多东西,甚至在安全模式都难搞,只要运行任何程序,或者双击打开D盘,她就会重新被安装了,呵呵,这段时间很多人被盗就是因为这个破解的传家宝了,而且杀毒软件查不出来,有人叫这个病毒为 ”落雪“ 是专门盗传奇传奇世界的木马,至于会不会盗其他帐号如QQ,网银 就看她高兴了,呵呵,估计也都是一并录制。不怕毒和要减少损失的最好开启防火墙阻止除了自己信任的几个常用任务出门,其他的全部阻挡,当然大家最好尽快备份,然后关门杀毒包括方新等修改过的51pywg传家宝,和他们破解的其他一切外挂,这次嫌疑最大的是51PYWG,至于其他合作网站估计也逃不了关系,特别是方新网站,已经被证实过多次在网站放木马,虽然他解释是被黑了,但是不能排除其他可能,特别小心那些启动后连接网站的外挂,不排除启动器本身就有毒,反正一句话,这种启动就连接某网站的破解软件最容易放毒,至于什么时候放,怎么方,比如一天放几个小时,都要看他怎么爽,用也尽量用那种完全本地破解验证版的,虽然挂盟现在好像还没发现被放马或者自己放,但是千万小心,,最近传奇世界传奇N多人被盗号,目标直指这些网站,以下是最近特别毒的WINLOGON.EXE盗号病毒清除方法,注意这个假的WINLOGON.EXE是在WINDOWS下,进程里头表现为当前用户或ADMINISTRATOR.另外一个 SYSTEM的winlogon.exe是正常的,那个千万不要乱删,看清楚了,前面一个是大写,后面一个是小写,而且经部分网友证实,此文件连接目的地为河南。
解决“落雪”病毒的方法
症状:D盘双击打不开,里面有autorun.inf和pagefile.com文件
做这个病毒的人也太强了,在安全模式用Administrator一样解决不了!经过一个下午的奋战才算勉强解决。 我没用什么查杀木马的软件,全是手动一个一个把它揪出来把他删掉的。它所关联的文件如下,绝大多数文件都是显示为系统文件和隐藏的。 所以要在文件夹选项里打开显示隐藏文件。
D盘里就两个,搞得你无法双击打开D盘。C盘里盘里的就多了!
D:\autorun.inf
D:\pagefile.com
C:\Program Files\Internet Explorer\iexplore.com
C:\Program Files\Common Files\iexplore.com
C:\WINDOWS\1.com
C:\WINDOWS\iexplore.com
C:\WINDOWS\finder.com
C:\WINDOWS\Exeroud.exe(忘了是不是这个名字了,红色图标有传奇世界图标的)
C:\WINDOWS\Debug\*** Programme.exe(也是上面那个图标,名字忘了-_- 好大好明显非隐藏的)
C:\Windows\system32\command.com 这个不要轻易删,看看是不是和下面几个日期不一样而和其他文件日期一样,如果和其他文件大部分系统文件日期一样就不能删,当然系统文件肯定不是这段时间的。
C:\Windows\system32\msconfig.com
C:\Windows\system32\regedit.com
C:\Windows\system32\dxdiag.com
C:\Windows\system32\rundll32.com
C:\Windows\system32\finder.com
C:\Windows\system32\a.exe

对了,看看这些文件的日期,看看其他地方还有没有相同时间的文件还是.COM结尾的可疑文件,小心不要运行任何程序,要不就又启动了,包括双击磁盘,还有一个头号文件!WINLOGON.EXE!做了这么多