无耻的盗号木马WINLOGON.EXE(全大写,小写的那个一般是核心进程)

 

最近上网不幸中了盗号木马,norton av8 防毒虽好,对木马却是视而不见。尤其是恶意软件,更是察觉不到。windows defender(antispyware)虽好,可是只给正版用户使用,真是郁闷。iparmor也很老迈了,与其中了再杀,还不如用upiea防范!更何况上面这些防反垃圾的软件都对bho视而不见!bho可真是恶心!据说M$早有了补丁,但是我竟然忘了补丁是哪个。总之一句话,无耻的人利用bho犯下的无耻罪行几乎和3721的实名上网不分伯仲。
不说这些了,还是回过头来讲WINLOGON.EXE这个垃圾!用filemon(www.sysinternals.com,使用时“EXCLUDE”掉explorer.exe;csrss.exe;svchost.exe这些核心进程)就可以很容易看到,当你一打开tool类型的窗口,比如win+R“运行”那个,它就开始活动了(调用网络函数的dll),想把你输入的东东发到它主人那里。并且不释放资源,任其发展会吃尽内存(要不然我可能还会妥协呢!)。这个垃圾现在的变种极无耻!具体的讲,都作了如下的事情:
1.利用BHO把自己偷偷安装到电脑。
2.把exeroute.exe,WINLOGON.EXE,1.com,finder.com,winlogondebug.exe等文件都放在%windir%下(当然是隐藏加系统属性,必须“显示所有文件和文件夹”,并取消“隐藏受保护的操作系统文件”才看到。),
3.把它自己的msconfig.exe,dxdiag.exe,regedit.exe等程序放到%windir%/system32/下,这个陷阱很毒!不知道的话用这些常用工具修复电脑就立马中着!(2.和3.中写的几个文都是我现在记起来的,不全,自己按时间排列一下那两个文件夹里的文件就知道都是哪些了。)
4.在d盘添加自动运行配置文件autorun.ini和DOS方式pagefile,当然这两个文件也是sys+hidden属性。这样如果双击D盘打开,也会中着。
5.在C:/Documents and Settings/zsy(中毒用户)/Local Settings/Application Data/下生成一个名字是数字和字母混合的文件夹,里面当然是一些可恶的有毒垃圾了。
6.改变注册表hklm/software/microsoft/windows NT/currentversion/winlogon/shell为“explorer.exe 1”(本来是没有1的,这样就可以运行它那个1.com了!)
7.改变文件关联(assoc .exe=winfiles),这样可以让你每次运行exe文件都运行它的那些软件!
8.还可能感染conime.exe和wmiprvse.exe和wuauclt.exe等系统程序,让它们不停地重起WINLOGON.EXE。

对策:
1.先卸载BHO(是一个字母加数字的杂乱名称),尽管可以在ie的工具|internet选项|程序|管理加载项...卸载,但是推荐用Raptor的BHOView,或者upiea。
2.先删除msconfig.exe,dxdiag.exe,regedit.exe等陷阱文件,不要关窗口,然后改正经的cmd.exe名称为cmd.com,双击运行,然后在里面运行:
ftype exefiles="%1" %*
assoc .exe=exefiles
之后再运行tasklist,可以看到比进程管理器里更多的进程,停止前面说的一切进程,如conime.exe和wmiprvse.exe和wuauclt.exe以及winlogondebuge.exe和WINLOGON.EXE。用tskill命令停(如tskill 1214,后面的数字是欲停止进程的pid),因为在进程管理器中看不到,或停不掉。
3.在前面未关的窗口中,转到%windir%删掉exeroute.exe,WINLOGON.EXE,1.com,finder.com,winlogondebug.exe等文件。(不可新开窗口!否则又中着。)
3.删除前面5里讲的文件夹,用鼠标右键单击D盘,用“资源管理器”打开D盘,删除autorun.ini和pagefile。
4.把前面6里讲的改回来。
5.有必要的话删除conime.exe和wmiprvse.exe和wuauclt.exe等系统程序。

大概就是这样。 最后,顺便说一下,如果谁知道BHO的补丁请告诉我,不知道的最好停用BHO!钩掉ie的工具|internet选项|高级|“启用即需安装”和“启用第三方控件”。

你可能感兴趣的:(无耻的盗号木马WINLOGON.EXE(全大写,小写的那个一般是核心进程))