杭州交通信息网环保纪念日和确定日:怎么杀winlogon病毒?
来源:百度文库 编辑:杭州交通信息网 时间:2024/04/26 06:27:42
如果是大写就不正常!!不能用杀毒软件杀!!要手动杀的!!我不只中了几回了!不懂加我QQ85146152
木马winlogon.exe的查杀方法
这个木马很变态!!
查杀方法如下:
一、结束WINLOGON.EXE进程。
二、下载RegFix(一个注册表修复工具)。将Regfix.exe的后缀改为scr,按确定。双击Regfix.scr,自动修复注册表主要文件关联项。
三、找到并删除下列文件
四、修改被木马篡改的注册表项:
1、HKEY_CLASSES_ROOT\.lnk\ShellNew
"Command"="rundll32.com appwiz.cpl,NewLinkHere %1"
删除"Command"="rundll32.com
2、HKEY_CLASSES_ROOT\.bfc\ShellNew
"Command"="%SystemRoot%\\system32\\rundll32.com %SystemRoot%\\system32\\syncui.dll,Briefcase_Create %2!d! %1"
将"Command"="%SystemRoot%\\system32\\rundll32.com改为"Command"="%SystemRoot%\\system32\\rundll32.exe
3、HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" %1"
4、HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
将@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\""改为@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\""
5、HKEY_CLASSES_ROOT\cplfile\shell\cplopen\command
@="rundll32.com shell32.dll,Control_RunDLL \"%1\",%*"
删除@="rundll32.com
6、HKEY_CLASSES_ROOT\Drive\shell\find\command
将@="%SystemRoot%\\explorer.com"改为@="%SystemRoot%\\explorer.exe"
7、HKEY_CLASSES_ROOT\dunfile\shell\open\command
将@="%SystemRoot%\\system32\\rundll32.com NETSHELL.DLL,InvokeDunFile %1"改为@="%SystemRoot%\\system32\\rundll32.exe NETSHELL.DLL,InvokeDunFile %1"
8、HKEY_CLASSES_ROOT\ftp\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" %1"
9、HKEY_CLASSES_ROOT\htmlfile\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\" -nohome"改为@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" -nohome"
10、HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command
删除@="\"C:\\Program Files\\common~1\\iexplore.pif\" %1"
11、HKEY_CLASSES_ROOT\htmlfile\shell\print\command
删除@=rundll32.com
12、HKEY_CLASSES_ROOT\inffile\shell\Install\command
删除@="%SystemRoot%\\System32\\rundll32.com
13、HKEY_CLASSES_ROOT\InternetShortcut\shell\open\command
删除@="finder.com
14、HKEY_CLASSES_ROOT\scrfile\shell\install\command
删除@="finder.com
15、HKEY_CLASSES_ROOT\scriptletfile\Shell\Generate Typelib\command
删除@="\"C:\\WINDOWS\\system32\\finder.com\"
16、HKEY_CLASSES_ROOT\telnet\shell\open\command
删除@="finder.com
17、HKEY_CLASSES_ROOT\Unknown\shell\openas\command
删除@="%SystemRoot%\\system32\\finder.com
18、HKEY_CLASSES_ROOT\winfiles\Shell\Open\Command
删除@="C:\\WINDOWS\\ExERoute.exe \"%1\" %*"
19、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除"Torjan Program"="C:\\WINDOWS\\WINLOGON.EXE"
20、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
将"Shell"="Explorer.exe 1"改为"Shell"="Explorer.exe"
这是系统正常进程.