該木馬會盜取用戶各種密碼,暫未被最新卡巴病毒庫查殺!
該木馬的主文件是winlogon.exe,exeRoute.exe是木馬生成與死而復生程序!exeRoute.exe文件修改系統exe文件關聯,創建新的關聯winfiles,並把exe的關聯指向該winfiles新關聯。還會生成所有系統常用程序的com同名文件,如regedit.com,explorer.com,msconfig.com等等,並生成1.com,2.com,winlogon.exe,這樣使用主木馬winlogon.exe潛在無數處復活的機會!其作者可謂用盡心機!
該木馬由於跟exe關聯,即意味著每運行壹個exe就得運行exeroute.exe木馬程序,故而對系統資源消耗較大,並造成系統極不穩定!
清除方法1:
清除CSRSS.EXE、EXEROUTE.EXE(龍字傳奇圖標)木馬病毒
清除CSRSS.EXE、EXEROUTE.EXE(龍字傳奇圖標)木馬病毒
這是個變種,這個的變化好像是壹個病毒文件名改了,從上次的%Windows%services.exe變成這次的%Windows%csrss.exe。
1、使用第三方進程管理軟件結束進程:%windir%CSRSS.exe 和 %windir%ExERoute.exe
2、將以下註冊表鍵值的 rundll32.com finder.com command.pif 修改為 rundll32.exe
HKEY_CLASSES_ROOT.lnkShellNewcommand
HKEY_CLASSES_ROOT.bfcShellNewcommand
HKEY_CLASSES_ROOTcplfileShellcplopencommand
HKEY_CLASSES_ROOTdunfileShellopencommand
HKEY_CLASSES_ROOTfileShellopencommand
HKEY_CLASSES_ROOThtmlfileShellPrintcommand
HKEY_CLASSES_ROOTinffileShellInstallcommand
HKEY_CLASSES_ROOTInternetShortcutShellopencommand
HKEY_CLASSES_ROOTscrfileShellInstallcommand
HKEY_CLASSES_ROOTtelnetShellopencommand
HKEY_CLASSES_ROOTInternetShortcutShellopencommand
HKEY_CLASSES_ROOTscrfileShellInstallcommand
HKEY_CLASSES_ROOTscriptletfileShellGenerate Typelibcommand
HKEY_CLASSES_ROOTUnknownShellopenascommand
HKEY_CLASSES_ROOTdunfileShellopencommand
HKEY_LOCAL_MACHINESOFTWAREMICROSOFTShared ToolsMSInfoToolSetsMSInfohdwwizcommand
3、將以下鍵值的 iexplore.com 修改為 iexplore.exe
HKEY_CLASSES_ROOThtmlfileShellopencommand
HKEY_CLASSES_ROOTApplicationsiexplore.exeShellopencommand
HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D}ShellOpenHomePagecommand
HKEY_CLASSES_ROOTftpShellopencommand
4、將以下鍵值內容修改為 %Program Files%Internet Exploreriexplore.exe
HKEY_CLASSES_ROOThtmlfileShellopennewcommand
HKEY_CLASSES_ROOTmand
5、將以下鍵值的 explorer1.com 改為 iexplore.exe
HKEY_CLASSES_ROOTDriveShellfindcommand
6、將以下鍵值的 默認 修改為 exefile
HKEY_CLASSES_ROOT.exe
7、將以下鍵值的 Explorer.exe 1 修改為 Explorer.exe
HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWS NTCURRENTVERSIONWinlogonShell
8、將以下鍵值的 No 修改為 Yes
HKEY_CURRENT_USERSOFTWAREMICROSOFTInternet ExplorerMainCheck_Associations
9、刪除病毒的註冊表自啟動項
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
"Torjan Program"="%windir%CSRSS.exe"
10、刪除其他無用數據
HKEY_CLASSES_ROOTwinfiles
HKEY_CURRENT_USERSOFTWAREVB and VBA Program Settings
11、刪除以下文件 文件都具有隱藏、系統屬性 請打開查看所有文件選項
%windir%1.com
%windir%CSRSS.exe
%windir%ExERoute.exe
%windir%explorer1.com
%windir%finder.com
%windir%MSWINSCK.OCX
%windir%DebugDebugProgram.exe
%system%command.pif
%system%dxdiag.com
%system%finder.com
%system%MSCONFIG.com
%system%regedit.com
%system%rundll32.com
%Program Files%Internet Exploreriexplore.com
%Program Files%Common Filesiexplore.pif
系統盤根目錄:AUTORUN.INF
計算機安全中心.lnk
安全測試.lnk
系統信息管理器.lnk
註意:
%windir% 是指 WINDOWS 目錄 [9x/ME/XP/2003];WINNT 目錄 [2000]
%system% 是指 SYSTEM32 目錄 [2000/XP/2003];SYSTEM 目錄 [9x/ME]
變種:
在temp目錄刪除 傳世文件.exe , 夢幻文件.exe 文件
在%system% 刪除 temp329.exe temp339.exe 好像是這個名字
在 %Program Files%Internet Explorer 下, 有INTEXPLORE.com
刪除 c:windowsWINLOGON.EXE
清除方法2:
1.準備工作,下載SREng.exe,並改名為SREng.com下載地址:/sreng/download.html
2.運行ProceXP結束%Windows%\services.exe病毒進程(最好也將ProceXP.exe改名為ProceXP.com再運行,如果不改也沒有多大關系。病毒感染系統後把EXE文件關聯到%Windows%\ExERoute.exe,運行ProceXP.exe後%Windows%\ExERoute.exe會被調用並運行%Windows%\services.exe,等%Windows%\ExERoute.exe自動退出後再結束%Windows%\services.exe即可)註:要註意的是,結束的病毒進程是%Windows%\services.exe,不是System32\services.exe(系統進程),大家可以從路徑和它們的圖標來區分。
3.運行SREng.com,在“系統修復”>>“文件關聯”裏勾選“.EXE”項,並“修復”,恢復EXE文件關聯
4.結束病毒進程後分別找到以下病毒文件和病毒生成的文件,刪除它們:C:\autorun.inf
%ProgramFiles%\CommonFiles\iexplore.pif
%ProgramFiles%\InternetExplorer\iexplore.com
%Windows%\1.com%Windows%\ExERoute.exe%Windows%\explorer.com%Windows%\finder.com%Windows%\MSWINSCK.OCX(VB庫文件,可以不刪除)
%Windows%\services.exe%Windows%\Debug\DebugProgram.exe
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
開始菜單\程序\下的:計算機安全中心.lnk安全測試.lnk系統信息管理器.lnk註:直接從“我的電腦”或“資源管理器”裏找,或者通過“搜索”查找,在那些病毒文件沒有被刪除之前,不要做其它任何多余的操作。
5.打開註冊表編輯器,依此分別查找“rundll32.com”、“finder.com”、“command.pif”,把找到的內容裏面的“rundll32.com”、“finder.com”、“command.pif”分別改為“Rundll32.exe”
6.查找“iexplore.com”的信息,把找到的內容裏面的“iexplore.com”改為“iexplore.exe”
7.查找“explorer.com”的信息,把找到的內容裏面的“explorer.com”改為“explorer.exe”
8.查找“iexplore.pif”,應該能找到類似“%ProgramFiles%\CommonFiles\iexplore.pif”的信息,把這內容改為“C:\ProgramFiles\InternetExplorer\iexplore.exe”
9.刪除病毒添加的文件關聯信息和啟動項:
[HKEY_CLASSES_ROOT\winfiles][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"TorjanProgram"="%Windows%\services.exe"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]"TorjanProgram"="%Windows%\services.exe"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]"Shell"="Explorer.exe1"改為"Shell"="Explorer.exe"
10.這些是病毒釋放的壹個VB庫文件(MSWINSCK.OCX)的相關信息,不壹定要刪除:HKEY_CLASSES_ROOT\MSWinsock.WinsockHKEY_CLASSES_ROOT\MSWinsock.Winsock.1HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}HKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}HKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}HKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}註:因為病毒修改了很多關聯信息,所以在那些病毒文件沒有被刪除之前,請不要做任何多余的操作,以免激活病毒。