手工清除变种木马(winlogon.exe)的方法---导致exe文件打不开,瑞星不能启动等

关键字:winlogon,dos命令,exe文件无法打开,netsky

症状:感染后的计算机运行变慢,打开任何程序都会弹出很多窗口,或者浏览器网页窗口,最终导致计算机没法运行。
检测办法:按ctrl+alt+del在任务窗口中如果有一个大写的进程WINLOGON.EXE,那么说明计算机已经被感染了。同时在 D盘根目录和C盘系统目录会产生一些病毒文件,只不过由于隐藏一般人无法看到 。
推断:WINLOGON.EXE一旦启动,因为和系统核心文件winlogon.exe同名,所以不能手工结束此进程。
            病毒生成一些诸如finder.com,iexplore.com,command.pif,pagefile.pif,iexplore.pif让用户每次执行exe文件都会执行病毒体,从而保证其继续存在。
           (估计还有其他的一些动作,本人没有细分,期待杀毒软件公司很好的解决,可现在的杀毒软件我一个也不相信,他们除了更新一下病毒库外,对恶意的程序根本置之不理,失望。。。。。。)
[本文来自www.newsoftstudio.com,作者iuprg,mail:[email protected]]
解决办法:

思路:由于正常模式下无法结束此进程和删除相关文件,必须进入“带命令提示符”的安全模式,以保证系统最基本的内核运行而不执行任何用户程序。
            用dos命令attrib,dir,del手工删除相关文件,至于注册表键值修改可以在完成此步骤之后再进行。

步骤:重新启动计算机,在即将出现windows 图标之前迅速按下f8,出现选择菜单;
选择“带命令提示符的安全模式”;
在光标处键入cd/回车----c:回车,键入dir/ah后回车,查看屏幕上是否有 时间为近期的*.pif文件,如果有那么键入
attrib -r -s -h 该文件名称(回车)
del 该文件(回车)
紧接着,进入浏览器的目录:
cd c:/program files/internet explorer
dir /ah看是否有iexplore.com和finder.com,如果存在,那么attrib -r -s -h iexplore.com
然后del iexplore.com
执行cd..返回上一级目录,cd common files
dir /ah回车,看目录里是否有iexplore.pif文件或者其余后缀的文件,如果有那么还按上述方法删除;
按照此种办法,分别将以下这些文件都手工删除:
d:/autorun.inf
d:/pagefiles.pif

c:/WINDOWS/WINLOGON.EXE
C:/WINDOWS/1.com (随机的,估计还会有其他的名字,比如2.com,6.com等)
C:/WINDOWS/iexplore.com
C:/WINDOWS/finder.com
C:/WINDOWS/Exeroute.exe
C:/WINDOWS/Debug/DebugProgramme.exe(非隐藏的)
C:/Windows/system32/command.pif   
C:/Windows/system32/msconfig.com
C:/Windows/system32/regedit.com
C:/Windows/system32/dxdiag.com
C:/Windows/system32/rundll32.com
C:/Windows/system32/finder.com
C:/Windows/system32/a.exe

注意,在执行命令时候要特别小心,不要轻易执行上述文件 或者单独打开桌面上的任何其他程序,包括杀毒软件!

在执行完上述步骤后,不妨用dir /od /ahs 列一下相关目录下的隐藏文件,最下方的是最近的时间日期;
也可以不加/ah显示正常全部文件,看是否有1.com等这些文件(日期是最近的,比如2006-8-26);也可以加上
/s 文件名 来搜索整个目录内是否还有指定文件。

确认执行完上述操作后,重新启动计算机进入系统后,会发现所有的exe文件com文件都不能运行了,比如:点IE图标后,提示“找不到c:/program files internetexplorer/iexplore.exe......”,解决办法是:打开我的电脑,选种“工具”菜单-----“文件夹选项”----“文件类型”----点“新建”----输入一个名称“exe文件”,点高级,在关联的
文件类型中选“应用程序”,确定两次即可。

最后,点开始---运行---regedit.exe,找到键值HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run

将Torjan pragramme这一项删除,如果还有什么c:/windows/system32/realplayer.exe 也删除了吧,很明显它也不是好东西(同时,也删除那个文件)。

至此,文件清除完毕!

扫尾,清理注册表:

1.展开HKEY_CLASSES_ROOT/.bfc/ShellNew
将"Command"="%SystemRoot%//system32//rundll32.com %SystemRoot%//system32//syncui.dll,Briefcase_Create %2!d! %1"中的Command"="%SystemRoot%//system32//rundll32.com 删除。

2.展开HKEY_CLASSES_ROOT/.lnk/ShellNew
将"Command"="rundll32.com appwiz.cpl,NewLinkHere %1"中的rundll32.com删除

3.展开HKEY_CLASSES_ROOT/Applications/iexplore.exe/shell/open/command
将@="/"C://Program Files//Internet Explorer//iexplore.com/" %1"改为@="/"C://Program Files//Internet Explorer//iexplore.exe/" %1"

4.展开HKEY_CLASSES_ROOT/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D}/shell/OpenHomePage/Command
将@="/"C://Program Files//Internet Explorer//iexplore.com/" %1"改为@="/"C://Program Files//Internet Explorer//iexplore.exe/" %1"

5.展开HKEY_CLASSES_ROOT/cplfile/shell/cplopen/command
将@="rundll32.com shell32.dll,Control_RunDLL /"%1/",%*"中的rundll32.com 删除

6.展开HKEY_CLASSES_ROOT/Drive/shell/find/command
将@="%SystemRoot%//explorer.com"改为@="%SystemRoot%//explorer.exe"

7.展开HKEY_CLASSES_ROOT/dunfile/shell/open/command
将@="%SystemRoot%//system32//rundll32.com NETSHELL.DLL,InvokeDunFile %1"中的%SystemRoot%//system32//rundll32.com删除

8.展开HKEY_CLASSES_ROOT/ftp/shell/open/command
将@="/"C://Program Files//Internet Explorer//iexplore.com/" %1"改为@="/"C://Program Files//Internet Explorer//iexplore.exe/" %1"

9.展开HKEY_CLASSES_ROOT/htmlfile/shell/open/command
将@="/"C://Program Files//Internet Explorer//iexplore.com/" -nohome"改为@="/"C://Program Files//Internet Explorer//iexplore.exe/" -nohome"

10.展开HKEY_CLASSES_ROOT/htmlfile/shell/opennew/command
将@="/"C://Program Files//common~1//iexplore.pif/" %1"改为@="/"C://Program Files//common~1//iexplore.exe/" %1"

11.展开HKEY_CLASSES_ROOT/htmlfile/shell/print/command
将@="rundll32.com %SystemRoot%//system32//mshtml.dll,PrintHTML /"%1/""中的rundll32.com删除

12.展开HKEY_CLASSES_ROOT/InternetShortcut/shell/open/command
将@="finder.com shdocvw.dll,OpenURL %l"中的finder.com删除

13.展开HKEY_CLASSES_ROOT/scrfile/shell/install/command
将@="finder.com desk.cpl,InstallScreenSaver %l"中的finder.com删除

14.展开HKEY_CLASSES_ROOT/scriptletfile/Shell/Generate Typelib/command
将@="/"C://WINDOWS//system32//finder.com/" C://WINDOWS//system32//scrobj.dll,GenerateTypeLib /"%1/""中的/"C://WINDOWS//system32//finder.com/"删除

15.展开HKEY_CLASSES_ROOT/telnet/shell/open/command
将@="finder.com url.dll,TelnetProtocolHandler %l"中的finder.com删除

16.展开HKEY_CLASSES_ROOT/Unknown/shell/openas/command
将@="%SystemRoot%//system32//finder.com %SystemRoot%//system32//shell32.dll,OpenAs_RunDLL %1"中的%SystemRoot%//system32//finder.com 删除

17.展开HKEY_CLASSES_ROOT/winfiles/Shell/Open/Command
删除@="C://windows//ExERoute.exe /"%1/" %*"

18.展开HKEY_CURRENT_USER/Software/VB and VBA Program Settings/ Microsoft Soft Debuger/Settings
删除"GUID"="{C08L95-CW547B-IC74A8-57KU9O-J7M617}"

19.展开HKEY_LOCAL_MACHINE/SOFTWARE/ Microsoft/Windows/CurrentVersion/Run
删除Tprogram

20.展开HKEY_LOCAL_MACHINE/SOFTWARE/ Microsoft/Windows/CurrentVersion/RunServices
删除Tprogram

21.展开HKEY_LOCAL_MACHINE/SOFTWARE/ Microsoft/Windows NT/CurrentVersion/Winlogon
将"Shell"="Explorer.exe 1"中的1删除

完毕!

补充:(以下这两种情况,我都未曾碰见也未起作用,但先作为一个参考吧)

1)设置exe文件关联的dos命令

assoc .exe=exefile (assoc与.exe之间有空格)
ftype exefile="%1" %*

2)防止提示“文件找不到”的另一种方法:
在运行程序中运行“regedit”,打开注册表,在[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]中
把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"




你可能感兴趣的:(Windows平台)