sunxin85

 

WINLOGON.EXE

病毒文件
C:\Program Files\Common Files\iexplore.pif
C:\Program Files\Internet Explorer\iexplore.com
C:\WINDOWS\Debug\DebugProgram.exe
C:\WINDOWS\system32\command.pif
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\finder.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\rundll32.com
C:\WINDOWS\1.com
C:\WINDOWS\ExERoute.exe
C:\WINDOWS\explorer.com
C:\WINDOWS\finder.com
C:\WINDOWS\WINLOGON.EXE
在D盘根目录下生成autorun.inf([autorun] OPEN=D:\pagefile.pif)和pagefile文件。双击打开D盘时autorun.inf指向pagefile病毒文件。
注册启动项
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Torjan Program: "C:\WINDOWS\WINLOGON.EXE"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell: "Explorer.exe 1"
病毒修改了很多的关联信息,如EXE,html,scr等,列举部分如下:
HKLM\SOFTWARE\Classes\.exe\: "winfiles"
HKLM\SOFTWARE\Classes\.lnk\ShellNew\Command: "rundll32.com appwiz.cpl,NewLinkHere %1"
HKLM\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command\: ""C:\Program Files\Internet Explorer\iexplore.com" %1"
HKLM\SOFTWARE\Classes\cplfile\shell\cplopen\command\: "rundll32.com shell32.dll,Control_RunDLL "%1",%*"
HKLM\SOFTWARE\Classes\ftp\shell\open\command\: ""C:\Program Files\Internet Explorer\iexplore.com" %1"
HKLM\SOFTWARE\Classes\htmlfile\shell\open\command\: ""C:\Program Files\Internet Explorer\iexplore.com" -nohome"
HKLM\SOFTWARE\Classes\htmlfile\shell\opennew\command\: ""C:\Program Files\common~1\iexplore.pif" %1"
HKLM\SOFTWARE\Classes\HTTP\shell\open\command\: ""C:\Program Files\common~1\iexplore.pif" -nohome"
HKLM\SOFTWARE\Classes\InternetShortcut\shell\open\command\: "finder.com shdocvw.dll,OpenURL %l"
HKLM\SOFTWARE\Classes\scrfile\shell\install\command\: "finder.com desk.cpl,InstallScreenSaver %l"
HKLM\SOFTWARE\Classes\scriptletfile\Shell\Generate Typelib\command\: ""C:\WINDOWS\system32\finder.com" C:\WINDOWS\system32\scrobj.dll,GenerateTypeLib "%1""
HKLM\SOFTWARE\Classes\telnet\shell\open\command\: "finder.com url.dll,TelnetProtocolHandler %l"
HKLM\SOFTWARE\Clients\StartMenuInternet\: "iexplore.pif"

此外,病毒会结束大量的安全软件进程。

再说下处理方法吧,处理是比较麻烦的。注意,以下步骤顺序千万不能颠倒中途不要打开其他任何软件,包括使用资源管理器或IE
1、首先把procexp,SREng都运行起来,打开注册表编辑器(一定要先把这些运行起来)
2、用procexp结束病毒进程WINLOGON.EXE,
3、SREng工具删除其启动项HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Torjan Program: "C:\WINDOWS\WINLOGON.EXE"
编辑启动项:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell: "Explorer.exe 1",把"Explorer.exe 1"中的“1”去掉,编辑为HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell: "Explorer.exe "
下面就是关键的恢复关联信息了,可以先借助SREng恢复EXE文件关联,
注册表编辑器中:
查找: "rundll32.com" 替换为 "rundll32.exe"
查找: "iexplore.com" 替换为 "iexplore.exe"
查找: "iexplore.pif" 连同路径一起替换为 "iexplore.exe" (如:C:\Program Files\Internet Explorer\iexplore.exe)
查找: "finder.com "  替换为 "rundll32.exe"
到这里就可以先松口气了。右击D盘,右键菜单中选择打开,显示系统文件和隐藏文件后删除autorun.inf和pagefile2个文件
最后一步,删除开头提到的那些文件吧。注意千万别双击,否则前功尽弃。

如果处理时无法结束进程的话可以跳过这一步,先删除启动信息。在删除病毒文件前重启一下系统即可。

posted on 2006-10-12 09:16 sx 阅读(1027) 评论(1)  编辑 收藏 引用

评论

# re: WINLOGON.EXE 2009-01-30 23:14 cm

文件网(http://www.wenjian.cn)上说如果 winlogon.exe 位于在 "C:\Documents and Settings" 下的子目录下,那么威胁危险度是 69% 。
  回复  更多评论   

只有注册用户登录后才能发表评论。

导航

统计

常用链接

留言簿(1)

随笔档案(17)

相册

最新随笔

搜索

最新随笔

最新评论

阅读排行榜

评论排行榜