Windows, 未分類

清除超難纏殘的木馬程式 WINLOGON.EXE 方法

Leave a comment

清除超難纏殘的木馬程式 WINLOGON.EXE 方法:
——————————————
WINLOGON這個程式最明顯的特徵是他的圖示是一個傳奇世界的圖示,正常的winlogon系統程序,其用戶名稱為“SYSTEM” 程式名稱為小寫winlogon.exe。
查看方式可同時按下 [CTRL+ALT+DEL] 點選”工作管理員”,然後點選”處理程序”,正常情況下有且只有一個winlogon.exe程序,其用戶名稱為“SYSTEM”。
如果出現了兩個 winlogon.exe,且其中一個為大寫 WINLOGON.EXE,用戶名稱為目前系統用戶的話,表示你已經中了這隻木馬程式。

這個木馬非常厲害,能破壞掉木馬剋星與防毒軟體的監控,使其不能正常執行。目前我使用其他防毒軟體也不能查出這隻木馬程式。
這個WINDOWS下的WINLOGON.EXE確實是病毒,但是,她不過是這個病毒中的小角色而已,請打開D磁碟機查看是否有一個pagefile的DOS捷徑檔案和一個autorun.inf檔案,當然都是隱藏的,刪這幾個沒用的,因為她關聯了很多東西,甚至在安全模式都很難搞,只要執行任何程式,或者連續按兩下打開D磁碟機,這隻木馬程式就會被重新啟動了,而且防毒毒軟體是查不出來的。

PS:注意這個假的WINLOGON.EXE是在WINDOWS下,另外一個小寫的winlogon.exe是正常的,這個千萬不要亂刪,要看清楚了,前面一個是大寫,後面一個是小寫。

解決“WINLOGON.EXE”的方法
癥狀:D磁碟機連續按兩下打不開,裏面有autorun.inf和pagefile.com文件
做這個木馬程式的人也太強了,在安全模式用Administrator一樣解決不了!。
我沒用什麼查殺木馬的軟體,全是手動一個一個把它揪出來刪掉的,絕大多數檔案都是顯示為系統文件和隱藏的。
所以要在資料夾選項裏打開顯示所有隱藏文件與系統檔案。

WINLOGON.EXE所有關聯的檔案如下:
D:\autorun.inf
D:\pagefile.com
C:\Program Files\Internet Explorer\iexplore.com
C:\Program Files\Common Files\iexplore.com
C:\WINDOWS\1.com
C:\WINDOWS\iexplore.com
C:\WINDOWS\finder.com
C:\WINDOWS\ExERoute.exe(紅色圖示有傳奇世界圖示的)
C:\WINDOWS\Debug\DebugProgram.exe(也是上面那個圖示,好大好明顯非隱藏的)
C:\Windows\system32\command.com
C:\Windows\system32\msconfig.com
C:\Windows\system32\regedit.com
C:\Windows\system32\dxdiag.com
C:\Windows\system32\rundll32.com
C:\Windows\system32\finder.com
C:\Windows\system32\a.exe
C:\Windows\WINLOGON.EXE

1.首先關閉可以關閉的所有程式,打開WINDOWS檔案總管,並在[工具]選項裏點選”資料件夾選項”然後再點選”檢視”
取消”隱藏保護的作業系統檔案”和打勾”顯示所有檔案和資料夾”,

2.點選 開始->執行,輸入 regedit 「Enter」,進入登入編輯程式,到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 裏面,有一個Torjan pragramme,這個襬明是“我是木馬”,請刪除他!!

3.打開“工作管理員”,看看有沒rundll32,有的話請中止程序。

4.進入D磁碟機(注意不要連續按兩下進入!否則又會啟動這個木馬程式)請在D磁碟機上面按滑鼠右鍵,點選“開啟”,找到 autorun.inf 和 pagefile.com 請刪掉他!!

5.然後再到C磁碟機找出上面所列出來的檔案請全部刪掉,中途注意不要連續按兩下到其中任何一個檔案,否則所有步驟都要重新來過!

6.在將上面所列出的檔案都刪除掉之後,所有的exe文件全都打不開了,執行cmd也不行,請到C:\Windows\system32 裏,把cmd.exe檔案複製出來,假設是複製到桌面,改檔案名稱成cmd.com,然後連續按兩下這個cmd.com檔案

7.進入到DOS下的命令提示字元,請輸入以下的命令:
assoc .exe=exefile (assoc與.exe之間有空格)
ftype exefile=”%1″ %*
這樣exe檔案就可以執行。

如果不會打指令,請打開CMD.COM後複製上面的兩行分兩次貼上去執行就可以了。

8.開始->執行,輸入 regedit 「Enter」,進入登入編輯程式,在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]中
把”Shell”=”Explorer.exe 1″ 改為 “Shell”=”Explorer.exe”

9.重新開機後,就將這個難纏殘的木馬程式 WINLOGON.EXE清除完成了.

Leave a Reply