【求助】又中了啥毒了~winlogon进程?
:') 另外一台电脑出现这个了~~:( 又中了啥毒^^?
^^? ^^? ^^?
winlogon.exe 病毒专杀工具,落雪病毒专杀工具
如果你发现你的系统程序里面有一个大写的WINLOGON.EXE,一个小写winlogon.exe,那么恭喜你,你中了“落雪”病毒.大写的WINLOGON.EXE就是病毒文件,“落雪”木马也叫“游戏大盗”(Trojan/PSW.GamePass),由VB程序语言编写,通过nSPack3.1加壳处理(即通常所说的“北斗壳”NorthStar),该木马文件图标一般是红色的图案,伪装成网络游戏的登陆器。
落雪病毒运行后,在C盘programfile以及windows目录下生成
C:\windows\winlogon.exe
C:\WINDOWS.com
C:\WINDOWS\ExERoute.exe
C:\WINDOWS\iexplore.com
C:\WINDOWS\finder.com
C:\WINDOWS\system32\command.pif
C:\Windows\system32\command.com
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\finder.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\rundll32.com
C:\Windows\WINLOGON.EXE
C:\WINDOWS\services.exe
C:\WINDOWS\Debug\DebugProgramme.exe
等多个病毒文件,病毒文件之多比较少见,,事实上这14个不同文件名的病毒文件系同一种文件,“落雪”之名亦可能由此而来。病毒文件名被模拟成正常的系统工具名称,但是文件扩展名变成了.com。这是病毒利用了Windows操作系统执行.com文件的优先级比EXE文件高的特性,这样,当用户调用系统配置文件Msconfig.exe的时候,一般习惯上输入Msconfig,而这是执行的并不是微软的Msconfig.exe程序,而是病毒文件 Msconfig.com,落雪病毒作者的“良苦用心”由此可见。病毒另一狡诈之处还有,病毒还创建一名为winlogon.exe的进程,并把winlogon.exe的路径指向c:\windows\WINLOGON.EXE,而正常的系统进程路径是C:\WINDOWS\system32\winlogon.exe,以此达到迷惑用户的目的。
除了在C盘下生成很多病毒文件外,病毒还修改注册表文件关联,每当用户点击html文件时,都会运行病毒。此外,病毒还在其他盘下生成一个autorun.inf和一个pagefile.com的文件自动运行批处理文件,这样即使C盘目录下的病毒文件被清除,当用户打开D盘时,病毒仍然被激活运行。这也是许多用户反映病毒屡杀不绝的原因。(需要在工具->文件选项->查看里面打开显示隐藏文件和显示系统文件)
由于手动没有完全删除掉,于是下载了 江民落雪病毒专杀工具
WINLOGON.EXE 江民落雪病毒专杀工具 1.0
http://down1.tech.sina.com.cn/download/down_contents/1157817600/29375.shtml 仅供参考:
http://zhidao.baidu.com/question/11404701.html?fr=qrl
Good luck!! 前两天中了的,重装系统没了 还好 我只有一个 看了一楼的一位winlog都是病毒看来二楼的才明白 吓死我了 还没中过那么高级的毒
页:
[1]