wminotify.dll 病毒清理方法

我在網(wǎng)上找的刪除方法 但是刪除不了,沒(méi)有c:\WINDOWS\system32\install.bat c:\WINDOWS\system32\On.reg 這兩個(gè)文件就有一個(gè)wminotify.dll而且無(wú)法刪除一刪除就磁盤(pán)未滿(mǎn)什么的，我用的是金山毒霸，在啟動(dòng)管理中禁止這一進(jìn)程還不支持
wminotify.dll 病毒清理方法
刪除文件：
c:\WINDOWS\system32\install.bat
c:\WINDOWS\system32\On.reg
c:\WINDOWS\system32\wminotify.dll

刪除啟動(dòng)項(xiàng)目：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wminotif
檢查了一下服務(wù)器，發(fā)現(xiàn)C:Documents and SettingsAll UsersDocumentsMy Music目錄下面多了一個(gè)Winlogon目錄，很是奇怪，打開(kāi)看里面就有
    install.bat
    On.reg
    wminotify.dll
    uninstall.bat
    readme.txt
    這么幾個(gè)文件，打開(kāi)install.bat及on.reg可以看到是在注冊(cè)表里面添加了這么一項(xiàng)：
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifywminotify
    readme.txt里面說(shuō)得很清楚了，這是一個(gè)記錄管理員密碼的木馬，只要管理員3389一登陸就會(huì)被記錄下密碼。
    既然已經(jīng)都說(shuō)得這么清楚了，要卸載很容易，可以直接執(zhí)行uninstall.bat，不放心的話(huà)可以手工清除：
    刪除文件 c:WINDOWSsystem32wminotify.dll
    刪除啟動(dòng)項(xiàng)目：
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifywminotify
    最后不要忘了刪除或者改名winlogon目錄。

    百度一下，原來(lái)這是winlogonhack木馬，下面是原文：
    系統(tǒng)密碼獲取工具--winlogonhack

    一、遠(yuǎn)程終端密碼泄露分析

    1.最新遠(yuǎn)程終端技術(shù)APP
    對(duì)于大型企業(yè)來(lái)說(shuō)，一般都部署有遠(yuǎn)程終端，微軟最新的服務(wù)器操作系統(tǒng)Windows 2008 Server中更是重點(diǎn)打造遠(yuǎn)程終端。終端服務(wù)器遠(yuǎn)程APP是Windows Server 2008中新的遠(yuǎn)程應(yīng)用演示方法。在遠(yuǎn)程連接的一些參數(shù)上進(jìn)行了調(diào)整，增加了一些新的功能，據(jù)說(shuō)性能也有較大提高！

    2.遠(yuǎn)程終端密碼泄露分析
    在大型網(wǎng)絡(luò)中，由于網(wǎng)絡(luò)環(huán)境復(fù)雜，因此服務(wù)器之間往往通過(guò)遠(yuǎn)程終端來(lái)維護(hù)和管理，這種管理在方向不太固定，多是發(fā)散。有的可能是通過(guò)一臺(tái)主機(jī)登錄多臺(tái)主機(jī)，也有的可能是通過(guò)多臺(tái)主機(jī)來(lái)登錄同一臺(tái)主機(jī)，也可能是混亂交叉登錄，黑客在入侵網(wǎng)絡(luò)某一臺(tái)主機(jī)后，肯定會(huì)想辦法收集網(wǎng)絡(luò)內(nèi)部或者跟外部獨(dú)立主機(jī)之間的遠(yuǎn)程終端登錄用戶(hù)名稱(chēng)和密碼。收集方法不外乎三種：

    （1）使用GetHashes、Pwdump等工具獲取系統(tǒng)的Hash密碼值，然后通過(guò)LC5以及彩虹表來(lái)進(jìn)行破解，破解成功后得到系統(tǒng)密碼，這些密碼極有可能是遠(yuǎn)程終端的密碼。

    （2）在被控制計(jì)算機(jī)上安裝鍵盤(pán)記錄，通過(guò)鍵盤(pán)記錄來(lái)獲取用戶(hù)在登錄3389遠(yuǎn)程終端過(guò)程所輸入的用戶(hù)名和密碼。這種方法有一定的限制，鍵盤(pán)記錄在遠(yuǎn)程終端窗口最大化時(shí)有可能無(wú)法記錄遠(yuǎn)程終端登錄密碼。

    （3）使用WinlogonHacK工具軟件截取遠(yuǎn)程登錄時(shí)所輸入的正確密碼。這也是本文要重點(diǎn)介紹的部分。當(dāng)然除了以上三種外，還有一些其它的泄露途徑。


    二、WinlogonHack工具軟件截取密碼原理

    1.Gina.dll與Msgina.dll
    Gina.dll在NT/2000中交互式的登陸支持是由WinLogon調(diào)用Gina.dll實(shí)現(xiàn)的，Gina.dll提供了一個(gè)交互式的界面為用戶(hù)登陸提供認(rèn)證請(qǐng)求。WinLogon會(huì)和Gina.dll進(jìn)行交互，缺省是msgina.DLL(在System32目錄下)。微軟同時(shí)也為我們提供了接口，我們可以自己編寫(xiě)Gina.dll來(lái)代替Msgina.dll。

    不知道什么原因，微軟的Gina.dll在Windows XP以及后續(xù)版本中都不再出現(xiàn)，原來(lái)的Gina.dll改為Msgina.dll（加了ms表示是微軟的，嘿嘿?。?。Msgina.dll在WindowsXP系統(tǒng)中默認(rèn)大小為967,680 字節(jié)（945K），在Windows 2003中其大小為1,180,672 字節(jié)（1153K），如果不是這個(gè)大小，估計(jì)就有問(wèn)題了。

    2.Msgina.dll文件被損壞和修改姜導(dǎo)致嚴(yán)重錯(cuò)誤
    在DLL知識(shí)庫(kù)（http://www.dofile.com/dlllibrary/msgina/）中是這樣描述的：msgina.dll是Windows登陸認(rèn)證策略相關(guān)模塊，該模塊用于完成所有用戶(hù)登陸和驗(yàn)證功能，如果系統(tǒng)中的這個(gè)文件被修改或者破壞，姜導(dǎo)致系統(tǒng)無(wú)法使用3389進(jìn)行登錄，如圖1所示，這個(gè)系統(tǒng)的Msgina.dll文件就被破壞了，從而導(dǎo)致用戶(hù)無(wú)法遠(yuǎn)程登錄3389終端服務(wù)器。

    3.WinlogonHack截取密碼原理
    WinlogonHack通過(guò)掛鉤系統(tǒng)中的msgina.dll的WlxLoggedOutSAS函數(shù)，記錄登錄賬戶(hù)密碼！WinLogon初始化時(shí)會(huì)創(chuàng)建3個(gè)桌面：

    （1）Winlogon桌面：主要顯示W(wǎng)indows 安全等界面，如你按下“CTRL+ALT+DEL”快捷看所出現(xiàn)的登陸的界面等。
    （2）應(yīng)用程序桌面：我們平時(shí)見(jiàn)到的那個(gè)有我的電腦的界面。
    （3）屏幕保護(hù)桌面：屏幕保護(hù)顯示界面。

    在默認(rèn)情況下，Gina.dll或者M(jìn)sgina.dll顯示登陸對(duì)話(huà)框，用戶(hù)輸入用戶(hù)名及密碼。所以要獲得用戶(hù)名和密碼，則可以寫(xiě)一個(gè)新的Gina.DLL或者M(jìn)sgina.dll，其中提供接口調(diào)用msgina.dll的函數(shù)是WlxLoggedOutSAS。啟動(dòng)就用winlogon通知包，當(dāng)有3389，連上服務(wù)器時(shí)。新創(chuàng)建的 winlogon.exe會(huì)在登錄前加載，注冊(cè)了 “Startup”的dll，Hook了函數(shù)，登錄成功后，記錄密碼到 boot.dat 文件，并取消Hook。退出3389后，dll文件即可刪除。在實(shí)現(xiàn)上只要msgina.dll中WlxLoggedOutSAS函數(shù)的前五個(gè)字節(jié)：
    mov edi,edi
    push ebp
    mov ebp,esp

    三、使用WinlogonHack獲取密碼實(shí)例

    在WinlogonHack之前有一個(gè)Gina木馬主要用來(lái)截取Windows 2000下的密碼，WinlogonHack主要用于截取Windows XP以及Windows 2003 Server。

    1．執(zhí)行install.bat安裝腳本
    一種方法是姜WinlogonHack的安裝程序文件Hookmsgina.dll、install.bat、On.reg以及ReadLog.bat復(fù)制到一個(gè)相同文件夾下面，然后在Dos提示符或者GUI界面寫(xiě)直接運(yùn)行install.bat即可。執(zhí)行完畢后不需要重啟，當(dāng)有3389登上時(shí)，自動(dòng)加載DLL，并且記錄登錄密碼！保存在系統(tǒng)system32目錄的boot.dat文件中，另外一種方法是姜所有文件都放在同一個(gè)文件夾中，然后執(zhí)行install命令即可，如圖2所示，表示安裝正確的一些提示。

    2.查看密碼記錄
    可以直接打開(kāi)boot.dat文件查看，也可以運(yùn)行“ReadLog.bat”腳本移動(dòng)密碼文件到當(dāng)前目錄查中查看。在本例中的操作系統(tǒng)是Windows 2003 Server，直接通過(guò)Radmin的telnet，然后先執(zhí)行“dir boot.dat /a”命令，查看是否有人遠(yuǎn)程進(jìn)行登錄，如圖3所示，boot.dat大小為5762字節(jié)，有貨！使用“type boot.dat”可以看到記錄的登錄時(shí)間、用戶(hù)、域名、密碼以及舊密碼。出現(xiàn)兩個(gè)密碼主要是用于記錄用戶(hù)更改了密碼的情況下。

    3.卸載WinlogonHack
    執(zhí)行“Uninstall.bat”即可自動(dòng)卸載該程序，如果“%systemroot%system32wminotify.dll”文件未能刪除，可以重啟后刪除！

    四、攻擊與防范方法探討

    1.攻擊方法探討
    （1）定制化開(kāi)發(fā)
    WinlogonHack代碼是開(kāi)源的，因此入侵者可以定制它，即在“l(fā)strcat( LogPath , "\boot.dat");”代碼中姜boot.dat換成其它一個(gè)文件，執(zhí)行Winlogonhack后，一般人員很難發(fā)覺(jué)。入侵者還可以在此基礎(chǔ)上增加一個(gè)郵件發(fā)送功能，姜記錄下來(lái)的3389遠(yuǎn)程終端用戶(hù)名和密碼發(fā)送到指定的郵箱，筆者在安全加固過(guò)程中就曾經(jīng)碰到過(guò)具有這種功能的3389密碼截取木馬軟件。

    （2）對(duì)WinlogonHack軟件做免殺處理
    由于WinlogonHack工具軟件在網(wǎng)絡(luò)入侵中扮演了一個(gè)重要的輔助角色，因此一些厲害的殺毒軟件會(huì)自動(dòng)查殺wminotify.dll文件，如圖4所示，我在做試驗(yàn)時(shí)，我的avast!殺毒軟件就能查出來(lái)，作為病毒處理。因此可以通過(guò)加花指令、修改特征碼等方法修改wminotify.dll文件，使其能夠繞過(guò)殺毒軟件。

    （3）WinlogonHack在攻擊中應(yīng)用
    WinlogonHack工具軟件主要用于截取3389登錄密碼，因此在被入侵計(jì)算機(jī)上運(yùn)行mstsc后，如果發(fā)現(xiàn)在mstsc的計(jì)算機(jī)地址欄目中出現(xiàn)有多個(gè)登錄IP地址列表，如圖5所示，那么在該計(jì)算機(jī)上就有安裝WinlogonHack軟件的必要，通過(guò)它來(lái)記錄在服務(wù)器上管理員所登錄的3389用戶(hù)名和密碼。

    2.防范方法探討
    （1）在系統(tǒng)目錄查找“wminotify.dll”文件，如果發(fā)現(xiàn)有這個(gè)文件，則說(shuō)明系統(tǒng)中一定安裝了Winlogonhack工具，可以通過(guò)登錄一個(gè)3389終端來(lái)測(cè)試，系統(tǒng)目錄下是否存在boot.dat文件，如果存在，則可以嘗試使用“Uninstall.bat”批處理來(lái)卸載它，如果還不能卸載，可以重啟后再次卸載。

    （2）直接到注冊(cè)表的鍵值“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifywminotify”下進(jìn)行查看，如果存在，則刪除即可。

    （3）對(duì)于定制的WinlogonHack比較難于根除，一個(gè)好的辦法就是在系統(tǒng)安全狀態(tài)下做一次文件名稱(chēng)列表備份，以后每次檢測(cè)系統(tǒng)是通過(guò)比較系統(tǒng)目前狀態(tài)下的文件列表的異同來(lái)查看。

    （4）如果使用3389遠(yuǎn)程終端登錄多臺(tái)服務(wù)器進(jìn)行管理，最好在管理完畢后，及時(shí)清除3389登錄地址列表。

    （5）定期殺毒，殺毒軟件在一定程度上面能夠防范一些已知的病毒，因此勤殺毒，勤看日志，在確認(rèn)系統(tǒng)被入侵后，一定要仔細(xì)徹底的做一邊系統(tǒng)的安全檢測(cè)。

我服務(wù)器上面裝的ESET還是能殺的，看來(lái)服務(wù)器安裝殺毒軟件很有必要

網(wǎng)站服務(wù)器密碼一定要有安全性可言，不然被攻入的機(jī)率很大！
這里特別推薦360的主機(jī)衛(wèi)士是不錯(cuò)的，大家可以在網(wǎng)站服務(wù)器上進(jìn)行安裝！