winlogon.exe怎麼解決?解決方法及查殺流程

2020-12-03 中華網

這隻鴿子提示:中招後,貼日誌求助的日子即將結束!做好系統基礎安全防護是每個用戶的當務之急。「基礎安全防護」絕不僅僅是打幾個補丁的問題。熟悉一兩個性能好的安全軟體的使用也是必要的。否則,中招後,你自己就著急吧!

這隻鴿子的要害是c:\windows\winlogon.dll。

如果用SSM禁止c:\windows\winlogon.dll加載運行,則這隻鴿子的文件全部可見。

這是Movgear.exe中捆綁的一隻灰鴿子(Movgear.exe樣本來自安全12公裡)。winlogon.exe的MD5值為:2de9f62c2b405e16cb66773747cf0f2d。

一、自Movgear.exe中提取winlogon.exe並將其植入系統後,autoruns、HijackThis、SREng日誌中均無任何異常發現。

winlogon.exe釋放的文件有:

1、c:\windows\winlogon.exe

2、c:\windows\winlogon.dll

3、c:\windows\winlogonKey.dll

這兩個dll插入IE瀏覽器進程。

即使不打開IE瀏覽器,IceSword的進程列表中依然可見iexplore.exe。

c:\windows\winlogonKey.dll動態跟蹤所有應用程式進程(一旦開啟,立即插入。)

注意:即使顯示隱藏文件,用WINDOWS的資源管理器也看不到灰鴿子釋放的這三個文件。用IceSword才能看到。

二、註冊表改動包括:

1、在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

添加:winlogon.exe(指向c:\windows\winlogon.exe)

2、在HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Extensions\CmdMapping

添加:

"{92780B25-18CC-41C8-B9BE-3C9C571A8263}"=dword:00002002

"{DEDEB80D-FA35-45d9-9460-4983E5A8AFE6}"=dword:00002002

"{FB5F1910-F110-11d2-BB9E-00C04F795683}"=dword:00002001

3、在HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Connection Wizard

添加:"Completed"=hex:01,00,00,00

4、在HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser

添加:

"ITBarLayout"=hex:11,00,00,00,5c,00,00,00,00,00,00,00,34,00,00,00,1f,00,00,00,56,\

00,00,00,01,00,00,00,20,07,00,00,a0,0f,00,00,05,00,00,00,62,05,\

00,00,26,00,00,00,02,00,00,00,21,07,00,00,a0,0f,00,00,04,00,00,\

00,21,01,00,00,a0,0f,00,00,03,00,00,00,20,03,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00

"{01E04581-4EEE-11D0-BFE9-00AA005B4383}"=hex:81,45,e0,01,ee,4e,d0,11,bf,e9,00,aa,00,5b,43,83,10,00,00,00,00,\

00,00,00,01,e0,32,f4,01,00,00,00

"{0E5CBF21-D15F-11D0-8301-00AA005B4383}"=hex:21,bf,5c,0e,5f,d1,d0,11,83,01,00,aa,00,5b,43,83,22,00,1c,00,08,\

00,00,00,06,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,4c,00,00,00,01,14,02,00,00,00,00,00,c0,00,00,00,00,00,00,\

46,81,00,00,00,10,00,00,00,a0,8f,ff,ba,9d,d4,c6,01,00,9e,02,bb,\

9d,d4,c6,01,a0,8f,ff,ba,9d,d4,c6,01,00,00,00,00,00,00,00,00,01,\

00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,5d,01,14,00,1f,50,\

e0,4f,d0,20,ea,3a,69,10,a2,d8,08,00,2b,30,30,9d,19,00,2f,43,3a,\

5c,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,5c,\

00,31,00,00,00,00,00,3a,31,09,3c,10,00,44,4f,43,55,4d,45,7e,31,\

00,00,44,00,03,00,04,00,ef,be,3a,31,9c,36,2a,35,f7,29,14,00,00,\

00,44,00,6f,00,63,00,75,00,6d,00,65,00,6e,00,74,00,73,00,20,00,\

61,00,6e,00,64,00,20,00,53,00,65,00,74,00,74,00,69,00,6e,00,67,\

00,73,00,00,00,18,00,4c,00,31,00,00,00,00,00,2a,35,cb,2e,16,00,\

4e,45,54,57,4f,52,7e,31,00,00,34,00,03,00,04,00,ef,be,3a,31,11,\

39,2a,35,cb,2e,14,00,00,00,4e,00,65,00,74,00,77,00,6f,00,72,00,\

6b,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,00,00,18,00,56,\

00,31,00,00,00,00,00,2a,35,cb,2e,11,00,46,41,56,4f,52,49,7e,31,\

00,00,3e,00,03,00,04,00,ef,be,2a,35,cb,2e,2a,35,cb,2e,14,00,28,\

00,46,00,61,00,76,00,6f,00,72,00,69,00,74,00,65,00,73,00,00,00,\

40,73,68,65,6c,6c,33,32,2e,64,6c,6c,2c,2d,31,32,36,39,33,00,18,\

00,30,00,35,00,00,00,00,00,2a,35,f1,2e,10,00,fe,94,a5,63,00,00,\

1c,00,03,00,04,00,ef,be,2a,35,f1,2e,2a,35,f1,2e,14,00,00,00,fe,\

94,a5,63,00,00,14,00,00,00,60,00,00,00,03,00,00,a0,58,00,00,00,\

00,00,00,00,6c,69,6e,62,61,6f,68,65,00,00,00,00,00,00,00,00,1e,\

8c,63,4d,34,72,b3,48,8a,de,83,67,8f,38,be,10,b1,a9,fd,89,90,40,\

db,11,b2,29,00,d0,59,c0,b8,59,1e,8c,63,4d,34,72,b3,48,8a,de,83,\

67,8f,38,be,10,b1,a9,fd,89,90,40,db,11,b2,29,00,d0,59,c0,b8,59,\

00,00,00,00

5、在HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState

添加:"Settings"=hex:0c,00,02,00,0a,01,ef,75,60,00,00,00

6、在HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\

添加:

{0055C089-8582-441B-A0BF-17B458C2A3A8}

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

{92780B25-18CC-41C8-B9BE-3C9C571A8263}

{AE7CD045-E861-484F-8273-0445EE161910}

{DEDEB80D-FA35-45D9-9460-4983E5A8AFE6}

{FB5F1910-F110-11D2-BB9E-00C04F795683}

7、在HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Favorites\連結

添加:"Order"=hex:08,00,00,00,02,00,00,00,0c,00,00,00,01,00,00,00,00,00,00,00

三、進行上述觀察後,重啟系統。

重啟後,卡巴斯基報警(我的卡巴斯基為啟動加載):發現灰鴿子。但卡巴斯基僅僅將c:\windows\winlogon.dll刪除;c:\windows\winlogon.exe和c:\windows\winlogonKey.dll卡巴斯基並不報毒。汗!!卡巴斯基越來越不爭氣了另外發現其winlogonKey.log文件。

四、查殺流程:

1、打開註冊表編輯器,展開HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

刪除灰鴿子的服務項:winlogon.exe

2、重啟系統。用IceSword找到並刪除鴿子釋放的那三個文件。

4、清理註冊表(刪除鴿子添加的註冊表項)。

10月31日更新

查殺方法..

安全模式下操作.

刪除文件

C:\Downloads

C:\WINDOWS\system32\AddrConfig.bin

C:\WINDOWS\system32\oobe\data

C:\WINDOWS\system32\wbem\ddes

C:\WINDOWS\system32\wbem\kbd101ab.dll

C:\WINDOWS\system32\wbem\SysOption.bin

C:\WINDOWS\system32\wbem\winlogon.exe

刪除註冊表

HKCR\CLSID\{881F6F06-4620-4070-AD05-BD77D4C56661}

HKCR\Interface\{468262B9-8400-4A49-B2E5-CE8550EB1347}

HKCR\TypeLib\{F63B08CD-3645-474F-8872-BA4293251FF9}\1.0

HKCR\VCFIWZDY32.VCFIWZDY

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS\System32\WBEM\winlogon.exe

HKCU\Software\Microsoft\MediaPlayer\Player\Extensions

重啟回正常模式即可..

責任編輯:kj005

文章投訴熱線:156 0057 2229 投訴郵箱:29132 36@qq.com

相關焦點

  • 怎麼解決360瀏覽器經常奔潰閃退?解決的方法
    今天PConline小編為大家帶來的是 360瀏覽器經常崩潰怎麼辦 360瀏覽器奔潰閃退怎麼解決 教程,很多小夥伴們在使用360瀏覽器的時候突然出現崩潰的狀況而不知道是怎麼回事,想買就為大家詳細介紹一下,有興趣的朋友一起來看看吧!
  • UGNX許可證錯誤的解決方法
    解決方法就是用優化大師把註冊表,全部清理乾淨,再啟動許可證,並重啟電腦,問題就完美解決。2012年2月8日朋友UG也出現這個錯誤,她的這個錯誤是,許可證程序沒有破解,就是她安裝好的許可證,在UGSLicensing安裝目錄裡的ugslmd.exe文件沒有破解。
  • 巴士模擬2012玩不了解決方法 巴士模擬2012攻略
    導 讀 巴士模擬2012玩不了是怎麼一回事的呢?巴士模擬2012玩不了怎麼解決呢?
  • 桌面快捷鍵刪除不了怎麼辦【解決方法】
    在信息 現代 化和計算機普及的社會,想必我們對於電腦一點都不陌生,電腦正在改變著我們學習、生活和工作的方式,電腦已經成為我們生活中相當重要的一部分了,那麼,你是否會遇見這樣的難題,比如桌面快捷鍵刪除不了,快捷方式魔鬼似的怎麼也刪除不了,那應該怎麼辦?學點有用的知識,自己就可以解決了。下面介紹一下桌面快捷鍵刪除不了的原因和解決方法。
  • 快玩遊戲盒不能正常使用的解決方法
    玩家下載單機遊戲或是小遊戲的時候,大多使用快玩遊戲盒這類工具,有玩家使用快玩遊戲盒的時候遇到了快玩遊戲盒不能用的情形,這是什麼原因,應該怎麼解決呢?快玩遊戲盒怎麼不能用了?情況1)點了exe文件之後沒反應2)提示你找不到某些文件。3)要求你激活或者註冊。4)某些中文版遊戲不能顯示中文。5)點了exe文件之後閃退了。
  • 「永恆之藍」勒索病毒國內爆發 最全解決方案在此
    下載地址:瑞星「永恆之藍」免疫工具https://download.rising.net.cn/zsgj/EternalBluemianyi.exe瑞星「永恆之藍」免疫工具+殺軟https://download.rising.net.cn/zsgj/EternalBluemianyi_sharuan.exe內網用戶免疫病毒方法
  • incaseformat蠕蟲病毒爆發,深信服免費提供查殺工具
    為此深信服免費提供了查殺工具incaseformat病毒幫助廣大用戶檢測查殺incaseformat。據了解,該蠕蟲病毒在非Windows目錄下執行時,並不會產生刪除文件行為,但會將自身複製到系統盤的Windows目錄下,創建RunOnce註冊表值設置開機自啟,且具有偽裝正常文件夾行為:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa值: C:\windows\tsay.exe
  • 《饑荒》遊戲崩潰怎麼辦 遊戲崩潰無法運行解決方法分享
    導 讀 在《饑荒》(Don’t Starve)遊戲中,玩家有時候會遇到遊戲崩潰無法運行的問題,那麼該怎麼解決呢?
  • 絕地求生更新後卡在Initializing界面是怎麼回事?怎麼解決?
    方法一、在確認電腦配置達標的情況下,窗口模式下點擊右上關閉(×)按鈕,全屏的話,按住Ctrl和Alt鍵和Delete鍵一起按調出任務管理器,找到TslGame.exe進程後關閉它,然後驗證遊戲完整性。
  • 電腦無法關機的解決方法
    本文轉載自【微信公眾號:手機電腦雙黑客,ID:heikestudio】經微信公眾號授權轉載,如需轉載與原文作者聯繫  電腦無法正常關機,按了關機鍵沒有反應,是怎麼回事?電腦無法關機怎麼辦?下面跟通用pe工具箱Caesar一起來看看解決方法。
  • 調查局幽浮解密failed to create the d3d9device解決方法
    調查局:幽浮解密一經推出就受到了玩家的追捧,但是你是否在運行的過程遇到了這樣的情況,就是彈出failed to creat the d3d9device,究竟怎麼解決呢
  • incaseformat蠕蟲病毒爆發 深信服免費提供查殺工具
    為此深信服免費提供了查殺工具incaseformat病毒幫助廣大用戶檢測查殺incaseformat。據了解,該蠕蟲病毒在非Windows目錄下執行時,並不會產生刪除文件行為,但會將自身複製到系統盤的Windows目錄下,創建RunOnce註冊表值設置開機自啟,且具有偽裝正常文件夾行為:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa值: C:\windowssay.exe
  • 360完美攔截查殺「食貓鼠」及其所有變種
    不過記者採訪360安全中心獲悉,「食貓鼠」木馬剛開始傳播就被360安全衛士攔截查殺,360用戶並沒有受到此木馬大量感染。據介紹,「食貓鼠」木馬寄生在網絡電臺軟體FIFM安裝包(名稱後綴因不同變種而異),主要通過色情網站和網盤共享渠道傳播。當網友啟動安裝FIFM時,惡意程序會被下載釋放感染電腦,感染後還具備一定的反跟蹤能力和自我更新能力。
  • 死亡細胞遊戲卡怎麼辦 死亡細胞卡頓解決方法
    不少玩家都有遊戲中遇到遊戲卡或者是卡出BUG這種類似的情況,卻一直找不到解決方法,如果沒接觸過遊戲,可能會覺得偶爾卡頓一下並沒有什麼大不了的,不過對於死亡細胞這種高難度的遊戲而言,瞬間的卡頓可能會導致你之前的努力付諸東流,那麼遇到卡頓我們該怎麼辦?下面就給大家帶來死亡細胞關於卡頓的詳細解決方法,希望能給遊戲中被虐得死去活來的你帶來一點幫助。
  • 「永恆之藍」勒索病毒國內爆發 最全解決方案在此 - IT業界_CIO...
    /zsgj/EternalBluemianyi_sharuan.exe   內網用戶免疫病毒方法:   WanaCrypt的主程序啟動時,首先會訪問   http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,如果可以訪問,則會停止工作。
  • 「老虎」挖礦木馬偽裝「火爆新聞」傳播 騰訊安全率先查殺
    目前,騰訊電腦管家、騰訊安全終端安全管理系統已全面攔截並查殺該挖礦木馬,同時提醒廣大用戶保持安全警惕,切勿點擊觀看該類虛假文件以防中招。此外,釋放礦機程序文件還會偽裝成顯卡製造商NVIDIA的驅動程序,佔用CPU資源高達97%,以此躲避查殺,導致系統嚴重卡頓無法正常運行。在此次攻擊案例中,「大灰狼」遠控木馬作為一款老牌遠控工具,時至今日仍備受黑產圈喜愛。據報導,目前該木馬原始作者已經離世,但相關代碼已流落黑產圈開源共享,不同的病毒木馬團夥對其定製改造後發布了諸多變種肆意作惡。
  • 蘋果12斷流怎麼解決 iPhone12斷流解決方法
    蘋果12斷流怎麼解決 iPhone12斷流解決方法 蘋果iPhone12手機如果出現了斷流的情況要怎麼解決,
  • 絕地求生提示Cannot find是什麼意思 Cannot find怎麼解決
    彈出Cannot find怎麼解決?相信不少玩家還不知道怎麼解決這個問題了,下面就來和小編一起看下吧。方案一:推薦Win7 SP1系統使用此方案,沒升級SP1的按最下面方法先升級SP1再用工具修復。或360軟體管家搜索「丟失」下載第一個api丟失的修復工具。1.下載一鍵修復工具,安裝後即可運行遊戲,如依舊報錯可重啟下。方案二:1.下載安裝KB2999226補丁。
  • UG安裝錯誤所有問題解決辦法
    解決方法:顧名思義,到網上下載個VC100安裝好就可以解決了!解決方法就是把破解包裡的許可證程序ugslmd.exe拷貝到許可證程序目錄下替換即可。 解決方法:關閉防火牆和殺毒軟體
  • depends.exe下載_depends.exe官方下載-太平洋下載中心
    本站提供depends.exe官方下載directX(R)是電腦遊戲的運行環境庫,玩某些遊戲時,如果經常提示缺少d3dx9_XX.dll之類的消息時,就可以運行dxwebsetup.exe重新安裝directX(R)嘗試解決問題。本站為你提供depends.exe官方下載1、點擊我接受