另外,最后一条鱼所说的利用regedit.com的方法应该是最行之有效的办法。
1、修改regedit.exe 为 regedit.com
2、HKEY_CLASSES_ROOT\exefile\shell\open\command下的default,键值为"%1" %*这个进程是不是一个传奇世界程序的图标使用51破解版传家宝会生产一个WINLOGON.EXE进程
正常的winlogon系统进程,其用户名为“SYSTEM” 程序名为小写winlogon.exe。
而伪装成该进程的木马程序其用户名为当前系统用户名,且程序名为大写的WINLOGON.exe。
进程查看方式 ctrl+alt+del 然后选择进程。正常情况下有且只有一个winlogon.exe进程,其用户名为“SYSTEM”。如果出现了两个winlogon.exe,且其中一个为大写,用户名为当前系统用户的话,表明可能存在木马。
这个木马非常厉害,能破坏掉木马克星,使其不能正常运行。目前我使用其他杀毒软件未能查出。
那个WINDOWS下的WINLOGON.EXE确实是病毒,但是,她不过是这个病毒中的小角色而已,大家打开D盘看看是否有一个pagefile的DOS指向文件和一个autorun.inf文件了,呵呵,当然都是隐藏的,删这几个没用的,因为她关联了很多东西,甚至在安全模式都难搞,只要运行任何程序,或者双击打开D盘,她就会重新被安装了,呵呵,这段时间很多人被盗就是因为这个破解的传家宝了,而且杀毒软件查不出来,有人叫这个病毒为 ”落雪“ 是专门盗传奇传奇世界的木马,至于会不会盗其他帐号如QQ,网银 就看她高兴了,呵呵,估计也都是一并录制。不怕毒和要减少损失的最好开启防火墙阻止除了自己信任的几个常用任务出门,其他的全部阻挡,当然大家最好尽快备份,然后关门杀毒
包括方新等修改过的51pywg传家宝,和他们破解的其他一切外挂,这次嫌疑最大的是51PYWG,至于其他合作网站估计也逃不了关系,特别是方新网站,已经被证实过多次在网站放木马,虽然他解释是被黑了,但是不能排除其他可能,特别小心那些启动后连接网站的外挂,不排除启动器本身就有毒,反正一句话,这种启动就连接某网站的破解软件最容易放毒,至于什么时候放,怎么方,比如一天放几个小时,都要看他怎么爽,用也尽量用那种完全本地破解验证版的,虽然挂盟现在好像还没发现被放马或者自己放,但是千万小心,,最近传奇世界传奇N多人被盗号,目标直指这些网站,以下是最近特别毒的WINLOGON.EXE盗号病毒清除方法,注意这个假的WINLOGON.EXE是在WINDOWS下,进程里头表现为当前用户或ADMINISTRATOR.另外一个 SYSTEM的winlogon.exe是正常的,那个千万不要乱删,看清楚了,前面一个是大写,后面一个是小写,而且经部分网友证实,此文件连接目的地为河南。
方法
转载上一篇:系统关键检查
下一篇:解决“落雪”病毒的方法
提问和评论都可以,用心的回复会被更多人看到
评论
发布评论
相关文章
-
静态方法-类方法-属性方法
静态方法,类方法,属性方法举例
静态方法 类方法 属性方法 -
python:静态方法、类方法、属性方法
静态方法、类方法、属性方法
静态方法 类方法 属性方法 -
jquery常用方法—has方法和is方法
has ( ): 将选出来的元素集合,根据has里边的条件进行元素的筛选;下边的意思是:选择出li里边 <ul> <li>5&...
jquery——has方法和is方法 jquer常用方法 jquery has方法 jquery is方法 jq has is方法 -
jquery常用方法—add方法、end方法
add ( ): 叠加选出元素,一起操作;下边的意思是:选择出box1和box2,改变文字颜色<div cla"box1").add("box2").css({color:"red"});</scri...
jquery——add方法和end方法 css 类名 文字颜色