無恥的盜號木馬WINLOGON.EXE(全大寫,小寫的那個一般是核心進程)


 

最近上網不幸中了盜號木馬,norton av8 防毒雖好,對木馬卻是視而不見。尤其是惡意軟件,更是察覺不到。windows defender(antispyware)雖好,可是只給正版用戶使用,真是郁悶。iparmor也很老邁了,與其中了再殺,還不如用upiea防范!更何況上面這些防反垃圾的軟件都對bho視而不見!bho可真是惡心!據說M$早有了補丁,但是我竟然忘了補丁是哪個。總之一句話,無恥的人利用bho犯下的無恥罪行幾乎和3721的實名上網不分伯仲。
不說這些了,還是回過頭來講WINLOGON.EXE這個垃圾!用filemon(www.sysinternals.com,使用時“EXCLUDE”掉explorer.exe;csrss.exe;svchost.exe這些核心進程)就可以很容易看到,當你一打開tool類型的窗口,比如win+R“運行”那個,它就開始活動了(調用網絡函數的dll),想把你輸入的東東發到它主人那里。並且不釋放資源,任其發展會吃盡內存(要不然我可能還會妥協呢!)。這個垃圾現在的變種極無恥!具體的講,都作了如下的事情:
1.利用BHO把自己偷偷安裝到電腦。
2.把exeroute.exe,WINLOGON.EXE,1.com,finder.com,winlogondebug.exe等文件都放在%windir%下(當然是隱藏加系統屬性,必須“顯示所有文件和文件夾”,並取消“隱藏受保護的操作系統文件”才看到。),
3.把它自己的msconfig.exe,dxdiag.exe,regedit.exe等程序放到%windir%/system32/下,這個陷阱很毒!不知道的話用這些常用工具修復電腦就立馬中着!(2.和3.中寫的幾個文都是我現在記起來的,不全,自己按時間排列一下那兩個文件夾里的文件就知道都是哪些了。)
4.在d盤添加自動運行配置文件autorun.ini和DOS方式pagefile,當然這兩個文件也是sys+hidden屬性。這樣如果雙擊D盤打開,也會中着。
5.在C:/Documents and Settings/zsy(中毒用戶)/Local Settings/Application Data/下生成一個名字是數字和字母混合的文件夾,里面當然是一些可惡的有毒垃圾了。
6.改變注冊表hklm/software/microsoft/windows NT/currentversion/winlogon/shell為“explorer.exe 1”(本來是沒有1的,這樣就可以運行它那個1.com了!)
7.改變文件關聯(assoc .exe=winfiles),這樣可以讓你每次運行exe文件都運行它的那些軟件!
8.還可能感染conime.exe和wmiprvse.exe和wuauclt.exe等系統程序,讓它們不停地重起WINLOGON.EXE。

對策:
1.先卸載BHO(是一個字母加數字的雜亂名稱),盡管可以在ie的工具|internet選項|程序|管理加載項...卸載,但是推薦用Raptor的BHOView,或者upiea。
2.先刪除msconfig.exe,dxdiag.exe,regedit.exe等陷阱文件,不要關窗口,然后改正經的cmd.exe名稱為cmd.com,雙擊運行,然后在里面運行:
ftype exefiles="%1" %*
assoc .exe=exefiles
之后再運行tasklist,可以看到比進程管理器里更多的進程,停止前面說的一切進程,如conime.exe和wmiprvse.exe和wuauclt.exe以及winlogondebuge.exe和WINLOGON.EXE。用tskill命令停(如tskill 1214,后面的數字是欲停止進程的pid),因為在進程管理器中看不到,或停不掉。
3.在前面未關的窗口中,轉到%windir%刪掉exeroute.exe,WINLOGON.EXE,1.com,finder.com,winlogondebug.exe等文件。(不可新開窗口!否則又中着。)
3.刪除前面5里講的文件夾,用鼠標右鍵單擊D盤,用“資源管理器”打開D盤,刪除autorun.ini和pagefile。
4.把前面6里講的改回來。
5.有必要的話刪除conime.exe和wmiprvse.exe和wuauclt.exe等系統程序。

大概就是這樣。 最后,順便說一下,如果誰知道BHO的補丁請告訴我,不知道的最好停用BHO!鈎掉ie的工具|internet選項|高級|“啟用即需安裝”和“啟用第三方控件”。


注意!

本站转载的文章为个人学习借鉴使用,本站对版权不负任何法律责任。如果侵犯了您的隐私权益,请联系我们删除。



 
粤ICP备14056181号  © 2014-2021 ITdaan.com