Winlogon(落雪)病毒手工清除辦法

2021-08-22 05:16:01 字數 2787 閱讀 7058

不知**命的名,叫落雪還是蠻有意思的。

今天一台測試的機器中毒了,剛裝好的windows xp pro with sp2正版,剛剛上windows updated**打好了到8月份的安全補丁,office 2003安裝了sp2,防火牆開啟了,安裝了symantec antivirus 10,更新到最新的病毒庫,ie按照安裝時的預設安全設定沒有改變,其實對於一般使用者來說已經足夠了,只不過給了使用者管理員的許可權,使用者上網一段時間後norton就不斷彈出廣告木馬提示,檢查程序,發現乙個以當前使用者身份啟動的大寫的winlogon.exe程序。d盤根目錄下有autorun.inf和pagefile檔案,由於在csdn解答問題的時候看過這個帖子,典型的落雪症狀。

病毒作者了解大部分人處理病毒的方式,finder、regedit、cmd、iexpolre等等檔案都給「移花接木」了,讓使用者手動檢查的時候也會中招,防不勝防。病毒症狀是d盤雙擊打不開,根目錄下有autorun.inf和pagefile.com檔案,程序中會有兩個winlogon程序,乙個以system身份執行(這個是正常的),另乙個以當前使用者身份執行,程序名字為winlogon.exe,不能結束,即使安全狀態也不行,登錄檔中hklm\software\microsoft\windows\currentversion\run裡面會有乙個啟動項叫torjan pragramme,指向%windir%\winlogon.exe;傳染時生成的檔案範圍很多,以下操作都會致使其繼續傳播:

開啟msconfig

開啟ie

開啟d盤

查詢檔案

呼叫debug

呼叫directx的診斷程式dxdiag

開啟命令列視窗

開啟regedit

重啟機器

以下是網上流傳的清除辦法,在步驟上做了些改進,通過此辦法將此病毒從機器中清除了:

首先在資料夾選項裡的檢視裡,設定顯示所有檔案和資料夾,取消隱藏受保護作業系統檔案。

然後刪除以下檔案,這些.com檔案都有一些共同特徵——檔案大小都是一樣的,紅色的圖示,據說是傳奇網遊的圖示(誰玩誰知道),說明是同乙個檔案,我所見到的此檔案大小是50.8k:

d:\autorun.inf

d:\pagefile.com

c:\program files\internet explorer\iexplore.com

c:\program files\common files\iexplore.com

c:\windows\1.com

c:\windows\iexplore.com

c:\windows\finder.com

c:\windows\exeroud.exe(忘了是不是這個名字了,紅色圖示有傳奇世界圖示的)

c:\windows\debug\*** programme.exe

c:\windows\system32\command.com

這個不要輕易刪,看看是不是和下面幾個日期不一樣而和其他檔案日期一樣,如果和其他檔案大部分系統檔案日期一樣就不能刪,當然系統檔案肯定不是這段時間的。

c:\windows\system32\msconfig.com

c:\windows\system32\regedit.com

c:\windows\system32\dxdiag.com

c:\windows\system32\rundll32.com

c:\windows\system32\finder.com

c:\windows\system32\a.exe

刪除期間不要執行任何程式,包括雙擊磁碟,這些檔案會自己關聯的,要是你刪了一部分,不小心執行了乙個,或在開始-執行裡執行msocnfig,command,regedit這些命令,所有的這些檔案全會自己補充回來。

還有乙個重點檔案——winlogon.exe,做了這麼多工作目的就是要乾掉她,%windir%\winlogon.exe,這個檔案在程序裡是中止不了的,說是關鍵程序無法中止,就連在安全模式下它都會執行,檔案不能刪除,首先關閉可以關閉的所有程式,開始,執行,regedit.exe(輸入完整),進登錄檔,到hkey_local_machine\software\microsoft\windows\currentversion\run裡面,有乙個torjan pragramme,刪除掉(其實我多了一步做法,將winlogon.exe檔案安全屬性裡面全部許可權都取消掉,讓使用者無法執行此檔案,在後來需要刪除的時候再將許可權設定回來,然後刪除此檔案)。

然後登出,重新進入系統後,開啟「任務管理器」,看看有沒rundll32,有的話先中止了(保險些),把那些檔案刪掉後,在把上述檔案刪除掉後,所有的exe檔案都打不開了,執行cmd也不行。

到c:\windows\system32 裡,把cmd.exe檔案複製出來到桌面,改名成cmd.com(因為exe已經不能執行了) ,進入到命令控制台方式,輸入以下的兩個命令以重新關聯exe執行檔案:

assoc .exe=exefile(assoc與.exe之間有空格)

ftype exefile="%1" %*

這樣exe檔案就可以執行了,全部處理好後,在開機的時候會跳出乙個警告框,說檔案"1"找不到(windows下的1.com檔案已經給刪除了),在執行程式中執行「regedit.exe」,開啟登錄檔編輯器,在[hkey_local_machine\software\microsoft\windows nt\currentversion\winlogon]中把"shell"="explorer.exe 1"恢復為"shell"="explorer.exe"

重新啟動電腦,問題應該可以解決了。

在公司裡面這種現象應該不多見,因為一般都不給使用者管理員的許可權,下面是我一篇翻譯:

why you shouldn't run as admin

Winlogon(落雪)病毒手工清除辦法

不知 命的名,叫落雪還是蠻有意思的。今天一台測試的機器中毒了,剛裝好的windows xp pro with sp2正版,剛剛上windows updated 打好了到8月份的安全補丁,office 2003安裝了sp2,防火牆開啟了,安裝了symantec antivirus 10,更新到最新的病...

winlogon程序100 cpu占用的解決辦法

近日陸續有朋友的計算機遭遇winlogon cpu100 占用問題,苦於沒有好的 防毒軟體,一時讓它得趁了,而今終於手工乾掉了它,長出一口惡氣。遭遇winlogon cpu100 占用後,系統啟動及其緩慢,平日1分鐘的過程變成了1刻鐘。忍耐力不夠的只好格式化重新安裝了。如果安心等待,待進入桌面時開啟...

落作塵 香如故

走了。就在前一秒鐘,心告訴我,斯人遠去。嘴角的微笑告訴我,這樣很好。近日出現少有的涼爽天氣,但天空卻出奇的暗淡。紫色的雲沒有了昔日的光華,望望遠方,是黑色的。我的視線模糊了嗎?還是意念淡忘了收藏的全部?未有芳華夜未央,如何肯到清秋日。那個藏匿在黑暗角落的聲音隱隱地告訴我,自古逢秋悲寂寥。那個詩人的詩...