【回复“永恒传说”的帖子】
C:\WINDOWS\WINLOGON.EXE这个木马程序就是“龙字传奇”木马
综合三个日志分析
先给出如下解决方案
请楼主先参考一下
建议下面的步骤来操作
http://forum.ikaka.com/topic.asp?board=28&artid=6979213
下载regfix
将其改名为Regfix.scr
双击打开该工具来修复文件关连
================
结束如下进程:
C:\WINDOWS\system32\big5_gb2312.exe
C:\WINDOWS\system32\SeedServ.exe
C:\Program Files\Common Files\COMM\Network.exe
C:\WINDOWS\WINLOGON.EXE
C:\WINDOWS\system32\res.exe
C:\Program Files\Common Files\UPDATE\Update.exe
C:\DOCUME~1\lakehoo\LOCALS~1\Temp\~xQ3.exe
================
开始--运行
输入regedit
确定
进入注册表
删除如下几项
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<run><C:\WINDOWS\winhlps.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<Update><C:\Program Files\Common Files\UPDATE\Update.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<res><C:\WINDOWS\system32\res.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<Torjan Program><C:\WINDOWS\WINLOGON.EXE>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<KernelCheck><C:\WINDOWS\system32\winmer.exe>
===============
进入注册表
修改
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe 1>
为
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe>
================
进入注册表
删除如下服务
[.Net Boot Service / .Net Boot Service]
<C:\WINDOWS\system32\big5_gb2312.exe><N/A>
[Registry Protector / lDOMANE]
<C:\WINDOWS\SYSTEM32\RUNDLL32.EXE C:\WINDOWS\SYSTEM32\WBEM\IRJIT.DLL,Export 1087><N/A>
[Local Network Service / Local Network Service]
<C:\WINDOWS\system32\SeedServ.exe><N/A>
[MS help / Portable Media Serial]
<C:\WINDOWS\IEXPL0RE.EXE><N/A>
[system / system]
<C:\WINDOWS\system.exe><N/A>
[Network System / Universal Disk Manager]
<C:\Program Files\Common Files\COMM\Network.exe><COMENET TECHNOLOGY>
操作方法:
进入注册表
搜索.Net Boot Service
.Net Boot Service应该在注册表的左边
是一个.Net Boot Service文件夹
找到后删除
另外:
lDOMANE
Local Network Service
Portable Media Serial
system
Universal Disk Manager
上述五个也是病毒服务
属性与路径与.Net Boot Service相同
找到后全部删除
=================
http://forum.ikaka.com/topic.asp?board=28&artid=6979213
下载icesword
打开icesword主界面
点击文件--设置
勾选“禁止进线程创建”
然后结束Explorer.exe进程
最后再删除C:\WINDOWS\twains.dll
删除后再把“禁止进线程创建”前的勾去掉
注意这一步操作全部用icesword来完成
===============
用HIJACKTHIS修复
R3 - URLSearchHook: (no name) - {BB936323-19FA-4521-BA29-ECA6A121BC78} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe 1
F3 - REG:win.ini: run=C:\WINDOWS\winhlps.exe
O2 - BHO: QuickBtn - {1A199C20-DE2B-4838-AE3F-B5257ECE2B7E} - C:\Program Files\CoolWebsite\QuickLink.dll
O3 - IE工具栏增项: 完美网译通 - {F43BD772-ABDD-43b7-A96A-3E9E61946EC0} - C:\WINDOWS\WORLD2\TOOLBAR\hmtoolbar.dll
================
用雅虎助手修复
9.O25 - http协议缺省启动程序 - "C:\Program Files\common~1\iexplore.pif" -nohome,apgy,
相关文件:(隐藏)(系统)C:\Program Files\Common Files\iexplore.pif -nohome
内容:"C:\Program Files\common~1\iexplore.pif" -nohome
安全等级:有风险
10.O25 - ftp协议缺省启动程序 - "C:\Program Files\Internet Explorer\iexplore.com" %1,apgy,
相关文件:(隐藏)(系统)C:\Program Files\Internet Explorer\iexplore.com %1
内容:"C:\Program Files\Internet Explorer\iexplore.com" %1
安全等级:有风险
11.O25 - htmlfile协议缺省启动程序 - "C:\Program Files\Internet Explorer\iexplore.com" -nohome,apgy,
相关文件:(隐藏)(系统)C:\Program Files\Internet Explorer\iexplore.com -nohome
内容:"C:\Program Files\Internet Explorer\iexplore.com" -nohome
安全等级:有风险
12.O30 - 组策略里面的关闭脚本 - 0CmdLine,Microsoft Corporation,
相关文件:(隐藏)(系统)C:\WINDOWS\system32\winmer.exe
内容:C:\WINDOWS\system32\winmer.exe
安全等级:有风险
13.O30 - 组策略里面的关闭脚本 - 0Parameters,,
内容:AVP
安全等级:有风险
14.R00 - IE首页 - http://www.9991.com/,,
内容:http://www.9991.com/
安全等级:未知
51.O18 - 网络协议处理器 - 电子书编译工具Web Compiler相关,,
CLSID:{BBCA9F81-8F4F-11D2-90FF-0080C83D3571}
相关文件:C:\WINDOWS\wc98pp.dll
安全等级:未知
52.O27 - 文件执行挂钩 - Office.Access.1,,
CLSID:{C4B51E74-2C1D-4D9F-AF6A-E70D0713F387}
相关文件:(文件不存在)(隐藏)(系统)C:\WINDOWS\system32\m2.dll
安全等级:未知
============
进入注册表
搜索http://www.9991.com/
找到后全部删除
然后重置一下IE首页
===============
进入注册表
依次搜索iexplore.pif和iexplore.com
找到后把iexplore.pif和iexplore.com改为iexplore.exe
==============
卸载
C:\Program Files\CoolWebsite\
=============
删除
C:\Program Files\CoolWebsite\
C:\WINDOWS\winhlps.exe
C:\WINDOWS\WORLD2\TOOLBAR\hmtoolbar.dll
C:\Program Files\Common Files\UPDATE\
C:\WINDOWS\system32\res.exe
C:\WINDOWS\WINLOGON.EXE
C:\WINDOWS\system32\SeedServ.exe
C:\Program Files\Common Files\COMM\
C:\WINDOWS\system32\big5_gb2312.exe
C:\WINDOWS\SYSTEM32\WBEM\IRJIT.DLL
C:\Program Files\Common Files\iexplore.pif
C:\Program Files\Internet Explorer\iexplore.com
以及C:\DOCUME~1\lakehoo\LOCALS~1\Temp\下的所有文件
=============
C:\WINDOWS\system32\SeedServ.exe应该是中搜流氓软件的程序
建议楼主用百度搜索一下该软件的卸载清除方法
下面对软件的操作是我从网上收集的
你先参考一下:
1、重启进入安全模式
2、在注册表中删除如下注册表项目:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
SearchNet_Up --> ["C:\Program Files\SearchNet\ServeUp.exe"]
CdnCtr --> ["C:\Program Files\SearchNet\ServeUp.exe"]
3、重启到安全模式下运行searchnet目录中的uninstall,输入其验证码,则删除了该目录中的文件(除UNINSTALL外)
4、再删除uninstall,接着删SEARCHNET目录。
5、删除如下文件:
C:\WINNT\system32\ServeHost.exe
C:\WINNT\system32\SeedServ.exe
6、重启回到正常模式,使用防毒软件对系统进行全盘扫描。
==============
另外再参考baohe大叔的贴子:
木马winlogon.exe的查杀方法
http://forum.ikaka.com/topic.asp?board=28&artid=7495863
==============
提示:
若正常模式下无法解决
建议进入安全模式下操作
