CSDN专家博客精华版

为人民服务!
  首页  :: 新随笔  :: 管理

Winlogon(落雪)病毒手工清除办法

Posted on 2007-12-17 10:16  csdnexpert  阅读(146)  评论(0编辑  收藏  举报

 不知哪里命的名,叫落雪还是蛮有意思的。

今天一台测试的机器中毒了,刚装好的Windows XP Pro with SP2正版,刚刚上Windows Updated网站打好了到8月份的安全补丁,Office 2003安装了SP2,防火墙开启了,安装了Symantec Antivirus 10,更新到最新的病毒库,IE按照安装时的默认安全设置没有改变,其实对于一般用户来说已经足够了,只不过给了用户管理员的权限,用户上网一段时间后Norton就不断弹出广告木马提示,检查进程,发现一个以当前用户身份启动的大写的WINLOGON.EXE进程。D盘根目录下有autorun.inf和pagefile文件,由于在CSDN解答问题的时候看过这个帖子,典型的落雪症状。

http://community.csdn.net/Expert/TopicView.asp?id=4783405

病毒作者了解大部分人处理病毒的方式,Finder、regedit、cmd、iexpolre等等文件都给“移花接木”了,让用户手动检查的时候也会中招,防不胜防。病毒症状是D盘双击打不开,根目录下有autorun.inf和pagefile.com文件,进程中会有两个winlogon进程,一个以system身份运行(这个是正常的),另一个以当前用户身份运行,进程名字为WINLOGON.EXE,不能结束,即使安全状态也不行,注册表中HKLM\Software\Microsoft\Windows\CurrentVersion\Run里面会有一个启动项叫Torjan pragramme,指向%windir%\WINLOGON.EXE;传染时生成的文件范围很多,以下操作都会致使其继续传播:

打开msconfig
打开ie
打开d盘
查找文件
调用debug
调用directX的诊断程序dxdiag
打开命令行窗口
打开regedit
重启机器

以下是网上流传的清除办法,在步骤上做了些改进,通过此办法将此病毒从机器中清除了:

首先在文件夹选项里的查看里,设置显示所有文件和文件夹,取消隐藏受保护操作系统文件。

然后删除以下文件,这些.COM文件都有一些共同特征——文件大小都是一样的,红色的图标,据说是传奇网游的图标(谁玩谁知道),说明是同一个文件,我所见到的此文件大小是50.8K:

D:\autorun.inf
D:\pagefile.com
C:\Program Files\Internet Explorer\iexplore.com
C:\Program Files\Common Files\iexplore.com
C:\WINDOWS\1.com
C:\WINDOWS\iexplore.com
C:\WINDOWS\finder.com
C:\WINDOWS\Exeroud.exe(忘了是不是这个名字了,红色图标有传奇世界图标的)
C:\WINDOWS\Debug\*** Programme.exe
C:\Windows\system32\command.com

这个不要轻易删,看看是不是和下面几个日期不一样而和其他文件日期一样,如果和其他文件大部分系统文件日期一样就不能删,当然系统文件肯定不是这段时间的。

C:\Windows\system32\msconfig.com
C:\Windows\system32\regedit.com
C:\Windows\system32\dxdiag.com
C:\Windows\system32\rundll32.com
C:\Windows\system32\finder.com
C:\Windows\system32\a.exe

删除期间不要运行任何程序,包括双击磁盘,这些文件会自己关联的,要是你删了一部分,不小心运行了一个,或在开始-运行里运行msocnfig,command,regedit这些命令,所有的这些文件全会自己补充回来。

还有一个重点文件——WINLOGON.EXE,做了这么多工作目的就是要干掉她,%windir%\WINLOGON.EXE,这个文件在进程里是中止不了的,说是关键进程无法中止,就连在安全模式下它都会执行,文件不能删除,首先关闭可以关闭的所有程序,开始,运行,regedit.exe(输入完整),进注册表,到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run里面,有一个Torjan pragramme,删除掉(其实我多了一步做法,将WINLOGON.EXE文件安全属性里面全部权限都取消掉,让用户无法运行此文件,在后来需要删除的时候再将权限设置回来,然后删除此文件)。

然后注销,重新进入系统后,打开“任务管理器”,看看有没rundll32,有的话先中止了(保险些),把那些文件删掉后,在把上述文件删除掉后,所有的exe文件都打不开了,运行cmd也不行。

到C:\Windows\system32 里,把cmd.exe文件复制出来到桌面,改名成cmd.com(因为exe已经不能执行了) ,进入到命令控制台方式,输入以下的两个命令以重新关联exe执行文件:

assoc .exe=exefile(assoc与.exe之间有空格)
ftype exefile="%1" %*

这样exe文件就可以运行了,全部处理好后,在开机的时候会跳出一个警告框,说文件"1"找不到(Windows下的1.com文件已经给删除了),在运行程序中运行“regedit.exe”,打开注册表编辑器,在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]中把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"

重新启动电脑,问题应该可以解决了。

在公司里面这种现象应该不多见,因为一般都不给用户管理员的权限,下面是我一篇翻译:

Why you shouldn't run as admin
http://blog.csdn.net/aceryt/archive/2005/09/01/469808.aspx



Trackback: http://tb.blog.csdn.net/TrackBack.aspx?PostId=1172631