这个木马非常厉害,能破坏掉木马克星,使其不能正常运行。目前我使用其他杀毒软件未能查出。
那个窗口下的 WINLOGON.EXE 确实是病毒,但是,她不过是这个病毒中的小角色而已,大家打开 D 盘看看是否有一个 pagefile 的操作系统指向文件和一个 autorun.inf 文件了,呵呵,当然都是隐藏的,删这几个没用的,因为她关联了很多东西,甚至在安全模式都难搞,只要运行任何程序,或者双击打开 D 盘,她就会重新被安装了,呵呵,这段时间很多人被盗就是因为这个破解的传家宝了,而且杀毒软件查不出来,有人叫这个病毒为 " 落雪 " 是专门盗传奇传奇世界的木马,至于会不会盗其他帐号如 QQ ,网银就看她高兴了,呵呵,估计也都是一并录制。不怕毒和要减少损失的最好开启防火墙阻止除了自己信任的几个常用任务出门,其他的全部阻挡,当然大家最好尽快备份,然后关门杀毒包括方新等修改过的 51 pywg 传家宝,和他们破解的其他一切外挂,这次嫌疑最大的是 51 PYWG ,至于其他合作网站估计也逃不了关系,特别是方新网站,已经被证实过多次在网站放木马,虽然他解释是被黑了,但是不能排除其他可能,特别小心那些启动后连接网站的外挂,不排除启动器本身就有毒,反正一句话,这种启动就连接某网站的破解软件最容易放毒,至于什么时候放,怎么方,比如一天放几个小时,都要看他怎么爽,用也尽量用那种完全本地破解验证版的,虽然挂盟现在好像还没发现被放马或者自己放,但是千万小心,,最近传奇世界传奇 N 多人被盗号,目标直指这些网站,以下是最近特别毒的 WINLOGON.EXE 盗号病毒清除方法,注意这个假的 WINLOGON.EXE 是在窗口下,进程里头表现为当前用户或管理人。另外一个系统的 winlogon.exe 是正常的,那个千万不要乱删,看清楚了,前面一个是大写,后面一个是小写,而且经部分网友证实,此文件连接目的地为河南。
解决“落雪”病毒的方法症状: D 盘双击打不开,里面有 autorun.inf 和 pagefile.com 文件做这个病毒的人也太强了,在安全模式用管理人一样解决不了!经过一个下午的奋战才算勉强解决。 我没用什么查杀木马的软件,全是手动一个一个把它揪出来把他删掉的。它所关联的文件如下,绝大多数文件都是显示为系统文件和隐藏的。 所以要在文件夹选项里打开显示隐藏文件。
D 盘里就两个,搞得你无法双击打开 D 盘。C 盘里盘里的就多了!
D:\ autorun.infD:\ pagefile.comC:\ Program 文件\ internet explorer\ iexplore.comC:\ Program 文件\通常的文件\ iexplore.comC:\ Windows\1.comC:\ Windows\iexplore.comC:\ Windows\finder.comC:\ Windows\Exeroud.exe (忘了是不是这个名字了,红色图标有传奇世界图标的)C:\ Windows\debug\***Programme.exe( 也是上面那个图标,名字忘了-_- 好大好明显非隐藏的)C:\ Windows\system32\command.com 这个不要轻易删,看看是不是和下面几个日期不一样而和其他文件日期一样,如果和其他文件大部分系统文件日期一样就不能删,当然系统文件肯定不是这段时间的。
C:\ Windows\system32\msconfig.comC:\ Windows\system32\gedit.comC:\ Windows\system32\dxdiag.comC:\ Windows\system32\rundll32.comC:\ Windows\system32\finder.comC:\ Windows\system32\a.exe对了,看看这些文件的日期,看看其他地方还有没有相同时间的文件还是。COM 结尾的可疑文件,小心不要运行任何程序,要不就又启动了,包括双击磁盘还有一个头号文件!WINLOGON.EXE !做了这么多工作目的就是要干掉她!!!
C:\ Windows\WINLOGON。EXE 这个在进程里可以看得到,有两个,一个是真的,一个是假的。
真的是小写 winlogon.exe ,(不知你们的是不是),用户名是系统,而假的是大写的 WINLOGON.EXE ,用户名是你自己的用户名。
这个文件在进程里是中止不了的,说是关键进程无法中止,搞得跟真的一样!就连在安全模式下它都会呆在你的进程里! 我现在所知道的就这些,要是不放心,就最好看一下其中一个文件的修改日期,然后用“搜索”搜这天修改过的文件,相同时间的肯定会出来一大堆的,连系统还原夹里都有!! 这些文件会自己关联的,要是你删了一部分,不小心运行了一个,或在开始-运行里运行 msocnfig ,命令, regedit 这些命令,所有的这些文件全会自己补充回来!
知道了这些文件,首先关闭可以关闭的所有程序,打开程序附件里头的窗口资源管理器,并在上面的工具里头的文件夹选项里头的查看里设置显示所有文件和文件假,取消隐藏受保护操作系统文件,然后打开开始菜单的运行,输入命令 regedit ,进注册表,到HKEY_LOCAL_MACHINE\ software\Microsoft\Windows\CurrentVersion\ Run里面,有一个 Torjan pragramme ,这个明摆着 " 我是木马 " ,删!!
然后注销! 重新进入系统后,打开 " 任务管理器 " ,看看有没 rundll32 ,有的话先中止了,不知这个是真还是假,小心为好。 到 D 盘(注意不要双击进入!否则又会激活这个病毒)右键,选 " 打开 " ,把 autorun.inf 和 pagefile.com 删掉,然后再到 C 盘把上面所列出来的文件都删掉!中途注意不要双击到其中一个文件,否则所有步骤都要重新来过! 然后再注销。
我在奋战过程中,把那些文件删掉后,所有的 exe 文件全都打不开了,运行 cmd 也不行。
然后,到 C:\ Windows\system32 里,把 cmd.exe 文件复制出来,比如到桌面,改名成 cmd.com 嘿嘿我也会用 com 文件,然后双击这个 COM 文件然后行动可以进入到操作系统下的命令提示符。
再打入以下的命令:assoc 。exe= exefile (assoc 与。exe 之间有空格) ftype exefile="%1"%* 这样 exe 文件就可以运行了。 如果不会打命令,只要打开 CMD.COM 后复制上面的两行分两次粘贴上去执行就可以了。
但我在弄完这些之后,在开机的进入用户时会有些慢,并会跳出一个警告框,说文件 "1" 找不到。(应该是窗口下的 1. com 文件)。,最后用上网助手之类的软件全面修复 IE 设置最后说一下怎么解决开机跳出找不到文件 "1. com" 的方法:在运行程序中运行 " regedit" ,打开注册表,在 [HKEY_LOCAL_MACHINE\ software\Microsoft\Windows Nt\CurrentVersion\ Winlogon] 中把 " 贝壳 "=" Explorer.exe 1" 恢复为 " 贝壳 "=" Explorer.exe"大功告成!大家分享一下吧!
如果是 WINLOGiN.EXE 的话应该是病毒,一般在 c:/ 窗户下,而且图标明显的不同~~可以手动删除的,注意在同一文件夹下还有另一个文件的关联图标一样的,要一块删掉,不然删了 WINLOGON.EXE 重启后还会自动生成而正常的系统进程 winlogon.exe 是在 c:/ 窗户/ system32 下
病毒进程是 winlogin.exe 而 winlogon.exe 是正常的进程大家要看清啊!!
winlogon- winlogon.exe- 进程信息进程文件: winlogon 或 winlogon.exe进程名称:微软窗口注册程序
描述:WinLogon.exe 是窗口新台币登陆管理器。它用于处理你系统的登陆和登陆过程。该进程在你系统的作用是非常重要的。注意: winlogon.exe 也可能是 W32.Netsky.D@mm 蠕虫病毒。该病毒通过电子邮件邮件传播,当你打开病毒发送的附件时,即会被感染。该病毒会创建 SMTP 引擎在受害者的计算机上,群发邮件进行传播。该病毒允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议删除。
很抱歉,你中病毒了。
“灰鸽子变种(Trojan.Huigezi)”病毒:警惕程度★★★,木马病毒,通过网络传播,依赖系统: WIN9X/NT/2000/XP。
该病毒是著名病毒“灰鸽子”的一个变种,病毒运行时会把自己复制到系统目录,并命名为WINLOGO.EXE,然后监听用户的网络,来接收远程的控制命令,也就是说中了该病毒用户的计算机,将处于被远方病毒作者控制的状态下,病毒作者可以通过该病毒对用户计算机为所欲为。
1.删除灰鸽子服务端程序
由于在Windows环境下灰鸽子的服务端是处于运行状态,无法直接删除,所以必须进入纯DOS状态删除,删除命令如下:
cd c:\windows\system
attrib-r-s-h kernel32.exe
attrib-r-s-h notepod.exe
del kernel32.exe
del notepod.exe
如果灰鸽子服务端设置了exe 文件关联的话,将会导致注册表编辑器无法运行,所以在删除服务端之前,先将注册表编辑器重命名,以便以后对注册表进行更改,操作命令如下:
ren c:\windows\regedit.exe regedit.com
2.删除注册表中启动键
打开”开始“菜单”中的“运行”然后输入“regedit.com".启动注册表编辑器后,依次打开“HKEY_LOCAL_MACHINE\Software\Microsoft\windows\Current Version\Run",在右边的窗口中删除名称为”Loadwindows"的键值就可以了。
清除文件关联
灰鸽子可以设置4种文件关联:exe关联,txt关联,ini关联,inf关联,其中exe关联可以和其他三种类型同时存在。
1.解除exe关联:
启动注册表编辑器,然后找到HKEY_CLASSES_ROOT\Exefile\shell\Open\Cpmmand主键,查看起默认的键值是不是系统默认的“%1%*”
2.解除txt关联:
打开注册表的HKEY_CLASSES_ROOT\txtfile\shell\open\command主键,其默认值的正常参数应该为“C:\windows\notepad.exe%1"。
3.解除ini关联:
INI文件的的关联配置保存在注册表HKEY_CLASSES_ROOT\Inffile\shell\Open\Cpmmand主键下,其默值数据也是“C:\windows\notepad.exe%1”。
4解除inf关联:
打开注册表的HKEY_CLASSES_ROOT\Inffile\shell\Open\Cpmmand主键,和ini,txt文件关联一样,其默认值也是“C:\windows\notepad.exe%1。
注意:1、以上清除顺序不可以随意调整。
2、以上为默认路径,如果有改动,请输入相应的正确路径。
感谢 Gamepower 提供资料。
00
内容全部来源于网络收集,如有侵权,请联系网站删除!
QQ:24596024