致“mopery”——关于WINLOGON的处理
拿到你发来的样本,看了一下。这个木马并没什么新内容。处理方法与原来相同。借助SSM即可搞掂。
1、结束WINLOGON.EXE进程(路径:c:\windows\WINLOGON.EXE)。将RegFix或SREng的后缀改为.bat或.com,运行。修复主要文件关联(图1)。
2、用SSM禁止木马运行(图2)。
3、将SSM设置成“自动启动”(图3)。
4、重启系统。重启后,系统会报错(图4)。这是因为木马的注册表项尚未处理。
5、删除这两个木马启动项(图5)。
6、删除木马文件。剩下的注册表关联项——按照原来帖子列出的内容,一一改正即可。
图1
