Please login or register.

Login with username, password and session length

Author Topic: Diệt Winlogon.exe  (Read 33824 times)

18 Tháng Mười Hai, 2008, 10:47:45 AM
  • Trần Thanh Tú - CTV box CNTT+ Team OCR
  • MODERATOR
  • ****
  • Posts: 683
  • Điểm bài viết: 124
  • Rock Không Em!
    • quần áo trẻ em
Triệu chứng:
Thỉnh thoảng thấy hiện ra cái cửa sổ IE với address là: C:\Program Files\Common Files\Winlogon rất khó chịu.
Kiểm tra trong msconfig thì thấy Winlogon được khởi động cùng Windows, Registry và Task Manager bị disable rất khó chịu.







Vào Tool --> Folder Options --> View thì thấy như trong hình:



Dùng Process Explorer thì thấy có 2 cái process đáng chú ý:



Nhưng khi vào ổ C --> Program Files --> Common Files để kiểm tra thì không thấy đâu vì nó đã bị ẩn đi rồi.


Kiểm tra log của Trend Micro thì không thấy gì ngoài con clfmon.exe là đáng chú ý. Trend Micro tệ quá!

Cách diệt:
Đơn giản thôi :D
1. Dùng Process Explorer kill 2 cái process đó đi. Nhớ là dùng Suspend trước rồi hãy Kill vì nó có 2 process bảo vệ nhau.

2. Tiếp tục dùng VnFix 1.1 để sửa lỗi không hiện được file ẩn, lấy lại Task Manager và Registry.

3. Vào ổ C --> Program Files --> Common Files ta sẽ thấy lộ mặt mấy con này:



Trong hình là 3 thằng nhưng trong một số máy khác có thể sẽ là 4 thằng :))

Lúc này 3 thằng đã hiện ra, ta chỉ cần click chọn và Shift + Del thôi.

4. Vào Registry (Run --> regedit) kiểm tra các key Run trong HKEY_LOCAL_MACHINE --> Software --> Microsoft --> Windows --> Current Version --> Run



Chỉ việc chuột phải vào nó và Delete là xong.

**********************************************
Trò chơi nhỏ :D
Trong khi làm con này có lấy được mẫu của nó và nén lại (4 thằng chứ không phải 3 như trong hình). Password giải nén là: 123456

Các bạn hãy giải nén nó và dùng chương trình antivirus trên máy để quét thử xem.
Lời khuyên:
- Nếu antivirus trên máy phát hiện và diệt tốt <=== Antivirus tốt đấy, yên tâm sử dụng và dùng tiếp nhé  :)>-
- Nếu antivirus lại trơ như cái Trend Micro kia thì tốt nhất hãy nghĩ sang một antivirus khác vì nếu tiếp tục dùng thì cũng sẽ khổ vì nó thôi :))

P.s: Vì file nén này được đặt pass nên bảo mật khá tốt, nếu không giải nén mà cứ để thế để quét thì không hiệu quả đâu. Đã thử với Antivir Avira, CMC, BKAV đều không biết được (giải nén Avira diệt tốt :D). Chưa thử với KAV, KIS, BIT, NOD, AVast... nên không biết :D
« Last Edit: 19 Tháng Mười Hai, 2008, 10:44:55 AM by Linkin Park »

18 Tháng Mười Hai, 2008, 12:00:33 PM
Reply #1
  • OLYMPIAN
  • **
  • Posts: 2866
  • Điểm bài viết: 46
  • Chém gió
    • Facebook
=)) Mình bị dính con này, có nghi ngờ nhưng không dám chắc.
Đọc bài trên vội mở Task manager ra thì thấy 2 em process đang tưng tửng.=))

Ôi anh KIS của em, anh là một lá chắn thủng.=((

18 Tháng Mười Hai, 2008, 12:03:43 PM
Reply #2
  • OLYMPIAN
  • **
  • Posts: 2866
  • Điểm bài viết: 46
  • Chém gió
    • Facebook
Anh Tú ơi, Commons Files bình thường nó chứa những cái gì?

18 Tháng Mười Hai, 2008, 12:06:27 PM
Reply #3
  • Trần Thanh Tú - CTV box CNTT+ Team OCR
  • MODERATOR
  • ****
  • Posts: 683
  • Điểm bài viết: 124
  • Rock Không Em!
    • quần áo trẻ em
Cơ quan anh dùng Trend Micro từ lâu rồi (hình như có truyền thống từ trên tổng cục trên HN :))) <=== Kết luận: Nó quá dở :)) Cả cơ quan thì mình anh dùng một chương trình khác hẳn :D

@ Lộc: Tùy từng máy cài đặt những gì thì phải :D (anh cũng đâu có hiểu hết hệ thống đâu :D) Nhưng cái gì nghi ngờ thì cứ nghi ngờ thôi! Chú xem cái hình ở trên ấy, tất cả đều bình thường trừ mấy thằng nó tự ẩn như thế kia <=== nó đó :D
« Last Edit: 18 Tháng Mười Hai, 2008, 12:09:53 PM by Linkin Park »

18 Tháng Mười Hai, 2008, 12:07:14 PM
Reply #4
  • OLYMPIAN
  • **
  • Posts: 2866
  • Điểm bài viết: 46
  • Chém gió
    • Facebook
Kết quả: BKAV phát hiện ra.=))
Tắt BKAV đi thì không extract ra được cái j cho anh KIS thi thố.:(

« Last Edit: 18 Tháng Mười Hai, 2008, 08:25:26 PM by pvloc90 »

18 Tháng Mười Hai, 2008, 12:56:37 PM
Reply #5
  • OLYMPIAN
  • **
  • Posts: 1089
  • Điểm bài viết: 89
  • Trên đời chỉ có một vị thần duy nhất: Tử Thần!
    • March Seventeenth
Em đã thử với Bit Internet Security 2009 ===> Diệt sạch :)>-
« Last Edit: 18 Tháng Mười Hai, 2008, 01:08:17 PM by King_Death »

18 Tháng Mười Hai, 2008, 01:04:55 PM
Reply #6
  • ADMIN
  • ******
  • Posts: 6354
  • Điểm bài viết: 416
Thằng KIS 2009 không quét được rar, nhưng bung nén thì rất ok. KIS là một lá chắn không thủng :))
Thanks anh về bài viết, tối nay em sẽ có quyết định về việc liệu có nên đưa box này ra ngoài hay không, vì thực sự nó rất hữu ích, không đưa ra cho người ta theo dõi diễn tiến thì phí quá ^^

18 Tháng Mười Hai, 2008, 02:29:17 PM
Reply #7
  • Trần Thanh Tú - CTV box CNTT+ Team OCR
  • MODERATOR
  • ****
  • Posts: 683
  • Điểm bài viết: 124
  • Rock Không Em!
    • quần áo trẻ em
Tiếp tục trò chơi trên nhưng lại nén lại bằng Winrar nhưng không đặt password



BKAV không có kết quả!



CMC cũng không có kết quả!



Tren Micro không bình luận:



Avira tuyệt vời  :)>-

Mọi người hãy thử lại với nó khi nén ở định dạng rar nhưng không đặt pass xem.
********************************************************

Tiếp tục: nén ở định dạng rar nhưng có đặt password:
Vì BKAV chịu chết với nén nhưng không đặt pass nên chả cần thử lại với khi đặt pass. Trend Micro thì thôi, khỏi phải thử :))

Nên sẽ thử với Avira vì Avira vẫn diệt tốt khi không đặt pass nên:



Kết quả: chịu chết :D
*********************************************************
Kinh nghiệm rút ra: Khi muốn đưa virus đi đâu đó bằng USB mà muốn nó an toàn, không bị sổng chuồng thì tốt nhất nên nén lại bằng Winrar và có đặt password :D
*********************************************************
Tuy rằng cái trò thử nghiệm quét file virus với cách đặt pass và không có pass này không có kết quả mấy và không có tác dụng vì chưa có loại virus nào ở định dạng này. Chúng chỉ ở định dạng exe, có thể sẽ bị nén lại nhưng khi giải nén thì sẽ bị diệt ngay  <:-P
Chỉ là thử nghiệm vui thôi nhưng có lẽ nó sẽ có ích với những ai thích nghiên cứu virus và muốn lưu chúng lại để phân tích dần. Hiện nay cũng có mấy mẫu và được nén + đặt pass :D

18 Tháng Mười Hai, 2008, 02:47:50 PM
Reply #8
  • Phó ban quản lý ĐVTT - Mod CNTT
  • MODERATOR
  • ****
  • Posts: 814
  • Điểm bài viết: 76
Thằng KIS 2009 không quét được rar, nhưng bung nén thì rất ok. KIS là một lá chắn không thủng :))
Thanks anh về bài viết, tối nay em sẽ có quyết định về việc liệu có nên đưa box này ra ngoài hay không, vì thực sự nó rất hữu ích, không đưa ra cho người ta theo dõi diễn tiến thì phí quá ^^

Đưa ra ngoài đi anh :D

18 Tháng Mười Hai, 2008, 08:26:24 PM
Reply #9
  • OLYMPIAN
  • **
  • Posts: 2866
  • Điểm bài viết: 46
  • Chém gió
    • Facebook
Ơ diệt thế nào bây giờ anh Tú?
Em thấy process của nó nhưng mà không làm gì được.:(

18 Tháng Mười Hai, 2008, 08:46:41 PM
Reply #10
  • Trần Thanh Tú - CTV box CNTT+ Team OCR
  • MODERATOR
  • ****
  • Posts: 683
  • Điểm bài viết: 124
  • Rock Không Em!
    • quần áo trẻ em
Ơ diệt thế nào bây giờ anh Tú?
Em thấy process của nó nhưng mà không làm gì được.:(

Thấy 2 cái process của nó rồi thì chỉ cần chuột phải chọn Suspend rồi bắt đầu Kill process là ok mà. Nếu kill luôn thì không được vì thằng này nó sẽ lôi thằng kia dậy nên phải Suspend từng thằng trước.
Mà nếu không có Process Explorer thì có thể dùng Process Viewer cũng được (trừ Task Manager của Windows ra).

18 Tháng Mười Hai, 2008, 10:02:23 PM
Reply #11
  • OLYMPIAN
  • **
  • Posts: 2866
  • Điểm bài viết: 46
  • Chém gió
    • Facebook
Anh Tú.:|
Trong win bình thường đã có 2 process winlogon.exe và smss.exe đúng không?:|

18 Tháng Mười Hai, 2008, 11:06:59 PM
Reply #12
  • Trần Thanh Tú - CTV box CNTT+ Team OCR
  • MODERATOR
  • ****
  • Posts: 683
  • Điểm bài viết: 124
  • Rock Không Em!
    • quần áo trẻ em
Chú ra ngoài, vào topic "Các tiện ích nhỏ gọn và hiệu quả" ở đó có đủ phần mềm cần thiết để chiến :D
Còn đây là link download anh đã up, download về giải nén và sử dụng thôi.
http://www.mediafire.com/download.php?mmyigruhimd

*******************************************************
Hình như chú đang lầm lẫn gì đó, đúng không?

Đúng!Trong windows bình thường cũng đã có 2 process là winlogon.exe và smss.exe - Đó là hai tiện ích chạy ngầm của Windows như trong hình:
 


smss.exe
C:\WINDOWS\System32\smss.exe
Chịu trách nhiệm thông báo những gì xảy ra trong 1 sessions của hệ thống.

winlogon.exe
C:\WINDOWS\system32\winlogon.exe
Quản lý login và logout.

**********************************************
Còn con virus này nó lại khác. Nó cáo già ở chỗ nó vẫn sử dụng tên như trong hệ thống với mục đích đánh lừa những ai ít chú ý (chú có trong số đó đấy :D) <=== chính vì lầm lẫn này mà nó đánh lừa được người dùng!

Hãy chú ý và so sánh nhé!
1. Hai tiện ích của windows thì nó đều nằm ở:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe

còn con này thì chú chú ý đến bài viết đầu tiên trên bài viết. Vị trí của nó như trong hình 1,5 và 7 là ở trong C:\Program Files\Commom Files

2. Trong cái hình thứ 5, chú hãy chú ý nhận dạng nó. Đó là 2 process này có biểu tượng của thư mục + đuôi exe (mà anh đã khoanh bằng khung đỏ) <=== Một thư mục bình thường không bao giờ có đuôi exe cả, kể cả khi ta cố tình đặt thêm đuôi cho nó là .exe thì khi ta soi lên bằng một chương trình theo dõi process hệ thống thì nó sẽ không bao giờ được đưa vào danh sách đen này <=== dựa vào đặc điểm này để có thể nhận biết một process của hệ thống và process của virus.
***********************************************
Thế nào? Ok chưa?
Có gì cứ post, anh hiểu đến đâu sẽ cố gắng reply đến đó :D Không biết thì chịu khó chờ, anh sẽ cố gắng đọc thêm và reply trong thời gian sớm nhất :D
Và cũng hi vọng là 2 process chú thấy đó là của hệ thống cả :))

Chú cũng có thể đọc thêm 8 tiện ích chạy ngầm trong win khác tại đây
« Last Edit: 18 Tháng Mười Hai, 2008, 11:09:29 PM by Linkin Park »

19 Tháng Mười Hai, 2008, 12:39:24 AM
Reply #13
  • OLYMPIAN
  • **
  • Posts: 2866
  • Điểm bài viết: 46
  • Chém gió
    • Facebook
Dạ em hỏi đùa anh thôi, chứ soft thì em chả bao giờ đi hỏi ai cả.:l> Nếu google không thấy thì tức là không đáng dùng.:P
Đúng là máy em không nhiễm virus./:) Báo hại em bị shut down suddenly.:((

26 Tháng Hai, 2009, 10:42:46 AM
Reply #14
  • Trần Thanh Tú - CTV box CNTT+ Team OCR
  • MODERATOR
  • ****
  • Posts: 683
  • Điểm bài viết: 124
  • Rock Không Em!
    • quần áo trẻ em


Con này hình như có từ điện thoại vì thấy mấy bà cứ cắm thẻ sang là y như rằng dính. Cứ thỉnh thoảng khoảng 10-20 phút lại hiện lên một cửa sổ như thế!