winlogon.exe怎么修复(winlogon.exe重启)-中投网

这只鸽子建议：诡计之后，贴日志求助的日子就要结束了！做好系统的基础安全防护，是每个用户的头等大事。“基本安全保护”不仅仅是打几个补丁的问题。还需要熟悉一两款性能良好的安全软件的使用。不然中招后，你自己也省心！

这只鸽子的密钥是c:\ windows \ winlogon.dll。如果您试图阻止这个dll的加载和运行，所有的pigeon文件都可以在图1中看到。

这只鸽子的钥匙是这个c:\ windows \ winlogon.dll。

如果c:\windows\winlogon.dll被SSM禁止加载运行，那么鸽子的所有文件都是可见的。

这是一只拴在Movgear.exe的灰鸽子(Movgear.exe样本来自保安12km)。winlogon.exe的MD5值为2 de 9 f 62 C2 b 405 e 16 CB 66773747 cf 0 f 2d。

1.winlogon.exe从Movgear.exe提取出来植入系统后，autoruns、HijackThis、SREng的日志都没有异常发现。

winlogon.exe公布的文件有：

1、c:\windows\winlogon.exe

2、c:\windows\winlogon.dll

3、c:\windows\winlogonKey.dll

这两个dll插入到IE浏览器进程中。

即使不打开ie浏览器，在冰剑的进程列表中仍然可以看到iexplore.exe。

C:\windows\winlogonKey.dll动态跟踪所有应用程序进程(一旦打开，立即插入。)

注意：即使显示隐藏文件，灰鸽发布的三个文件用WINDOWS资源管理器也看不到。只有用冰剑才能看到。

其次，注册表的变化包括：

1.在HKEY _本地_机器\系统\当前控制集\服务中

添加：winlogon.exe(指向c:\windows\winlogon.exe)

2.在HKEY _用户\。默认\软件\ Microsoft \ internet explorer \ extensions \ cmd mapping

添加：

{ 92780 b25-18CC-41 c8-B9BE-3c 9c 571 a 8263 } '=dword:00002002

{ dede b80 d-FA35-45d 9-9460-4983 E5 A8 AFE 6 } '=dword:00002002

{ fb5f 1910-F110-11 D2-BB9E-00 c04 f 795683 } '=dword:00002001

3.在HKEY _用户\。默认\软件\ Microsoft \ Internet连接向导

加法：'已完成'=十六进制：01，00，00，00

4.在HKEY _用户\。默认\软件\ Microsoft \ Internet Explorer \工具栏\ WebBrowser

添加：

ITBarLayout'=hex:11，00，00，00，5c，00，00，00，00，00，00，34，00，00，00，00，1f，00，00，00，56，\

00，00，00，01，00，00，00，20，07，00，00，00，05，00，00，00，00，62，05，\

00，00，26，00，00，00，02，00，00，00，00，00，04，00，00，\

00，21，01，00，00，00，00，00，03，00，00，00，20，03，00，00，00，00，00，00，\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00

{ 01e 04581-4EEE-11d 0-bfe 9-00AA 005 b 4383 } '=hex:81，45，E0，01，EE，4e，D0，11，bf，E9，00，aa，00，5B，43，83，10，00，00，00，00，\

00，00，01，e0，32，f4，01，00，00，00

{ 0 E5 CBF 21-D15F-11d 0-8301-00AA 005 b 4383 } '=hex:21，BF，5c，0E，5F，D1，D0，11，83，01，00，aa，00，5B，43，83，22，00，1c，00，08，\

00,00,00,06,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00，00，4c，00，00，00，01，14，02，00，00，00，00，00，00，00，\

46，81，00，00，00，10，00，00，00，00，00，00，0，8f，ff，ba，9d，d4，c6，01，00，9e，02，bb，\

9d，d4，c6，01，a0，8f，ff，ba，9d，d4，c6，01，00，00，00，00，00，00，00，00，00，00，00，00，00，00，00，00，00，00，00，00，01，\

00,00,00,00,00,00,00,00,00,00,00,00,00,00

e0，4f，d0，20，ea，3a，69，10，a2，d8，08，00，2b，30，30，9d，19，00，2f，43，3a，\

5c，00，00，00，00，00，00，00，00，00，00，00，00，00，00

00，31，00，00，00，00，00，3a，31，09，3c，10，00，44，4f，43，55，4d，45，7e，31，\

00，00，44，00，03，00，04，00，ef，be，3a，31，9c，36，2a，35，f7，29，14，00，00，\

00，44，00，6f，00，63，00，75，00，6d，00，65，00，6e

61，00，6e，00，64，00，20，00，53，00，65，00

00，73，00，00，00，18，00，4c，00，31，00，00，00，00，00，00，00，00，2a，35，cb，2e，16，00

4e，45，54，57，4f，52，7e，31，00，00，34，00，03，00，04，00，ef，be，3a，31，11，\

39，2a，35，cb，2e，14，00，00，00，4e，00，65，00，74，00，77，00，6f，00，72，\

6b，00，53，00，65，00，72，00，76，00，69，00，63，00，65，00，00，00，18，00，56，\

00，31，00，00，00，00，00，2a，35，cb，2e，11，00，46，41，56，4f，52，49，7e，31，\

00，00，3e，00，03，00，04，00，ef，be，2a，35，cb，2e，2a，35，cb，2e，1400，28

00，46，00，61，00，76，00，6f，00，72，00，69，00，74，00，65，00，73，00，00，00，\

40，73，68，65，6c，6c，33，32，2e，64，6c，2c，2d，31，32，36，39，33，00，18 \

00，30，00，35，00，00，00，00，00，2a，35，f1，2e，10，00，fe，94，a5，63，00，00，\

1c，00，03，00，04，00，ef，be，2a，35，f1，2e，2a，35，f1，2e，14，00，00，00，00，00，fe，\

94,5,63,00,00,14,00,00,00,00,00,00,03,00,00,00,00,00,\

00，00，00，6c，69，6e，62，61，6f，68，65，00，00，00，00，00，00，00，00，00，1e，\

8c，63，4d，34，72，b3，48，8a，de，83，67，8f，38，be，10，b1，a9，fd，89，90，40，\

db，11，b2，29，00，d0，59，c0，b8，59，1e，8c，63，4d，34，72，b3，48，8a，de，83，\

67，8f，38，be，10，b1，a9，fd，89，90，40，db，11，b2，29，00，d0，59，c0，b8，59，\

00,00,00,00

5、在HKEY _用户\。默认\软件\ Microsoft \ Windows \当前版本\ Explorer \ CabinetState

添加：' Settings'=hex:0c，00，02，00，0a，01，ef，75，60，00，00，00

6、在HKEY _用户\。默认\软件\ Microsoft \ Windows \当前版本\ Ext \ Stats \

添加：

{ 0055 c089-8582-441 b-A0BF-17b 458 C2 a3 A8 }

{ 06849 e9f-c8 D7-4d 59-B87D-784 B7 D6 be 0 B3 }

{ 92780 b25-18CC-41 c8-B9BE-3c 9c 571 a 8263 }

{ ae7cd 045-E861-484 f-8273-0445 ee 161910 }

{德德b80d-FA35-45d 9-9460-4983 e5a 8 AFE 6 }

{ fb5f 1910-F110-11 D2 BB9E-00c 04 f 795683 }

7、在HKEY _用户\。默认\软件\ Microsoft \ Windows \当前版本\资源管理器\菜单\收藏夹\链接

添加：' Order '=十六进制：08,00,00,00,02,00,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00

三、进行上述观察后，重启系统。

重启后，卡巴斯基报警（我的卡巴斯基为启动加载):发现灰鸽子。但卡巴斯基仅仅将c:\windows\winlogon.dll删除；c:\windows\winlogon.exe和c:\windows\winlogonKey.dll卡巴斯基并不报毒。汗！卡巴斯基越来越不争气了另外发现其winlogonKey.log文件。文件内容为：

#?4?74;

四、查杀流程：

1、打开注册表编辑器，展开HKEY _ LOCAL _ MACHINE \ SYSTEM \ current control set \ Services

删除灰鸽子的服务项：winlogon.exe

2、重启系统。用冰剑找到并删除鸽子释放的那三个文件。

4、清理注册表（删除鸽子添加的注册表项)。

10月31日更新

查杀方法.

安全模式下操作。

删除文件

丙：\下载

c:\ WINDOWS \ system32 \ addr config。箱子

C:\WINDOWS\system32\oobe\data

C:\WINDOWS\system32\wbem\ddes

c:\ WINDOWS \ system32 \ WBEM \ kbd 101 ab。动态链接库

c:\ WINDOWS \ system32 \ WBEM \ sys选项。箱子

c:\ WINDOWS \ system32 \ WBEM \ winlogon。可执行程序的扩展名

删除注册表

HKCR \ CLSID \ { 881 f6f 06-4620-4070-AD05-bd77 D4 c 56661 }

HKCR接口\ { 468262 B9-8400-4a 49-b2e 5-ce 8550 EB 1347 }

HKCR类型库\ { f 63 b 08 CD-3645-474 f-8872-ba 4293251 ff 9 } \ 1.0

HKCR .VCFIWZDY

winlogon.exe怎么修复(winlogon.exe重启)

相关文章