查看: 1521|回复: 6
收起左侧

[讨论] 高手进!!!

[复制链接]
polestar981
发表于 2007-4-20 00:12:57 | 显示全部楼层 |阅读模式
今日忘记开保护,一,出现以下问题(几十行),请高手帮分析一下,是不是中了一种叫winlogon.exe 的病毒??急!!!谢谢!!!

2007-4-20 0:08:01 已由访问保护规则禁止  NT AUTHORITY\SYSTEM \??\C:\WINDOWS\system32\winlogon.exe C:\autorun.inf 用户定义的规则:禁止修改Autorun.inf  已阻止的操作: 写入
2007-4-20 0:08:01 已由访问保护规则禁止  NT AUTHORITY\SYSTEM \??\C:\WINDOWS\system32\winlogon.exe D:\autorun.inf 用户定义的规则:禁止修改Autorun.inf  已阻止的操作: 写入
2007-4-20 0:08:01 已由访问保护规则禁止  NT AUTHORITY\SYSTEM \??\C:\WINDOWS\system32\winlogon.exe E:\autorun.inf 用户定义的规则:禁止修改Autorun.inf  已阻止的操作: 写入



C:\WINDOWS\system32\Restore\rstrui.exe \REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{bf404da2-7d3b-11d3-b9e5-00c04f79e399}\Insertable 防间谍程序最大保护:禁止安装新的 CLSID、APPID 和 TYPELIB 已阻止的操作: 创建
2007-4-19 23:24:58 将由访问保护规则 (当前不强制执行规则) 禁止  ACER-AE70AD3423\zhangshigui C:\WINDOWS\system32\Restore\rstrui.exe \REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{bf404da2-7d3b-11d3-b9e5-00c04f79e399}\ToolboxBitmap32 防间谍程序最大保护:禁止安装新的 CLSID、APPID 和 TYPELIB 已阻止的操作: 创建
2007-4-19 23:24:58 将由访问保护规则 (当前不强制执行规则) 禁止  ACER-AE70AD3423\zhangshigui C:\WINDOWS\system32\Restore\rstrui.exe \REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{bf404da2-7d3b-11d3-b9e5-00c04f79e399}\MiscStatus 防间谍程序最大保护:禁止安装新的 CLSID、APPID 和 TYPELIB 已阻止的操作: 创建
2007-4-19 23:24:58 将由访问保护规则 (当前不强制执行规则) 禁止  ACER-AE70AD3423\zhangshigui C:\WINDOWS\system32\Restore\rstrui.exe \REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{bf404da2-7d3b-11d3-b9e5-00c04f79e399}\MiscStatus\1 防间谍程序最大保护:禁止安装新的 CLSID、APPID 和 TYPELIB 已阻止的操作: 创建
2007-4-19 23:24:58 将由访问保护规则 (当前不强制执行规则) 禁止  ACER-AE70AD3423\zhangshigui C:\WINDOWS\system32\Restore\rstrui.exe \REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{bf404da2-7d3b-11d3-b9e5-00c04f79e399}\TypeLib 防间谍程序最大保护:禁止安装新的 CLSID、APPID 和 TYPELIB 已阻止的操作: 创建
2007-4-19 23:24:58 将由访问保护规则 (当前不强制执行规则) 禁止  ACER-AE70AD3423\zhangshigui C:\WINDOWS\system32\Restore\rstrui.exe \REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{bf404da2-7d3b-11d3-b9e5-00c04f79e399}\Version 防间谍程序最大保护:禁止安装新的 CLSID、APPID 和 TYPELIB 已阻止的操作: 创建
2007-4-19 23:45:40 已由访问保护规则禁止  NT AUTHORITY\SYSTEM \??\C:\WINDOWS\system32\winlogon.exe C:\autorun.inf 用户定义的规则:禁止修改Autorun.inf  已阻止的操作: 写入
小邪邪
发表于 2007-4-20 00:19:35 | 显示全部楼层
C:\WINDOWS\system32\Restore\rstrui.exe这个东西有点问题
去安全模式里查看一下

考虑将其压缩一份存放起来并删除原文件(效果差不多等于隔离)
polestar981
 楼主| 发表于 2007-4-20 00:25:06 | 显示全部楼层
谢谢小邪邪版主!不过还有上面的那个winlogon.exe是不是也是病毒?
请您看下这个网页的介绍:http://hi.baidu.com/jiwudu/blog/item/ea28facefbaebe0293457e4c.html
小邪邪
发表于 2007-4-20 00:27:15 | 显示全部楼层
还是快点先进安全模式去处理这个文件吧

如果对那个winlogon.exe不放心可以复制一份,再打包上传到样本区,自然会有结果
polestar981
 楼主| 发表于 2007-4-20 00:34:22 | 显示全部楼层
好的,谢谢!
ouran
发表于 2007-4-20 00:42:21 | 显示全部楼层
首先用sreng查看文件关联、启动项和服务项,最好有一份日志让大家看看
其次考虑下是不是伴随性的,看看有没有同名的.com
这种病毒当然不能用双击的方式打开驱动器了,地球人都知道,删除autorun.inf 及其病毒体之前最好记住被启动执行的病毒文件名称,有利于找到线索,修复注册表

最麻烦的情况是
如果线程注入winlogon.exe,建议在删除其它病毒体后,用ProcessExplorer10.2将病毒线程终止,然后尝试删除(注:C:\WINDOWS\system32\winlogon.exe 进程千万不能结束,否则机器直接重启)
恶意程序千变万化,还是具体对待吧
polestar981
 楼主| 发表于 2007-4-20 14:49:12 | 显示全部楼层
已经搞定,我是用最笨的方法:)
就是先按版主所说把那个文件压缩删除了,之后用咖啡杀,最后用AVG Anti-Spyware,费了好长功夫,终于杀干净!
再次谢谢版主及各位高手!
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-23 09:11 , Processed in 0.134567 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表