盗传奇WINLOGON。EXE木马的查杀办法
一般的winlogon系统历程,其用户名为“SYSTEM” 法式名为小写winlogon。exe。
而假装成该历程的木马法式其用户名为当前系统用户名,且法式名为大写的WINLOGON。
exe。 历程查看体例 ctrl+alt+del 然后选择历程。一般情况下有且只要一个winlogon。exe历程,其用户名为“SYSTEM”。若是呈现了两个winlogon。exe,且此中一个为大写,用户名为当前系统用户的话,表白可能存在木马。
那个木马十分凶猛,能毁坏掉木马克星,使其不克不及一般运行。目前我利用卡巴斯基未能查出。 阿谁WINDOWS下的WINLOGON。EXE确实是病毒,但是,她不外是那个病毒中的小角色罢了,各人翻开D盘看看能否有一个pagefile的DOS指向文件和一个 f文件了,呵呵,当然都是隐藏的,删那几个没用的,因为它联系关系了良多工具,以至在平安形式都删除不掉,只要运行任何法式,或者双击翻开D盘,它就会从头被安拆了,那段时间良多人被盗就是因为那个破解的传家宝了,并且杀毒软件查不出来,有人叫那个病毒为 ”落雪“ 是专门盗传奇世界的木马,至于会不会盗其他帐号如QQ,网银 就看它快乐了,估量也都是一并录造。
不怕毒和要削减丧失的更好开启防火墙阻遏除了本身信赖的几个常用使命出门,其他的全数阻挠,当然各人更好尽快备份,然后关门杀毒。
以下是比来出格毒的WINLOGON。EXE盗号病毒肃清办法,留意那个假的WINLOGON。EXE是在WINDOWS下,历程里头表示为当前用户或ADMINISTRATOR。
别的一个 SYSTEM的winlogon。exe是一般的。
处理“落雪”病毒的办法:
症状:D盘双击打不开,里面有 f和 文件
做那个病毒的人也太强了,在平安形式用Administrator一样处理不了!它所联系关系的文件如下,绝大大都文件都是显示为系统文件和隐藏的。
所以要在文件夹选项里翻开显示隐藏文件。
D盘里就两个,搞得你无法双击翻开D盘。C盘里的就多了!
D:\ f
D:\
C:\Program Files\Internet Explorer\
C:\Program Files\Common Files\
C:\WINDOWS\
C:\WINDOWS\
C:\WINDOWS\
C:\WINDOWS\ExERoute。
exe(红色传奇世界图标)
C:\WINDOWS\Debug\DebugProgram。exe(也是上面阿谁图标)
C:\Windows\system32\ 那个不要随便删,看看是不是和下面几个日期纷歧样而和其他文件日期一样,若是和其他文件大部门系统文件日期一样就不克不及删,当然系统文件必定不是那段时间的。
C:\Windows\system32\
C:\Windows\system32\
C:\Windows\system32\
C:\Windows\system32\
C:\Windows\system32\
C:\Windows\system32\a。
exe
对了,看看那些文件的日期,看看其他处所还有没有不异时间的文件仍是。COM结尾的可疑文件,小心不要运行任何法式,要不就又启动了,包罗双击磁盘
还有一个头号文件!WINLOGON。EXE!做了那么多工做目标就是要干掉它!!!
C:\Windows\WINLOGON。
EXE
那个在历程里能够看得到,有两个,一个是实的,一个是假的。
实的是小写winlogon。exe,用户名是SYSTEM, 而假的是大写的WINLOGON。EXE,用户名是你本身的用户名。
那个文件在历程里是中行不了的,说是关键历程无法中行,搞得跟实的一样!就连在平安形式下它城市呆在你的历程里! 我如今所晓得的就那些,如果不安心,就更好看一下此中一个文件的修改日期,然后用“搜索”搜此日修改正的文件,不异时间的必定会出来一大堆的, 连络统复原夹里都有!! 那些文件会本身联系关系的,如果你删了一部门,不小心运行了一个,或在起头-运行里运行msocnfig,command,regedit那些号令,所有的那些文件全会本身弥补回来!
晓得了那些文件,起首封闭能够封闭的所有法式,翻开法式附件里头的WINDOWS资本办理器,并在上面的东西里头的文件夹选项里头的查看里设置显示所有文件和文件夹,打消隐藏受庇护操做系统文件,然后翻开起头菜单的运行,输入号令 regedit,进注册表,到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
里面,有一个Torjan pragramme,那个明摆着“我是木马”,删!!
然后登记! 从头进入系统后,翻开“使命办理器”,看看有没rundll32,有的话先中行了,不知那个是实仍是假,小心为好。
到D盘(留意不要双击进入!不然又会激活那个病毒)右键,选“翻开”,把 f和 删掉,
然后再到C盘把上面所列出来的文件都删掉!半途留意不要双击到此中一个文件,不然所有步调都要从头来过! 然后再登记。
那些文件删掉后,所有的exe文件全都打不开了,运行cmd也不可。
然后,到C:\Windows\system32 里,把cmd。exe改名成 ,我也会用com文件,然后双击那个COM文件,然后动作能够进入到DOS下的号令提醒符。
再打入以下的号令:
assoc 。exe=exefile (assoc与。
exe之间有空格)
ftype exefile="%1" %*
如许exe文件就能够运行了。
但我在弄完那些之后,在开机的进入用户时会有些慢,并会跳出一个警告框,说文件"1"找不到。(应该是Windows下的 文件。)
最初说一下怎么处理开机跳出找不到文件“ ”的办法:
在运行法式中运行“regedit”,翻开注册表,在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]中
把"Shell"="Explorer。
exe 1"恢复为"Shell"="Explorer。exe"
重启,删除C:\Windows\WINLOGON。EXE
大功乐成!各人分享一下吧!