如何杀winlogon.exe（它是Pwsteal wowcraft.B病毒）

显示全部楼层 · 2006-4-12 10:54:16

+++++++++++++++++++++++++++++++++++++++++++++++在病毒文件没有删除之前所做的一些操作可能会调用激活病毒程序，所以在以下1和2步之间请尽量不要做多余的其它操作。顺利地删除病毒文件需要一点点技巧，在处理过程中慢慢体会吧……1. 结束病毒的进程%Windows%\smss.exe2. 删除相关文件：C:\MSCONFIG.SYS%Windows%\1.com%Windows%\ExERoute.exe%Windows%\explorer.com%Windows%\finder.com%Windows%\smss.exe%Windows%\Debug\DebugProgram.exe%System%\command.pif%System%\dxdiag.com%System%\finder.com%System%\MSCONFIG.COM%System%\regedit.com%System%\rundll32.com%ProgramFiles%\Internet Explorer\iexplore.com%ProgramFiles%\Common Files\iexplore.pif3. 恢复EXE文件关联删除[HKEY_CLASSES_ROOT\winfiles]项4. 删除病毒启动项：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Torjan Program"="%Windows%\smss.exe"修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下"shell"="Explorer.exe 1"为"shell"="Explorer.exe"5. 恢复病毒修改的注册表信息：(1)分别查找“command.pif”、“finder.com”、“rundll32.com”的信息，将“command.pif”、“finder.com”、“rundll32.com”修改为“rundll32.exe”(2)查找“explorer.com”的信息，将“explorer.com”修改为“explorer.exe”(3)查找“iexplore.com”的信息，将“iexplore.com”修改为“iexplore.exe”(4)查找“iexplore.pif”的信息，将找到的“%ProgramFiles%\Common Files\iexplore.pif”修改为“%ProgramFiles%\Internet Explorer\iexplore.exe”++++++++++++++++++++++++++++++++++++++++++++

千问 · 2006-4-12 10:54:16

IceSword1、先在IceSword的“设置”中勾选“禁止进程创建”，按“确定后，才能结束sounddv.exe进程。 2、C:\windows\system32\hpr34k8.sys可用IceSword直接删除。C:\windows\sounddv.exe已经插入winlogon.exe进程，因此，需用KillBox强行删除之（替换删除）。 3、删除病毒添加的上述注册表项。