这只鸽子的钥匙是这个c:\ Windows \ winlogon.dll。如果用SSM阻止c:\windows\winlogon.dll加载运行,那么这只鸽子的所有文件都是可见的。
这是一只被拴在Movgear.exe的灰鸽子(来自Movgear.exe的样本距离安全地带12公里)。winlogon.exe的MD5值为2 de 9 f 62 C2 b 405 e 16 CB 66773747 cf 02d。
winlogon.exe释放的文件有:1、c:\windows\winlogon.exe2、c:\windows\winlogon.dll3、c:\windows\winlogonKey.dll这两个动态链接库插入工业管理学(工业工程)浏览器进程。
第三,以上观察后重启系统。重启后卡巴斯基报警(我的卡巴斯基加载启动):发现灰鸽子。
但卡巴斯基仅仅将c:\windows\winlogon.dll删除;c:\windows\winlogon.exe和c:\windows\winlogonKey.dll卡巴斯基并不报毒。
汗!卡巴斯基越来越让人失望了,找到了它的winlogonKey.log文件。文件内容是:
#?4?74;四、杀人过程:1。打开注册表编辑器。
展开HKEY _ LOCAL _ MACHINE \ SYSTEM \ current control set \ Services删除灰鸽子的服务项:winlogon.exe2、重启系统。
用冰剑找到并删除鸽子放出的三个文件。4.清理注册表(删除鸽子添加的注册表项)。
10月31日更新。
查杀方法.安全模式下操作。删除文件c:\ downloads c:\ WINDOWS \ system32 \ addr configbinc:\ WINDOWS \ system32 \ oobe \ dataC:\ WINDOWS \ system32 \ WBEM \ ddesC:\ WINDOWS \ system32 \ WBEM \ kbd 101 ab。dllc:\ WINDOWS \ system32 \ WBEM \ sys选项。binc:\ WINDOWS \ system32 \ WBEM \ winlogon。可执行程序的扩展名删除注册表HKCR D4 c 56661 HKCR接口\ { 468262 B9-8400-4a 49-b2e 5-ce 8550 EB 1347 } HKCR类型库\ { f 63 b 08 CD-3645-474 f-8872-ba 4293251 ff 9 } \ 1.0 hkcr \ vcfiwzdy 32 .VCFIWZDY
