wminotify.dll 病毒清理方法

我在網上找的刪除方法 但是刪除不了,沒有c:\WINDOWS\system32\install.bat c:\WINDOWS\system32\On.reg 這兩個文件就有一個wminotify.dll而且無法刪除一刪除就磁盤未滿什么的，我用的是金山毒霸，在啟動管理中禁止這一進程還不支持
wminotify.dll 病毒清理方法
刪除文件：
c:\WINDOWS\system32\install.bat
c:\WINDOWS\system32\On.reg
c:\WINDOWS\system32\wminotify.dll

刪除啟動項目：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wminotif
檢查了一下服務器，發現C:Documents and SettingsAll UsersDocumentsMy Music目錄下面多了一個Winlogon目錄，很是奇怪，打開看里面就有
    install.bat
    On.reg
    wminotify.dll
    uninstall.bat
    readme.txt
    這么幾個文件，打開install.bat及on.reg可以看到是在注冊表里面添加了這么一項：
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifywminotify
    readme.txt里面說得很清楚了，這是一個記錄管理員密碼的木馬，只要管理員3389一登陸就會被記錄下密碼。
    既然已經都說得這么清楚了，要卸載很容易，可以直接執行uninstall.bat，不放心的話可以手工清除：
    刪除文件 c:WINDOWSsystem32wminotify.dll
    刪除啟動項目：
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifywminotify
    最后不要忘了刪除或者改名winlogon目錄。

    百度一下，原來這是winlogonhack木馬，下面是原文：
    系統密碼獲取工具--winlogonhack

    一、遠程終端密碼泄露分析

    1.最新遠程終端技術APP
    對于大型企業來說，一般都部署有遠程終端，微軟最新的服務器操作系統Windows 2008 Server中更是重點打造遠程終端。終端服務器遠程APP是Windows Server 2008中新的遠程應用演示方法。在遠程連接的一些參數上進行了調整，增加了一些新的功能，據說性能也有較大提高！

    2.遠程終端密碼泄露分析
    在大型網絡中，由于網絡環境復雜，因此服務器之間往往通過遠程終端來維護和管理，這種管理在方向不太固定，多是發散。有的可能是通過一臺主機登錄多臺主機，也有的可能是通過多臺主機來登錄同一臺主機，也可能是混亂交叉登錄，黑客在入侵網絡某一臺主機后，肯定會想辦法收集網絡內部或者跟外部獨立主機之間的遠程終端登錄用戶名稱和密碼。收集方法不外乎三種：

    （1）使用GetHashes、Pwdump等工具獲取系統的Hash密碼值，然后通過LC5以及彩虹表來進行破解，破解成功后得到系統密碼，這些密碼極有可能是遠程終端的密碼。

    （2）在被控制計算機上安裝鍵盤記錄，通過鍵盤記錄來獲取用戶在登錄3389遠程終端過程所輸入的用戶名和密碼。這種方法有一定的限制，鍵盤記錄在遠程終端窗口最大化時有可能無法記錄遠程終端登錄密碼。

    （3）使用WinlogonHacK工具軟件截取遠程登錄時所輸入的正確密碼。這也是本文要重點介紹的部分。當然除了以上三種外，還有一些其它的泄露途徑。


    二、WinlogonHack工具軟件截取密碼原理

    1.Gina.dll與Msgina.dll
    Gina.dll在NT/2000中交互式的登陸支持是由WinLogon調用Gina.dll實現的，Gina.dll提供了一個交互式的界面為用戶登陸提供認證請求。WinLogon會和Gina.dll進行交互，缺省是msgina.DLL(在System32目錄下)。微軟同時也為我們提供了接口，我們可以自己編寫Gina.dll來代替Msgina.dll。

    不知道什么原因，微軟的Gina.dll在Windows XP以及后續版本中都不再出現，原來的Gina.dll改為Msgina.dll（加了ms表示是微軟的，嘿嘿！）。Msgina.dll在WindowsXP系統中默認大小為967,680 字節（945K），在Windows 2003中其大小為1,180,672 字節（1153K），如果不是這個大小，估計就有問題了。

    2.Msgina.dll文件被損壞和修改姜導致嚴重錯誤
    在DLL知識庫（http://www.dofile.com/dlllibrary/msgina/）中是這樣描述的：msgina.dll是Windows登陸認證策略相關模塊，該模塊用于完成所有用戶登陸和驗證功能，如果系統中的這個文件被修改或者破壞，姜導致系統無法使用3389進行登錄，如圖1所示，這個系統的Msgina.dll文件就被破壞了，從而導致用戶無法遠程登錄3389終端服務器。

    3.WinlogonHack截取密碼原理
    WinlogonHack通過掛鉤系統中的msgina.dll的WlxLoggedOutSAS函數，記錄登錄賬戶密碼！WinLogon初始化時會創建3個桌面：

    （1）Winlogon桌面：主要顯示Windows 安全等界面，如你按下“CTRL+ALT+DEL”快捷看所出現的登陸的界面等。
    （2）應用程序桌面：我們平時見到的那個有我的電腦的界面。
    （3）屏幕保護桌面：屏幕保護顯示界面。

    在默認情況下，Gina.dll或者Msgina.dll顯示登陸對話框，用戶輸入用戶名及密碼。所以要獲得用戶名和密碼，則可以寫一個新的Gina.DLL或者Msgina.dll，其中提供接口調用msgina.dll的函數是WlxLoggedOutSAS。啟動就用winlogon通知包，當有3389，連上服務器時。新創建的 winlogon.exe會在登錄前加載，注冊了 “Startup”的dll，Hook了函數，登錄成功后，記錄密碼到 boot.dat 文件，并取消Hook。退出3389后，dll文件即可刪除。在實現上只要msgina.dll中WlxLoggedOutSAS函數的前五個字節：
    mov edi,edi
    push ebp
    mov ebp,esp

    三、使用WinlogonHack獲取密碼實例

    在WinlogonHack之前有一個Gina木馬主要用來截取Windows 2000下的密碼，WinlogonHack主要用于截取Windows XP以及Windows 2003 Server。

    1．執行install.bat安裝腳本
    一種方法是姜WinlogonHack的安裝程序文件Hookmsgina.dll、install.bat、On.reg以及ReadLog.bat復制到一個相同文件夾下面，然后在Dos提示符或者GUI界面寫直接運行install.bat即可。執行完畢后不需要重啟，當有3389登上時，自動加載DLL，并且記錄登錄密碼！保存在系統system32目錄的boot.dat文件中，另外一種方法是姜所有文件都放在同一個文件夾中，然后執行install命令即可，如圖2所示，表示安裝正確的一些提示。

    2.查看密碼記錄
    可以直接打開boot.dat文件查看，也可以運行“ReadLog.bat”腳本移動密碼文件到當前目錄查中查看。在本例中的操作系統是Windows 2003 Server，直接通過Radmin的telnet，然后先執行“dir boot.dat /a”命令，查看是否有人遠程進行登錄，如圖3所示，boot.dat大小為5762字節，有貨！使用“type boot.dat”可以看到記錄的登錄時間、用戶、域名、密碼以及舊密碼。出現兩個密碼主要是用于記錄用戶更改了密碼的情況下。

    3.卸載WinlogonHack
    執行“Uninstall.bat”即可自動卸載該程序，如果“%systemroot%system32wminotify.dll”文件未能刪除，可以重啟后刪除！

    四、攻擊與防范方法探討

    1.攻擊方法探討
    （1）定制化開發
    WinlogonHack代碼是開源的，因此入侵者可以定制它，即在“lstrcat( LogPath , "\boot.dat");”代碼中姜boot.dat換成其它一個文件，執行Winlogonhack后，一般人員很難發覺。入侵者還可以在此基礎上增加一個郵件發送功能，姜記錄下來的3389遠程終端用戶名和密碼發送到指定的郵箱，筆者在安全加固過程中就曾經碰到過具有這種功能的3389密碼截取木馬軟件。

    （2）對WinlogonHack軟件做免殺處理
    由于WinlogonHack工具軟件在網絡入侵中扮演了一個重要的輔助角色，因此一些厲害的殺毒軟件會自動查殺wminotify.dll文件，如圖4所示，我在做試驗時，我的avast!殺毒軟件就能查出來，作為病毒處理。因此可以通過加花指令、修改特征碼等方法修改wminotify.dll文件，使其能夠繞過殺毒軟件。

    （3）WinlogonHack在攻擊中應用
    WinlogonHack工具軟件主要用于截取3389登錄密碼，因此在被入侵計算機上運行mstsc后，如果發現在mstsc的計算機地址欄目中出現有多個登錄IP地址列表，如圖5所示，那么在該計算機上就有安裝WinlogonHack軟件的必要，通過它來記錄在服務器上管理員所登錄的3389用戶名和密碼。

    2.防范方法探討
    （1）在系統目錄查找“wminotify.dll”文件，如果發現有這個文件，則說明系統中一定安裝了Winlogonhack工具，可以通過登錄一個3389終端來測試，系統目錄下是否存在boot.dat文件，如果存在，則可以嘗試使用“Uninstall.bat”批處理來卸載它，如果還不能卸載，可以重啟后再次卸載。

    （2）直接到注冊表的鍵值“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifywminotify”下進行查看，如果存在，則刪除即可。

    （3）對于定制的WinlogonHack比較難于根除，一個好的辦法就是在系統安全狀態下做一次文件名稱列表備份，以后每次檢測系統是通過比較系統目前狀態下的文件列表的異同來查看。

    （4）如果使用3389遠程終端登錄多臺服務器進行管理，最好在管理完畢后，及時清除3389登錄地址列表。

    （5）定期殺毒，殺毒軟件在一定程度上面能夠防范一些已知的病毒，因此勤殺毒，勤看日志，在確認系統被入侵后，一定要仔細徹底的做一邊系統的安全檢測。

我服務器上面裝的ESET還是能殺的，看來服務器安裝殺毒軟件很有必要

網站服務器密碼一定要有安全性可言，不然被攻入的機率很大！
這里特別推薦360的主機衛士是不錯的，大家可以在網站服務器上進行安裝！