清除winlogon病毒

guok — Tue, 08 Aug 2006 13:02:00 GMT

一，用第三方的进程管理器干掉winlogon.exe，注意用户名，用户名为System的是正常进程

二，打开注册表编辑器
1，找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
将值shell = Explorer.exe 1改为shell = Explorer.exe

2，删除自启动项
到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
将Torjan Program（很明显吧木马程序）C:\WINNT\winlogon.exe删了

3，到HKEY_Classes_root\.exe下默认值 winfiles 改为exefile

4.删除其他无用数据
删除以下两个键值：
HKEY_Classes_root\winfiles
HKEY_Local_machine\software\classes\winfiles

5，搜索iexplore.com，改为iexplore.exe
共有这几项
HKEY_CLASSES_ROOT\htmlfile\Shell\open\command
HKEY_CLASSES_ROOT\Applications\iexplore.exe\Shell\open\command
HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\Shell\OpenHomePage\command
HKEY_CLASSES_ROOT\ftp\Shell\open\command

6，搜索iexplore.pif 改为%Program Files%\Internet Explorer\iexplore.exe
共有这几项
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\iexplore.pif\shell\open\command
HKEY_CLASSES_ROOT\htmlfile\Shell\opennew\command
HKEY_CLASSES_ROOT\http\Shell\open\command
7. 搜索explorer.com 改为iexplore.exe
就是这项
HKEY_CLASSES_ROOT\Drive\shell\find\command

8，将以下键值的 No 修改为 Yes
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\Internet Explorer\Main\\Check_Associations

三，打开我的电脑。要用右键打开C盘，不然病毒会在运行。
以下基本用是隐藏，系统文件。要在文件夹选项中打开查看所有文件选项。
大多数文件日期全为2006／06／17，你也可以用这个来找。
1，删除%windir%目录下的
1.com
ExERoute.exe
explorer.com
finder.com
WINLOGON.EXE
2，删除%windir%\system32目录下的
command.pif
dxdiag.com
finder.com
MSCONFIG.COM
regedit.com
rundll32.com
3，删除%Program Files%目录下的
Internet Explorer\iexplore.com
Common Files\iexplore.pif

4，删除每个分区下的autorun.inf文件，（这个就是不能直接打开分区的原因）

5，删除以下文件夹：%windir%\debug

这样就基本删了它了，不足之处请高手指出
顺便说一下,我是用Total Commander与Registry workshop来找文件和注册表的

guok 2006-08-08 21:02 发表评论

C++博客-Silver

清除winlogon病毒