亚洲欧美精品沙发,日韩在线精品视频,亚洲Av每日更新在线观看,亚洲国产另类一区在线5

<pre id="hdphd"></pre>

  • <div id="hdphd"><small id="hdphd"></small></div>
      學(xué)習(xí)啦>學(xué)習(xí)電腦>電腦安全>病毒知識>

      winlogon.exe病毒介紹以及清楚查殺方法

      時間: admin1 分享

      winlogon.exe正常進(jìn)程信息:

      進(jìn)程文件: winlogon or winlogon.exe

      進(jìn)程名稱: Microsoft Windows Logon Process

      描述:

      WinLogon.exe是Windows NT登陸管理器。它用于處理你系統(tǒng)的登陸和登陸過程。該進(jìn)程在你系統(tǒng)的作用是非常重要的。

      出品者: Microsoft Corp.

      屬于: Microsoft Windows Operating System

      系統(tǒng)進(jìn)程: 是

      后臺程序: 是

      使用網(wǎng)絡(luò): 否

      硬件相關(guān): 否

      常見錯誤: 未知N/A

      內(nèi)存使用: 未知N/A

      安全等級 (0-5): 0

      間諜軟件: 否

      Adware: 否

      病毒: 否

      木馬: 否

      感染后的winlogon.exe病毒進(jìn)程:

      winlogon.exe也可能是W32.Netsky.D@mm蠕蟲病毒。該病毒通過Email郵件傳播,當(dāng)你打開病毒發(fā)送的附件時,即會被感染。該病毒會創(chuàng)建SMTP引擎在受害者的計算機(jī)上,群發(fā)郵件進(jìn)行傳播。該病毒允許攻擊者訪問你的計算機(jī),竊取密碼和個人數(shù)據(jù)。該進(jìn)程的安全等級是建議刪除。

      如果你發(fā)現(xiàn)你的系統(tǒng)程序里面有一個大寫的WINLOGON.EXE,一個小寫winlogon.exe,那么恭喜你,你中了“落雪”病毒.大寫的 WINLOGON.EXE就是病毒文件,“落雪”木馬也叫“游戲大盜”(Trojan/PSW.GamePass),由VB程序語言編寫,通過 nSPack3.1加殼處理(即通常所說的“北斗殼”NorthStar),該木馬文件圖標(biāo)一般是紅色的圖案,偽裝成網(wǎng)絡(luò)游戲的登陸器。

      winlogon.exe病毒感染情況分析:

      落雪病毒運(yùn)行后,在C盤programfile以及windows目錄下生成

      C:windowswinlogon.exe

      C:WINDOWS.com

      C:WINDOWSExERoute.exe

      C:WINDOWSiexplore.com

      C:WINDOWSfinder.com

      C:WINDOWSsystem32command.pif

      C:Windowssystem32command.com

      C:WINDOWSsystem32dxdiag.com

      C:WINDOWSsystem32finder.com

      C:WINDOWSsystem32MSCONFIG.COM

      C:WINDOWSsystem32regedit.com

      C:WINDOWSsystem32rundll32.com

      C:WindowsWINLOGON.EXE

      C:WINDOWSservices.exe

      C:WINDOWSDebugDebugProgramme.exe

      等多個病毒文件,病毒文件之多比較少見,,事實上這14個不同文件名的病毒文件系同一種文件,“落雪”之名亦可能由此而來。病毒文件名被模擬成正常的系統(tǒng)工具名稱,但是文件擴(kuò)展名變成了.com。這是病毒利用了Windows操作系統(tǒng)執(zhí)行.com文件的優(yōu)先級比EXE文件高的特性,這樣,當(dāng)用戶調(diào)用系統(tǒng)配置文件Msconfig.exe的時候,一般習(xí)慣上輸入Msconfig,而這是執(zhí)行的并不是微軟的Msconfig.exe程序,而是病毒文件 Msconfig.com,落雪病毒作者的“良苦用心”由此可見。病毒另一狡詐之處還有,病毒還創(chuàng)建一名為winlogon.exe的進(jìn)程,并把 winlogon.exe的路徑指向c:windowsWINLOGON.EXE,而正常的系統(tǒng)進(jìn)程路徑是 C:WINDOWSsystem32winlogon.exe,以此達(dá)到迷惑用戶的目的。

      除了在C盤下生成很多病毒文件外,病毒還修改注冊表文件關(guān)聯(lián),每當(dāng)用戶點擊html文件時,都會運(yùn)行病毒。此外,病毒還在其他盤下生成一個 autorun.inf和一個pagefile.com的文件自動運(yùn)行批處理文件,這樣即使C盤目錄下的病毒文件被清除,當(dāng)用戶打開D盤時,病毒仍然被激活運(yùn)行。這也是許多用戶反映病毒屢殺不絕的原因。

      winlogon.exe病毒手動查殺方案:

      WINLOGON.EXE病毒,近來在網(wǎng)絡(luò)很流行,許多朋友都中了,許多殺毒軟件能查到,但是無論如何都無法清除。

        

      不知道什么原因,這個病毒的中文譯名叫做“落雪”,又叫“飄雪”,很美吧?

      我檢查了一下,發(fā)現(xiàn)進(jìn)程里多出一個大寫的WINLOGON,是在winnt或windows目錄下的,而正常情況下,這個進(jìn)程應(yīng)該是在winnt或 windows/system32目錄下的,此進(jìn)程不言而知。注冊表下的啟動項,里面有個Torjan pragramme的啟動項目,不能徹底刪除。

      以下是刪除的方法

      這個進(jìn)程WINLOGON.EXE的用戶名是用戶自己,因此不可能是正常的系統(tǒng)進(jìn)程,正常的winlogon系統(tǒng)進(jìn)程,其用戶名為“SYSTEM” 程序名為小寫winlogon.exe。而偽裝成該進(jìn)程的木馬程序其用戶名為當(dāng)前系統(tǒng)用戶名,且程序名為大寫的WINLOGON.exe。進(jìn)程查看方式 ctrl+alt+del 然后選擇進(jìn)程。正常情況下有且只有一個winlogon.exe進(jìn)程,其用戶名為“SYSTEM”。如果出現(xiàn)了兩個winlogon.exe,且其中一個為大寫,用戶名為當(dāng)前系統(tǒng)用戶的話,表明可能存在木馬。

      這個木馬非常厲害,能破壞掉木馬克星等許多著名的殺毒軟件,使其不能正常運(yùn)行,就算能正常運(yùn)行,也會錯誤殺毒或查毒。目前使用其他殺毒軟件未能殺死。但是很明顯,人工也可以看出,那個WINDOWS下的WINLOGON.EXE確實是病毒,但是,她不過是這個病毒中的小角色而已,大家用鼠標(biāo)右鍵【打開】,打開D盤看看是否有一個pagefile的DOS指向文件和一個autorun.inf文件了,這些當(dāng)然都是隱藏的,刪這幾個沒用的,因為她關(guān)聯(lián)了很多東西,甚至在安全模式都不能刪死,只要運(yùn)行任何程序,或者雙擊打開D盤,她就會重新被安裝了。而且這段時間很多人的帳號被盜就是因為這個解除的傳家寶了。

      我分析了一下這個木馬的資料,連接是通向河南和天津的某一地區(qū),看來是國內(nèi)的。而且她很有趣,如果你機(jī)子上有傳奇等游戲,必然惹來她的親吻,那么說QQ之類的帳號密碼會不會被泄漏,這個不清楚,但起碼我有些朋友已經(jīng)被盜了。

      解決“落雪”病毒的方法

      癥狀:D盤雙擊打不開,而且里面有autorun.inf和pagefile.com文件

      此病毒的制作者很了解系統(tǒng)的運(yùn)作,因此此兩個文件難以刪除,在安全模式用Administrator一樣解決不了!經(jīng)過一個下午的奮戰(zhàn)才算勉強(qiáng)解決。 我沒用什么查殺木馬的軟件,全是手動一個一個把它揪出來把他刪掉的。它所關(guān)聯(lián)的文件如下,絕大多數(shù)文件都是顯示為系統(tǒng)文件和隱藏的。 所以要在文件夾選項里打開顯示隱藏文件。

      D盤里就兩個,搞得你無法雙擊打開D盤。C盤很多相關(guān)文件程序

      D:autorun.inf

      D:pagefile.com

      C:Program FilesInternet Exploreriexplore.com

      C:Program FilesCommon Filesiexplore.com

      C:WINDOWS.com

      C:WINDOWSiexplore.com

      C:WINDOWSfinder.com

      C:WINDOWSExeroud.exe(傳奇的圖標(biāo),很漂亮)

      C:WINDOWSDebug*** Programme.exe(也是上面那個圖標(biāo),名字每臺機(jī)子都不同,但是明顯是非隱藏的)

      C:Windowssystem32command.com 這個不要輕易刪,看看是不是和下面幾個日期不一樣而和其他文件日期一樣,如果和其他文件大部分系統(tǒng)文件日期一樣就不能刪,當(dāng)然系統(tǒng)文件肯定不是這段時間的。

      C:Windowssystem32msconfig.com

      C:Windowssystem32regedit.com

      C:Windowssystem32dxdiag.com

      C:Windowssystem32rundll32.com

      C:Windowssystem32finder.com

      C:Windowssystem32a.exe

      值得注意的是:看看這些文件的日期,看看其他地方還有沒有相同時間的文件還是.COM結(jié)尾的可疑文件,小心不要運(yùn)行任何程序,要不就又啟動了,包括雙擊磁盤,還有一個頭號文件!WINLOGON.EXE!做了這么多工作目的就是要離開她的親吻!

      C:WindowsWINLOGON.EXE

      這個在進(jìn)程里明顯可以看得到,有兩個,一個是真的,一個是假的。

      真的是小寫winlogon.exe,(不知你們的是不是),用戶名是SYSTEM,

      而假的是大寫的WINLOGON.EXE,用戶名是你自己的用戶名。

      這個文件在進(jìn)程里是中止不了的,說是關(guān)鍵進(jìn)程無法中止,搞得跟真的一樣!就連在安全模式下它都會

      呆在你的進(jìn)程里! 我現(xiàn)在所知道的就這些,要是不放心,就最好看一下其中一個文件的修改日期,然后用“搜索”搜這天修改過的文件,相同時間的肯定會出來一大堆的, 連系統(tǒng)還原夾里都有??! 這些文件會自己關(guān)聯(lián)的,要是你刪了一部分,不小心運(yùn)行了一個,或在開始-運(yùn)行里運(yùn)行msocnfig,command,regedit這些命令,所有的這些文件全會自己補(bǔ)充回來!

      知道了這些文件,首先關(guān)閉可以關(guān)閉的所有程序,打開程序附件里頭的WINDOWS資源管理器,并在上面的工具里頭的文件夾選項里頭的查看里設(shè)置顯示所有文件和文件假,取消隱藏受保護(hù)操作系統(tǒng)文件,然后打開開始菜單的運(yùn)行,輸入命令 regedit,進(jìn)注冊表,到

      HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

      里面,有一個Torjan pragramme,這個明擺著“我是木馬”,刪?。?/p>

      然后注銷! 重新進(jìn)入系統(tǒng)后,打開“任務(wù)管理器”,看看有沒rundll32,有的話先中止了,不知這個是真還是假,小心為好。 到D盤(注意不要雙擊進(jìn)入!否則又會激活這個病毒)右鍵,選【打開】,把a(bǔ)utorun.inf和pagefile.com刪掉,

      然后再到C盤把上面所列出來的文件都刪掉!中途注意不要雙擊到其中一個文件,否則所有步驟都要重新來過! 然后再注銷。

      我在奮戰(zhàn)過程中,把那些文件刪掉后,所有的exe文件全都打不開了,運(yùn)行cmd也不行。

      打開我的電腦點工具==>文件夾選項==>文件類型==>新建exe擴(kuò)展名,點高級選應(yīng)用程序。

      即可運(yùn)行

      但我在弄完這些之后,在開機(jī)的進(jìn)入用戶時會有些慢,并會跳出一個警告框,說文件"1"找不到。(應(yīng)該是Windows下的1.com文件。),最后用System Repair Engineer看情況修理一下系統(tǒng)的啟動項、系統(tǒng)關(guān)聯(lián)等。

      最后說一下怎么解決開機(jī)提示找不到文件“1.com”的方法:

      在運(yùn)行程序中運(yùn)行“regedit”,打開注冊表,在[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]中

      把"Shell"="Explorer.exe 1"恢復(fù)為"Shell"="Explorer.exe" 當(dāng)然這也是啟動項罷了。

      殺毒軟件查殺winlogon.exe病毒方法:

      請更新你的殺毒軟件病毒庫到最新版本進(jìn)行查殺

      11262