高手进！！！

显示全部楼层 · 发表于 2007-4-20 00:12:57

今日忘记开保护，一，出现以下问题（几十行），请高手帮分析一下，是不是中了一种叫winlogon.exe 的病毒？？急！！！谢谢！！！

2007-4-20 0:08:01 已由访问保护规则禁止  NT AUTHORITY\SYSTEM \??\C:\WINDOWS\system32\winlogon.exe C:\autorun.inf 用户定义的规则:禁止修改Autorun.inf  已阻止的操作: 写入
2007-4-20 0:08:01 已由访问保护规则禁止  NT AUTHORITY\SYSTEM \??\C:\WINDOWS\system32\winlogon.exe D:\autorun.inf 用户定义的规则:禁止修改Autorun.inf  已阻止的操作: 写入
2007-4-20 0:08:01 已由访问保护规则禁止  NT AUTHORITY\SYSTEM \??\C:\WINDOWS\system32\winlogon.exe E:\autorun.inf 用户定义的规则:禁止修改Autorun.inf  已阻止的操作: 写入

和

C:\WINDOWS\system32\Restore\rstrui.exe \REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{bf404da2-7d3b-11d3-b9e5-00c04f79e399}\Insertable 防间谍程序最大保护:禁止安装新的 CLSID、APPID 和 TYPELIB 已阻止的操作: 创建
2007-4-19 23:24:58 将由访问保护规则 (当前不强制执行规则) 禁止  ACER-AE70AD3423\zhangshigui C:\WINDOWS\system32\Restore\rstrui.exe \REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{bf404da2-7d3b-11d3-b9e5-00c04f79e399}\ToolboxBitmap32 防间谍程序最大保护:禁止安装新的 CLSID、APPID 和 TYPELIB 已阻止的操作: 创建
2007-4-19 23:24:58 将由访问保护规则 (当前不强制执行规则) 禁止  ACER-AE70AD3423\zhangshigui C:\WINDOWS\system32\Restore\rstrui.exe \REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{bf404da2-7d3b-11d3-b9e5-00c04f79e399}\MiscStatus 防间谍程序最大保护:禁止安装新的 CLSID、APPID 和 TYPELIB 已阻止的操作: 创建
2007-4-19 23:24:58 将由访问保护规则 (当前不强制执行规则) 禁止  ACER-AE70AD3423\zhangshigui C:\WINDOWS\system32\Restore\rstrui.exe \REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{bf404da2-7d3b-11d3-b9e5-00c04f79e399}\MiscStatus\1 防间谍程序最大保护:禁止安装新的 CLSID、APPID 和 TYPELIB 已阻止的操作: 创建
2007-4-19 23:24:58 将由访问保护规则 (当前不强制执行规则) 禁止  ACER-AE70AD3423\zhangshigui C:\WINDOWS\system32\Restore\rstrui.exe \REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{bf404da2-7d3b-11d3-b9e5-00c04f79e399}\TypeLib 防间谍程序最大保护:禁止安装新的 CLSID、APPID 和 TYPELIB 已阻止的操作: 创建
2007-4-19 23:24:58 将由访问保护规则 (当前不强制执行规则) 禁止  ACER-AE70AD3423\zhangshigui C:\WINDOWS\system32\Restore\rstrui.exe \REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{bf404da2-7d3b-11d3-b9e5-00c04f79e399}\Version 防间谍程序最大保护:禁止安装新的 CLSID、APPID 和 TYPELIB 已阻止的操作: 创建
2007-4-19 23:45:40 已由访问保护规则禁止  NT AUTHORITY\SYSTEM \??\C:\WINDOWS\system32\winlogon.exe C:\autorun.inf 用户定义的规则:禁止修改Autorun.inf  已阻止的操作: 写入

显示全部楼层 · 发表于 2007-4-20 00:19:35

C:\WINDOWS\system32\Restore\rstrui.exe这个东西有点问题
去安全模式里查看一下

考虑将其压缩一份存放起来并删除原文件（效果差不多等于隔离）

显示全部楼层 · 发表于 2007-4-20 00:25:06

谢谢小邪邪版主！不过还有上面的那个winlogon.exe是不是也是病毒？
请您看下这个网页的介绍：http://hi.baidu.com/jiwudu/blog/item/ea28facefbaebe0293457e4c.html

显示全部楼层 · 发表于 2007-4-20 00:27:15

还是快点先进安全模式去处理这个文件吧

如果对那个winlogon.exe不放心可以复制一份，再打包上传到样本区，自然会有结果

显示全部楼层 · 发表于 2007-4-20 00:34:22

好的，谢谢！

显示全部楼层 · 发表于 2007-4-20 00:42:21

首先用sreng查看文件关联、启动项和服务项，最好有一份日志让大家看看
其次考虑下是不是伴随性的，看看有没有同名的.com
这种病毒当然不能用双击的方式打开驱动器了，地球人都知道，删除autorun.inf 及其病毒体之前最好记住被启动执行的病毒文件名称，有利于找到线索，修复注册表

最麻烦的情况是
如果线程注入winlogon.exe，建议在删除其它病毒体后，用ProcessExplorer10.2将病毒线程终止，然后尝试删除（注：C:\WINDOWS\system32\winlogon.exe 进程千万不能结束，否则机器直接重启）
恶意程序千变万化，还是具体对待吧

显示全部楼层 · 发表于 2007-4-20 14:49:12

已经搞定，我是用最笨的方法：）
就是先按版主所说把那个文件压缩删除了，之后用咖啡杀，最后用AVG Anti-Spyware,费了好长功夫，终于杀干净！
再次谢谢版主及各位高手！

[讨论] 高手进！！！