瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 致“虚假winlogon”——木马winlogon.exe的查杀方法
baohe - 2005-12-4 21:59:00
这个木马很变态!!
查杀方法如下:

一、结束WINLOGON.EXE进程。注意,装在C盘的NT系统:木马路径:C:\WINDOWS\WINLOGON.EXE;正常系统进程路经:C:\WINDOWS\SYSTEM32\WINLOGON.EXE。为避免误将系统进程WINLOGON.EXE结束而导致系统崩溃,动手前务必用IceSword等可以显示进程路径的工具鉴别一下。不要用微软自带的任务管理器(它根本就不显示进程路径!)。
二、下载RegFix(一个注册表修复工具)。将Regfix.exe的后缀改为scr,按确定。双击Regfix.scr,自动修复注册表主要文件关联项。
三、找到并删除下列文件(见附图)。
四、修改被木马篡改的注册表项:

1、HKEY_CLASSES_ROOT\.lnk\ShellNew
"Command"="rundll32.com appwiz.cpl,NewLinkHere %1"
删除"Command"="rundll32.com
2、HKEY_CLASSES_ROOT\.bfc\ShellNew
"Command"="%SystemRoot%\\system32\\rundll32.com %SystemRoot%\\system32\\syncui.dll,Briefcase_Create %2!d! %1"
将"Command"="%SystemRoot%\\system32\\rundll32.com改为"Command"="%SystemRoot%\\system32\\rundll32.exe
3、HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" %1"

4、HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command

将@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\""改为@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\""

5、HKEY_CLASSES_ROOT\cplfile\shell\cplopen\command
@="rundll32.com shell32.dll,Control_RunDLL \"%1\",%*"
删除@="rundll32.com
6、HKEY_CLASSES_ROOT\Drive\shell\find\command

将@="%SystemRoot%\\explorer.com"改为@="%SystemRoot%\\explorer.exe"

7、HKEY_CLASSES_ROOT\dunfile\shell\open\command

将@="%SystemRoot%\\system32\\rundll32.com NETSHELL.DLL,InvokeDunFile %1"改为@="%SystemRoot%\\system32\\rundll32.exe NETSHELL.DLL,InvokeDunFile %1"

8、HKEY_CLASSES_ROOT\ftp\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" %1"

9、HKEY_CLASSES_ROOT\htmlfile\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\" -nohome"改为@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" -nohome"

10、HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command

删除@="\"C:\\Program Files\\common~1\\iexplore.pif\" %1"

11、HKEY_CLASSES_ROOT\htmlfile\shell\print\command
删除@=rundll32.com

12、HKEY_CLASSES_ROOT\inffile\shell\Install\command
删除@="%SystemRoot%\\System32\\rundll32.com

13、HKEY_CLASSES_ROOT\InternetShortcut\shell\open\command
删除@="finder.com

14、HKEY_CLASSES_ROOT\scrfile\shell\install\command
删除@="finder.com
15、HKEY_CLASSES_ROOT\scriptletfile\Shell\Generate Typelib\command
删除@="\"C:\\WINDOWS\\system32\\finder.com\"

16、HKEY_CLASSES_ROOT\telnet\shell\open\command
删除@="finder.com

17、HKEY_CLASSES_ROOT\Unknown\shell\openas\command
删除@="%SystemRoot%\\system32\\finder.com
18、HKEY_CLASSES_ROOT\winfiles\Shell\Open\Command
删除@="C:\\WINDOWS\\ExERoute.exe \"%1\" %*"

19、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除"Torjan Program"="C:\\WINDOWS\\WINLOGON.EXE"

20、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
将"Shell"="Explorer.exe 1"改为"Shell"="Explorer.exe"

附件: 1558472005124215906.jpg
ヘ网络农民ヘ - 2005-12-4 22:02:00
学习ing

只是怎么察觉这个虚假的winlogon 有点麻烦了咯。...



蓝色陨石 - 2005-12-4 22:09:00
原来还有冒充winlogon.exe的木马,收藏了,学习学习。
虚假winlogon - 2005-12-5 0:42:00
谢谢阿~  我胸中一块大石落了地~
虚假winlogon - 2005-12-5 0:53:00
如果不能 用任务管理器 结束进程   
  那么就用  防火墙  或者 黄金内存等工具结束它 
  一定要 注意  是 大写的那个
虚假winlogon - 2005-12-5 2:53:00
万要注意!!!!!!!1
  在手动杀毒期间不要打开 IE 和 *.exe *.ini 的文件 否则又要 激活病毒  还要从第一步开始 。直到 修改完最后一项注册表 并保存
  总之 先把你要打开的东西  全打开  然后再按步骤杀毒    否则可能前功尽弃
baohe - 2005-12-5 9:16:00
【回复“虚假winlogon”的帖子】
其实,用RegFix修复文件关联后,这个木马用IceSword杀比较容易。只是为了留回收站中那些被删文件的截图,我才没用IceSword。
刘新民 - 2005-12-5 12:30:00
偶的电脑里有啊,昨天我发帖子,那个谁说不要紧,不必删,这是偶的帖子http://forum.ikaka.com/topic.asp?board=28&artid=7494256
刘新民 - 2005-12-5 12:32:00
请高手看看,有必要删吗?
花落花又开 - 2005-12-5 13:31:00
类似那个传奇木马...
刘新民 - 2005-12-5 13:57:00
那怎么办,那个木马都传奇了,怎么杀啊,我的进程上就结束不了,底下根本没法操作啊
baohe - 2005-12-5 15:35:00
【回复“刘新民”的帖子】

“虚假winlogon”网友给的这个病毒样本在NT系统的%windows% 文件夹中释放winlogon.exe;而你昨天说的那个winlogon.exe是正常系统文件,不能删,也删不掉(受系统保护)。正常的系统文件winlogon.exe在NT系统%system%文件夹中(如果你的系统是XP,装在C盘,这个%system%=c:\windows\system32\),而不是在NT系统的%windows%文件夹中。明白?
虚假winlogon - 2005-12-6 3:33:00
baohe 受关联文件咱们查漏了一个~
baohe - 2005-12-6 8:58:00
【回复“虚假winlogon”的帖子】
这个木马有变种。看看下面这个老贴:http://forum.ikaka.com/topic.asp?board=28&artid=7205233。
鬼 - 2006-2-19 10:16:00
好像你说的方法    已经不行了    病毒更新了  只要一结束    WINLOGON.EXE 这个进程      电脑就重启了  安去模式也没用
红哥哥 - 2006-2-19 10:42:00
晕哦!~这么麻烦啊!~我改的头都晕了,还是不行哦!~~GHOST也没用哦!~
baohe - 2006-2-19 12:05:00
引用:
【  鬼的贴子】好像你说的方法    已经不行了    病毒更新了  只要一结束    WINLOGON.EXE 这个进程      电脑就重启了  安去模式也没用
...........................

找到你系统中那个WINLOGON.EXE,用WINRAR打包,发到:baohelin@yahoo.com.cn。我看看它怎么变的。
红哥哥 - 2006-2-19 16:39:00
哦,我按照老大教的方法杀毒去了,而且不怕老大笑话,你一下就收到回收站的那些病毒我是一个一个从原始文件夹里找到,然后再删除的。而且还有:command,dxdiag.com,fander.com(只找到一个),~DF18A9.tmp这4个文件没找到呢!~~~~~~~~~
红哥哥 - 2006-2-19 16:42:00
因为杀毒去了,忘记邮寄病毒了,555555!~小的下次一定记得给老大邮病毒!~:)
红哥哥 - 2006-2-19 18:30:00
晕,WIN98里面怎么杀啊?
友好人士 - 2006-3-2 15:33:00
这世道是怎么的啦,病毒木马横行,我都有点不敢上网了.
lanyue - 2006-3-11 12:38:00
该用户帖子内容已被屏蔽
inspi - 2006-3-11 13:15:00
才发现这有个关于winlogon.exe的帖子。不好意思刚才开了个新贴。
这是我用Hijackthis扫描的结果
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
是被病毒感染了吗?
baohe - 2006-4-20 9:23:00
引用:
【  鬼的贴子】好像你说的方法    已经不行了    病毒更新了  只要一结束    WINLOGON.EXE 这个进程      电脑就重启了  安去模式也没用
...........................

恐怕是你自己搞错了吧。
正常系统进程WINLOGON.EXE(路径为C:\WINDOWS\SYSTEM32\WINLOGON.EXE),这个进程是不能结束的,强行结束它,系统崩溃、重启。
木马进程WINLOGON.EXE的路径是C:\WINDOWS\WINLOGON.EXE。
区分正常系统进程与木马进程WINLOGON.EXE,请用IceSword。因为IceSword的进程列表有各个进程的路径显示。
edwardor - 2006-4-26 7:15:00
我按照这个方法试了,可就是删除不掉啊!
edwardor - 2006-4-26 18:49:00
baohe能提供一个最便捷的方法吗?实在没办法啊,手工修复还是有啊
小惠湘 - 2006-4-27 10:42:00
我也是啊,我结束大写的winlogon,照样重启。而且删掉那个1后,所有执行文件都不能运行了,没办法,只能把它从回收站请回来。
偶是高达 - 2006-4-27 10:53:00
是WINLOGON.EXE 还是winlogon.exe啊大写的吗.在任误拦里看吗
小惠湘 - 2006-4-27 11:17:00
大写的,也提示系统关键进程,不能结束。
疯ァ缘 - 2006-5-9 16:44:00
我的也是大写的,就一个WINLOGON.EXE 是系统进程
12
查看完整版本: 致“虚假winlogon”——木马winlogon.exe的查杀方法
© 2000 - 2026 Rising Corp. Ltd.