[求助]winlogon.exe文件无法删除的问题

13987260859 · 发表于 2006-8-30 18:58:54

在我的windows目录下新来了几个文件：
winlogon.exe

ExERoute.exe

1.com

这几个文件　这么都删除不了！有谁遇到过。。。。哇？杀毒　没有杀出毒　来，然后在注册　表里也有一行：\run\Trojian Program F:\windows\winlogon.exe 也是无法清除，删了又会自动加上！

请帮助，高手们，谢谢

13987260859 · 发表于 2006-8-30 19:01:39

附上我的系统扫描结果：

Logfile of HijackThis v1.99.1
Scan saved at 18:59:44, on 2006-8-30
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\csrss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\Explorer.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\system32\conime.exe
D:\tools\arp18\ARP保护神1.8\arp.exe
F:\WINDOWS\system32\ctfmon.exe
F:\WINDOWS\system32\wdfmgr.exe
D:\VMware Workstation\vmware-authd.exe
F:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe
F:\WINDOWS\system32\vmnat.exe
F:\WINDOWS\system32\vmnetdhcp.exe
F:\WINDOWS\System32\alg.exe
F:\WINDOWS\system32\wscntfy.exe
F:\WINDOWS\PortalCT.exe
E:\wjj\qq\TIMPlatfrom.exe
F:\WINDOWS\WINLOGON.EXE
E:\wjj\qq\QQ.exe
F:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\tools\hijackthis.exe

F2 - REG:system.ini: Shell=Explorer.exe 1
O2 - BHO: (no name) - {08A312BB-5409-49FC-9347-54BB7D069AC6} - (no file)
O2 - BHO: BandIE Class - {77FEF28E-EB96-44FF-B511-3185DEA48697} - F:\PROGRA~1\baidu\bar\baidubar.dll
O2 - BHO: (no name) - {F2E37336-BFDB-409B-8D0E-6F013C438B20} - (no file)
O3 - Toolbar: 百度超级搜霸 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - F:\PROGRA~1\baidu\bar\baidubar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "F:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] F:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] F:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KAVRUN] C:\KAV6\KAVRUN.EXE
O4 - HKLM\..\Run: [传奇杀手克星] D:\tools\arp18\ARP保护神1.8\arp.exe
O4 - HKLM\..\Run: [Torjan Program] F:\WINDOWS\WINLOGON.EXE
O4 - HKCU\..\Run: [ctfmon.exe] F:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: 上传到QQ网络硬盘 - E:\wjj\qq\AddToNetDisk.htm
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://E:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: 添加到QQ自定义面板 - E:\wjj\qq\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - E:\wjj\qq\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - E:\wjj\qq\SendMMS.htm
O9 - Extra button: 信息检索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {87CCFDB0-C4BE-4BC2-A78C-9EAA7CF96667} - http://ps.itv.mop.com/dn/files/vodupdate_1.0.0.9_20060425.cab
O18 - Protocol: dic - {C21F5C32-F57A-4A0D-8E0A-B672691C52D0} - F:\PROGRA~1\Kingsoft\POWERW~1\XDictExB.dll
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - D:\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - F:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - F:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - F:\WINDOWS\system32\vmnat.exe

13987260859 · 发表于 2006-8-30 19:30:27

帮偶分析下哪些启动可以安全地咔嚓掉，哪些是病毒启动程序？还有哪些是垃圾吧，谢谢

yyjzxx98151 · 发表于 2006-8-30 23:06:57

你中了落雪病毒了
表现症状：双击盘符无法打开，或出现自动播放，在盘根目录下出现autorun.inf和pagefile.***文件，同时修改了大量的文件关联。打开任务管理器，出现大写的WINLOGON.EXE,该东东为盗号马，曾见过对该马儿的定义名称，为“落雪”，挺好听的名字噢~
在系统里存在的病毒文件及被修改的文件为:
D:\pagefile.com
C:\Program Files\Common Files\iexplore.com
C:\WINDOWS\1.com
C:\WINDOWS\iexplore.com
C:\WINDOWS\finder.com
C:\WINDOWS\Exeroud.exe
C:\WINDOWS\Debug\DebugProgramme.exe
C:\Windows\system32\command.com
C:\Windows\system32\msconfig.com
C:\Windows\system32\regedit.com
C:\Windows\system32\dxdiag.com
C:\Windows\system32\rundll32.com
C:\Windows\system32\finder.com
C:\Windows\WINLOGON.EXE
前几天，我曾经写过关于此类病毒的处理方式，处理问题的关键相同，大概思路还是如此
http://www.ljack.com.cn/article.asp?id=75

依照目前这个WINLOGON.EXE情况，基本过程为：

1.终止进程WINLOGON.EXE
终止进程可采用进程杀手或Procexp等工具来实现，注意别把小写的winlogon给禁止了
再进入注册表,删除如下
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Torjan pragramme

2.恢复文件关联
修复文件关联可采用偶在置顶日志里的反病毒常用工具里的东东

3.逐一删除染毒文件，清理或恢复注册表信息
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]"Shell"="Explorer.exe 1"
更改为
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]"Shell"="Explorer.exe "
把上面被列出后缀为com的文件在注册表里搜索，找到后，在注册表里的文件后缀由.com改为.exe

偶发现偶的书面表达跟不上了，看似上面简单3个步骤，可中间无数次重启，小心翼翼的操作，在整个处理过程中，多数会犯错，晕噢。
我无法决定搜索引擎的工作方式，但可以肯定的是我个人没有请你来！
请仔细查看两个工具下面的转载说明
如果因为使用工具产生的问题，本人概不负责！

还好，偶找到了一个处理该病毒的批处理文件，来自[动物安全]
简单方便处理，过程如下：
1.采用Procexp终止WINLOGON.EXE进程（千万要注意！是大写的WINLOGON，而不是小写winlogon）
2.运行下边提供下载的批处理
3.Procexp在置顶日志里的反病毒常用工具里有下载
点击下载此文件
附上转此批处理的说明：
1、该批处理只适用于安装在C盘和D盘下的XP操作系统。
2、这不是杀毒软件，只是我个人针对该病毒及其系列变种采取应对措施，不能保证完无一失。因此，请做好系统备份，对此产生的后果我不负任何责任。（不过出事的几率好象不大^_^）
3、批处理同样适用用于杀软清除病毒后的注册表修复。

再转一个小工具，能对付WINLOGON SMSS LSASS来自[非凡]
已测试过的平台: Windows XP SP2
作者: Krazaf / tkabc
使用方法:
-必须已装上Microsoft .NET Framework 2.0 or Higher
http://www.microsoft.com/downloa ... d-8edd-aab15c5e04f5
-运行前请先关闭任何正在使用中的程序(eg. QQ.exe,IE等等) 和视窗(eg. "我的电脑"等等)
-运行 Trjwow_rem.com
-建议先用 Do a quick scan and save a logfile 生成报告给帮助人员看看
%SystemDrive%\Search_WOW.log
-用 Destroy 就可以进行清除和修复档案关联,清除后会有报告生成出来
%SystemDrive%\Remove_WOW.log
虽然已经经过其他人测试,证明没有问题,
但使用后如有任何问题,本人不会负责
点击下载WOW系列马专杀工具
注意：
尽管该工具在某些同学机器上确实有效，但还是有重启注销的现象（我个人没遇到）
因此个人建议能手工尽量手工，以免使用工具时出现误操作
江民和瑞星先后推出该系列马专杀工具，请访问
http://ljack.com.cn/article.asp?id=179

bora521 · 发表于 2006-9-1 09:07:04

杀之不绝啊　　　快快重装　　行之正道

greenangel · 发表于 2006-9-1 18:24:10

用木马清道夫可以杀掉

13987260859 · 发表于 2006-9-2 10:37:48

在经过了几个小时的手工处理后，已经心烦意乱，重做了XP，谢谢楼上的几位

greenangel · 发表于 2006-9-3 09:03:38

原帖由 13987260859 于 2006-9-2 10:37 AM 发表
在经过了几个小时的手工处理后，已经心烦意乱，重做了XP，谢谢楼上的几位

晕，总不能一出问题就重做吧！

6618 · 发表于 2006-9-3 09:59:03

这个最近在网上火的很，KV，RAV的专杀都能KILL掉它。

vipnai · 发表于 2006-9-3 10:34:05

2.恢复文件关联
修复文件关联可采用偶在置顶日志里的反病毒常用工具里的东东

请问这位四楼的朋友,这个"常用工具里的东东"在哪儿?我没找到"置顶日志",请明示,谢谢

lndlh · 发表于 2006-9-4 13:34:01

学习学习学习

		自动登录	找回密码
密码			注册

[求助]winlogon.exe文件无法删除的问题

浏览过的版块