有个病毒在进程中是WINLOGON.EXE???

来源:百度知道 编辑:UC知道 时间:2024/06/04 21:47:12
有个病毒在进程中是WINLOGON.EXE,是用户名进程,而我的电脑中也是个WINLOGON.EXE进程,但是系统进程,没有小写的winlogon.exe进程??这是为什么啊?是不是我的电脑中毒了?

这是一个游戏盗号木马,除了创建自启动项、关联EXE文件外,它还修改了很多其它关联信息,较普通木马在处理上稍微有些麻烦。这系列马儿变种较多,刚出来的时候主程序文件的名字有csrss.exe、smss.exe和services.exe,之后又陆续出现了lsass.exe、winlogon.exe等等,这次举例说的是个winlogon.exe的版本,图标是红底黑色龙头图案。

产生文件:
%Windows%\1.com
%Windows%\ExERoute.exe
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\WINLOGON.EXE
%Windows%\Debug\DebugProgram.exe
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
%ProgramFiles%\Common Files\iexplore.pif
%ProgramFiles%\Internet Explorer\iexplore.com
D:\autorun.inf
D:\pagefile.pif

新建一个winfiles文件类型,修改.EXE关联指向它:
[HKEY_CLASSES_ROOT\winfiles]

创建的启动信息有:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"To