winlogon病毒的查杀方法

此病毒虽已成为过去,但问题比较经典,现把查杀方法写出来,举一反三,希望对大家有所帮助!

这个木马可能会释放出QQ尾巴msinfo.rx是在C:\Program Files\Common Files\microsoft shared\msinfo\内,是隐藏文件,启动QQ后会加载到QQ.exe、TIMPlatform.exe线程内,可在安全模式下删除。另C:\Program Files\Internet Explorer\PLUGINS内也会生成systme.sys木马文件,安全模式下可删除!这是在清理同事机器时发现的,是否和“落雪”关联,还不清楚,大家要注意下。

同事的机器种病毒了,我检查了一下,发现进程里多出一个大写的WINLOGON,是在winnt目录下的,而正常情况下,这个进程应该是在winnt/system32目录下的,看来一定有鬼。

查了下注册表的启动项,里面果然有个异常的Torjan pragramme,可以换到安全模试下删除后,重启又会出现,看来这个东西不简单。

上网搜了下,原来是个叫“落雪”的病毒,好美的名字啊。

下面把搜到的解决方法分享下:

这个进程是不是一个传奇世界程序的图标使用51破解版传家宝会生产一个WINLOGON.EXE进程,正常的winlogon系统进程,其用户名为“SYSTEM” 程序名为小写winlogon.exe。而伪装成该进程的木马程序其用户名为当前系统用户名,且程序名为大写的WINLOGON.exe。进程查看方式 ctrl+alt+del 然后选择进程。正常情况下有且只有一个winlogon.exe进程,其用户名为“SYSTEM”。如果出现了两个winlogon.exe,且其中一个为大写,用户名为当前系统用户的话,表明可能存在木马。

这个木马非常厉害,能破坏掉木马克星,使其不能正常运行。目前我使用其他杀毒软件未能查出。那个WINDOWS下的WINLOGON.EXE确实是病毒,但是,她不过是这个病毒中的小角色而已,大家打开D盘看看是否有一个pagefile的DOS指向文件和一个autorun.inf文件了,呵呵,当然都是隐藏的,删这几个没用的,因为她关联了很多东西,甚至在安全模式都难搞,只要运行任何程序,或者双击打开D盘,她就会重新被安装了,呵呵,这段时间很多人被盗就是因为这个破解的传家宝了,而且杀毒软件查不出来,有人叫这个病毒为 ”落雪“ 是专门盗传奇传奇世界的木马,至于会不会盗其他帐号如QQ,网银 就看她高兴了,呵呵,估计也都是一并录制。不怕毒和要减少损失的最好开启防火墙阻止除了自己信任的几个常用任务出门,其他的全部阻挡,当然大家最好尽快备份,然后关门杀毒包括方新等修改过的51pywg传家宝,和他们破解的其他一切外挂,这次嫌疑最大的是51PYWG,至于其他合作网站估计也逃不了关系,特别是方新网站,已经被证实过多次在网站放木马,虽然他解释是被黑了,但是不能排除其他可能,特别小心那些启动后连接网站的外挂,不排除启动器本身就有毒,反正一句话,这种启动就连接某网站的破解软件最容易放毒,至于什么时候放,怎么方,比如一天放几个小时,都要看他怎么爽,用也尽量用那种完全本地破解验证版的,虽然挂盟现在好像还没发现被放马或者自己放,但是千万小心,,最近传奇世界传奇N多人被盗号,目标直指这些网站,以下是最近特别毒的WINLOGON.EXE盗号病毒清除方法,注意这个假的WINLOGON.EXE是在WINDOWS下,进程里头表现为当前用户或ADMINISTRATOR.另外一个 SYSTEM的winlogon.exe是正常的,那个千万不要乱删,看清楚了,前面一个是大写,后面一个是小写,而且经部分网友证实,此文件连接目的地为河南。

解决“落雪”病毒的方法

症状:D盘双击打不开,里面有autorun.inf和pagefile.com文件

做这个病毒的人也太强了,在安全模式用Administrator一样解决不了!经过一个下午的奋战才算勉强解决。 我没用什么查杀木马的软件,全是手动一个一个把它揪出来把他删掉的。它所关联的文件如下,绝大多数文件都是显示为系统文件和隐藏的。 所以要在文件夹选项里打开显示隐藏文件。

D盘里就两个,搞得你无法双击打开D盘。C盘里盘里的就多了!

D:\autorun.inf

D:\pagefile.com

C:\Program Files\Internet Explorer\iexplore.com

C:\Program Files\Common Files\iexplore.com

C:\WINDOWS\1.com

C:\WINDOWS\iexplore.com

C:\WINDOWS\finder.com

C:\WINDOWS\Exeroud.exe(忘了是不是这个名字了,红色图标有传奇世界图标的)

C:\WINDOWS\Debug\*** Programme.exe(也是上面那个图标,名字忘了-_- 好大好明显非隐藏的)

C:\Windows\system32\command.com 这个不要轻易删,看看是不是和下面几个日期不一样而和其他文件日期一样,如果和其他文件大部分系统文件日期一样就不能删,当然系统文件肯定不是这段时间的。

C:\Windows\system32\msconfig.com

C:\Windows\system32\regedit.com

C:\Windows\system32\dxdiag.com

C:\Windows\system32\rundll32.com

C:\Windows\system32\finder.com

C:\Windows\system32\a.exe

时间: 2024-11-01 11:42:59

winlogon病毒的查杀方法的相关文章

威金变种病毒的查杀方法_病毒查杀

近来,威金变种病毒肆虐,不少人中招后被迫格式化所有分区,苦心保存的数据毁于一旦. 中了这种病毒的特征是:系统响应缓慢,玩网络游戏时会自动退出,硬盘里的EXE文件图标会变"花":到dos下用ghost恢复系统失败:如果不全盘格式化,重装系统也不能解决问题.  今天有幸遇到感染此种病毒的电脑,在机主几乎绝望的情况下清除了病毒,挽救了他多年积累的数据. 现在,偶把此次杀毒的过程贴上来,供遇到类似问题的网友参考.  清除病毒的步骤如下:  一.结束病毒进程,删除病毒的启动项. 1.开机按F8键

USP10.DLL犇牛病毒的查杀方法

2009年2月4日起,大量网友发现自己的电脑突然间慢如"老牛",硬盘中同时出现了很多莫名其妙的"usp10.dll"文件,即便重装系统也无济于事.原来,这是一头名为"犇牛"的恶性木马突然爆发的结果. 360安全中心向记者紧急发布公告,称"犇牛"木马下载器已袭击了数十万台电脑,并能导致大部分安全软件失效,用户采用重装系统等常规手段也无法解决. 根据大批受害用户的反映,感染"犇牛"下载器的电脑系统速度会明显变慢

recycle.exe(Trojan-Dropper.Win32.VB.rj)病毒的查杀方法_病毒查杀

一.病毒描述:         病毒通过U盘传播,运行后复制自身到系统目录并释放一个灰鸽子木马.为增强隐蔽性,生成的病毒文件有回收站和安         装程序两种图标.          二.病毒基本情况:         病毒名称:Trojan-Dropper.Win32.VB.rj         病毒别名:无         病毒类型:病毒         危害级别:3         感染平台:Windows         病毒大小:458,752(字节)         SHA1

无耻的随机7位字符名病毒的查杀方法_病毒查杀

病毒指纹: SHA-160             : DA14DDB10D14C568B62176AAB738B0C479A06863 MD5                 : C505733FFDDA0394D404BD5BB652C1A6 RIPEMD-160          : 410EF9736AD4966094C096E57B477B7572B7ED9C CRC-32              : FF6E4568 病毒大小:43,900 字节 连接网络下载病毒: 输入地址:61

最新病毒变种sxs.exe及xeklsk.exe(柯南病毒)查杀方法_病毒查杀

通过u盘传播的病毒sxs.exe威力向来很大,曾经n个计算机被他搞垮~~其变种也日益翻新,花样白出~~机房电脑又中毒了...各盘符下有隐藏的文件,图标是柯南头像的sxs.exe及autorun,病毒系统进xeklsk.exe. 通过文件夹选项不能显示隐藏文件. 经过反复查找,此病毒乃最新变种,网上给出查杀方法的很少~现提供如下,仅作参考: ---- 解决方案: ***提示:杀毒过程中注意盘符不要双击,点鼠标右键"打开"!*** 1.结束进程xeklsk.exe,sxs.exe及其他可疑

md9.exe scvhost.exe 只木马下载者查杀方法_病毒查杀

从http://www.ittool.cn/d123.exe 下载病毒文件 它使用rar自解压文件,广告,病毒 等很多垃圾软件,很恶心 查杀方法:www.360safe.com 下载即可删除

iWorm蠕虫病毒怎么查杀?

  近日iWorm蠕虫病毒开始肆虐苹果电脑,那么iWorm蠕虫病毒怎么查杀呢?本文小编就来教一下大家360杀毒iWorm教程. 随着苹果OS系统用户越来越多,各种病毒蠕虫已瞄准OS系统进行攻击.10月4日早间,全球范围内有超过17000名台Mac电脑已经感染了一种被称为"iWorm"的蠕虫病毒,该蠕虫病毒专门感染OS X,目前360安全卫士Mac版已经可查杀iWorm. iWorm是OS X上不多见的几个能够广泛感染系统的蠕虫病毒.它可以打开后门,采集用户信息,并对用户进行系统远程控制

防黑从基础做起,简单的ASP木马查杀方法

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 防黑从基础做起.简单的ASP木马查杀方法: 先下载一个文件查找工具:http://www.skycn.com/soft/17964.html 以下是ASP木马部分代吗:========================================================================================

毛一丁:瑞星要把流氓软件当病毒来查杀

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 瑞星卡卡3.0截屏 新浪科技讯 11月14日消息 今天上午瑞星在国内正式推出卡卡3.0[下载],其副总裁毛一丁在发布会上称,卡卡3.0[下载]会"把流氓软件当作病毒一样查杀".这是国内专业杀毒软件厂商第一次将产品矛头直指流氓软件,也标志着瑞星正式对流氓软件宣战. 自2005年6月瑞星首先提出"流氓软件"