机器狗logonDLL.dll穿透还原

病毒产生的文件名为logonDLL.dll，因此我们就以文件名来称呼该病毒。该病毒名为logonDLL.dll，但也是归于机器狗一类。虽然病毒并没有替换掉通常机器狗都会替换的userinit.exe文件，但是同样具备穿透强大的穿还原的能力。
运行该病毒后，病毒闪了一下就没有了，不会长时间产生一个病毒进程。属于无进程，无启动项，超级隐蔽的病毒。因此很难引起警觉。当然越是这样，对用户的危害越严重。

病毒运行后，仅仅在如下位置产生一个文件：奇怪的是，病毒把自已建立的时间神不知鬼不觉的改成了2003-05-17~如果不是之前已经做好了准备备份了目录，我无论如何也不敢相信这是刚刚才建立的木马。它是如何做到的呢？估计在建立的一瞬间改了系统时间，尔后又快速恢复。让人产生麻痹。
 
c:\windows\system32 的目录
2003-05-17 01:3949,152 LogonDll.dll
1 个文件        49,152 字节
0 个目录  2,679,521,280 可用字节

查杀过程如下图示：

下图①：运行病毒后，马上重启，虽然有冰点还原的保护，360仍然显示发现病毒~，显示病毒已经成功穿透还原。这时候按查杀的话，会显示需要重启清除。事实上重启清除之后病毒还在，无法清除干净。

下图②用机器狗专杀最新的V2.3（之后才发现当晚已经出到2.4版了）扫描，竟然没有发现病毒！


下图③为什么找不到病毒的原因：原来病毒已经插入了系统核心进程winlogon.exe！怪不得要重启清除，因为360娄全卫士根本没办法对系统核心进程动手！简单用冰刃删掉就干掉了木马进程，现在我们可以随心所欲的处理这个病毒文件——logonDLL.dll，而不用等到重启后~

下图④解冰点锁，再冰刃删掉病毒模块重启扫描无毒，显示杀毒完全成功~！


——————————————图片最下面有病毒样————————————————
声明，此文为转载

1。重启后病毒依旧



2。专杀软件无法发现



3。病毒修改系统进程



4。360 显示无毒



病毒样本下载，请谨慎测试！