我的女儿点击了一个诱饵 Facebook 帖子,现在我们认为我们的电脑感染了病毒,并且该病毒正在向她的朋友发送类似的诱饵帖子。
我将其范围缩小到一个文件夹
C:\Program Files\msn 游戏区\windows
我无法删除该文件夹,因此我使用应用程序 Unlocker 来显示哪些文件或文件夹被锁定:
如果我杀死 winlogon.exe,我的电脑就会蓝屏。
我可以在安全模式下删除该文件夹,但该文件夹会自行恢复。到目前为止,我无法识别负责将该文件夹放回原位的过程。
知道这个 winlogon.exe 实际上位于何处吗?\??\path 很奇怪。我相信 winlogon.exe 是一个必需文件。它是否可以取代 Microsofts,以便执行相同的必需功能,但同时注入病毒行为?
我需要帮助来摆脱这个烦恼。
答案1
WinLogon 是允许您登录 Windows 的进程;如果您终止它,您会看到 BSOD,正如您所注意到的。
可执行文件位于C:\WINDOWS\System32。
以 开头的 UNC\\?\称为长 UNC(或 UNCW);\\?\C:\WINDOWS相当于C:\WINDOWS。
答案2
由于该程序在安全模式下未被锁定,因此很可能没有运行 - 这应该会使它更容易被删除。您可以尝试在安全模式下对硬盘运行最新的防病毒扫描;这可能会发现计算机上正在恢复恶意文件夹的其他恶意软件。
如果您的防病毒程序出现问题,以下一些辅助工具可能会有所帮助:
- 进程探索器- 任务管理器功能强大,颜色也很漂亮。
- 劫持- 显示自动启动的程序、DLL 和其他可执行文件
- Rootkit 揭露工具- 显示具有奇怪属性的文件,这可能是由于根工具包。
答案3
我已经应用了诊断工具,但结果仍然相同,即“msn gaming zone”目录不断重新创建。您有解决此问题的明确方法吗?我无法替换 winlogon.exe,因为它是一个基本的 Windows 进程。谢谢,Dave