前段時間,網(wǎng)上曾爆發(fā)過WINLOGON病毒,給大家造成了很大的麻煩和損失。WINLOGON病毒中文名叫“落雪”,是一種專門盜取“傳奇世界”、“魔獸世界”、“QQ”及網(wǎng)銀等帳號密碼的病毒。它不僅盜竊密碼,而且還能免殺、自動關(guān)閉殺毒軟件及木馬克星,中了該病毒后你會發(fā)現(xiàn):
雙擊“我的電腦”/盤符無法打開、或出現(xiàn)自動播放,大量的文件關(guān)聯(lián)被修改;打開任務(wù)管理器,出現(xiàn)2個WINLOGON.exe進程,其中winlogon.exe是原進程,而WINLOGON.exe(路徑為c:\windows\winlogon.exe)則是木馬的主程序(為盜號馬),你無法結(jié)束該進程。另外,在D盤下還會多出2個文件autorun.inf和pagefile.com;C盤中將生成如下15個病毒文件:
C:\Windows\WINLOGON.EXE
C:\Program Files\Internet Explorer\iexplore.com
C:\Program Files\Common Files\iexplore.com
C:\WINDOWS\1.com
C:\WINDOWS\iexplore.com
C:\WINDOWS\finder.com
C:\WINDOWS\Exeroud.exe
C:\WINDOWS\Debug\Debug Programme.exe
C:\Windows\system32\command.com
C:\Windows\system32\msconfig.com
C:\Windows\system32\regedit.com
C:\Windows\system32\dxdiag.com
C:\Windows\system32\rundll32.com
C:\Windows\system32\finder.com
C:\Windows\system32\a.exe
為了清除落雪病毒,建議你將殺毒軟件病毒庫升級到最新,然后再用殺毒軟件去剿殺;或者手工清除,方法如下:
1、終止WINLOGON.EXE
利用進程殺手prockiller2.7,或者Procexp先結(jié)束這個進程(注意不要結(jié)束小寫的winlogon.exe);然后進入注冊表,刪除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Torjan ragramme
2、刪除染毒文件
刪除 C:\Windows 目錄下的 winlogon.exe、winlogon.dll、winlogon_hook.dll 和 winlogonkey.dll 文件,再打開注冊表,清除 AOL instant messenger 7.0 服務(wù),即位于注冊表 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] 下的 aol7.0 鍵。
接下來右擊D盤(不要雙擊,免得激活病毒),選“打開”,刪除autorun.inf和pagefile.com;進入C盤,刪除上面所列的15個文件!
3、恢復(fù)文件關(guān)聯(lián)
用SRE恢復(fù)文件關(guān)聯(lián)。先將SREng.EXE的后綴改為.com,以便能夠運行SRE;在SRE主窗口選擇“啟動項目”,在“注冊表”標簽中去掉木馬啟動項;然后點擊“系統(tǒng)修復(fù)”,進入“文件關(guān)聯(lián)”標簽,勾選“全選”(圖4),點“修復(fù)”,即可恢復(fù)所有的文件關(guān)聯(lián)。
![]("http://windows.chinaitlab.com/UploadFiles_3263/200707/20070719105637690.jpg")
圖 4
如果你想手工修復(fù)文件關(guān)聯(lián),可以這樣操作:到C:\Windows\system32中,把cmd.exe文件復(fù)制到桌面,然后改名成cmd.com,以便能運行之;啟動cmd.com進入DOS狀態(tài),輸入以下命令來恢復(fù)exe的文件關(guān)聯(lián):
assoc .exe=exefile回車
ftype exefile="%1" %*回車
重啟電腦后,exe文件即可運行了;不過再次進入系統(tǒng)后,會彈出“文件1找不到”的提示,因為1.com病毒文件早已被刪除了,為此你可以點擊“開始”/運行,輸入regedit打開注冊表,定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon把"Shell"="Explorer.exe 1"恢復(fù)為"Shell"="Explorer.exe" 便大功告成!
