winlogon.exe 病毒与小红伞误报……

罪の罚

***此贴和 小红伞 误报无关***    注意 仔细看说明

winlogon.exe 病毒专杀工具说明

江民落雪(GamePass)木马专杀 1.0 直接下载

如果你发现你的系统程序里面有一个大写的WINLOGON.EXE，一个小写winlogon.exe，那么恭喜你，你中了“落雪”病毒.大写的WINLOGON.EXE就是病毒文件,“落雪”木马也叫“游戏大盗”(Trojan/PSW.GamePass），由VB程序语言编写，通过nSPack3.1加壳处理（即通常所说的“北斗壳”NorthStar），该木马文件图标一般是红色的图案，伪装成网络游戏的登陆器。
落雪病毒运行后，在C盘programfile以及windows目录下生成
    C:windowswinlogon.exe
    C:WINDOWS.com
    C:WINDOWSExERoute.exe
    C:WINDOWSiexplore.com
    C:WINDOWSfinder.com
    C:WINDOWSsystem32command.pif
    C:Windowssystem32command.com
    C:WINDOWSsystem32dxdiag.com
    C:WINDOWSsystem32finder.com
    C:WINDOWSsystem32MSCONFIG.COM
    C:WINDOWSsystem32regedit.com
    C:WINDOWSsystem32rundll32.com
    C:WindowsWINLOGON.EXE
    C:WINDOWSservices.exe
    C:WINDOWSDebugDebugProgramme.exe
等多个病毒文件，病毒文件之多比较少见，，事实上这14个不同文件名的病毒文件系同一种文件，“落雪”之名亦可能由此而来。病毒文件名被模拟成正常的系统工具名称，但是文件扩展名变成了.com。这是病毒利用了Windows操作系统执行.com文件的优先级比EXE文件高的特性，这样，当用户调用系统配置文件Msconfig.exe的时候，一般习惯上输入Msconfig，而这是执行的并不是微软的Msconfig.exe程序，而是病毒文件Msconfig.com，落雪病毒作者的“良苦用心”由此可见。病毒另一狡诈之处还有，病毒还创建一名为winlogon.exe的进程，并把winlogon.exe的路径指向c:windowsWINLOGON.EXE，而正常的系统进程路径是C:WINDOWSsystem32winlogon.exe，以此达到迷惑用户的目的。

除了在C盘下生成很多病毒文件外，病毒还修改注册表文件关联，每当用户点击html文件时，都会运行病毒。此外，病毒还在其他盘下生成一个autorun.inf和一个pagefile.com的文件自动运行批处理文件，这样即使C盘目录下的病毒文件被清除，当用户打开D盘时，病毒仍然被激活运行。这也是许多用户反映病毒屡杀不绝的原因。（需要在工具－>文件选项->查看里面打开显示隐藏文件和显示系统文件）

罪の罚

文件下载好后 双击直接运行即可修复了

卯兔

早看见 就好了  我重装了

baiyiqishi

刚试过  没管用  

gtq

***此贴和 小红伞 误报无关***    注意 仔细看说明





如果你发现你的系统程序里面有一个大写的WIN ...
罪の罚 发表于 2010.8.25 08:39

您的这个建议不错。谢谢。
但是误报的是c:\windows\system32\winlogon.exe，昨天也用过您提示的那个工具。没有收获啊。

Markel.Scofield

这病毒06年的，好老了

392683525

我也中招了,还原接着用红伞

罪の罚

回复 5楼 gtq  的帖子


    你这个是因为小红伞误报。
关闭监控后在隔离区还原。

msy0606

这个是误报还是真的中毒？我怎么工具下载后，都没有发现病毒啊

罪の罚

回复 9楼 msy0606  的帖子


    小红伞误报 你没问题不用管啊