Torjan program
WINXP下上网时突然瑞星跳出报警,当时看了一眼,正奇怪没有见到清除/隔离选项,报警就结束了。重起机子时突然发现瑞星防火墙加载失败,瑞星监控根本不启动。(两者均是最新版)
于是手动开启瑞星防火墙、瑞星监控,失败。
运行MSCONFIG,无法启动。
运行REGEDIT,发现HKCR:EXE/EXEFILES被修改为WINFILES,描述为EXE关联被修改。
起动任务管理器发现有两个WINLOGON进程,
用反间碟专家发现启动项里多了TORJAN PROGRAM 指向C:\WINDOWS\WINLOGON.EXE。
于是DEL掉WINLOGON.EXE,
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices里去掉TORJAN PROGRAM项,
将HKEY_CLASSES_ROOT\.exe 的WINFILES修改回EXEFILES,
然后手动DEL掉WINLOGON.EXE,
用反间碟专家查杀,发现D盘下有AUTORUN.INF,于是选择清除。
重开机,发现根本没用,查杀发现D盘下AUTORUN.INF还在,启动项里还有TORJAN PROGRAM在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices里,
HKCR:EXE/EXEFILES还被修改为WINFILES,描述为EXE关联被修改。
WINLOGON.EXE又回来了
且D盘双击无法打开,用漏洞扫描发现所有分区被共享。
重复清注册表,杀毒,删文件。
重起,一切依旧。
