MSE防毒重覆偵測到winlogons.exe

winlogons.exe 蠕蟲病毒附件下載

chenbbs 2018-09-25 20:18:33 ‧ 1982 瀏覽

分享至

檔案名稱:winlogons.exe
防毒軟體:microsoft security essential
作業系統：windows 7
類別: 工具
描述: 此程式會用於建立病毒、病蟲及其他惡意程式碼。
建議的動作: 立即移除此軟體。
項目: file:C:\Windows\debug\winlogons.exe
線上檢視有關此項目的詳細資訊。

上週五開始公司有幾台電腦安裝的MSE會不定時偵測出異常的winlogons.exe
https://i.imgur.com/mIuPamn.png

主要影響
(1)gmail的附件無法下載
(2)Windows live mail的附件無法點擊開啟

必須將偵測到的項目完全移除後再重開機，上述的功能才能恢復正常
但隔天一開機使用，不久又會被MSE偵測到，附件下載的功能又會失效
不知道要怎麼解決？

看更多先前的討論...收起先前的討論...

小魚 iT邦大師 1 級 ‧ 2018-09-25 20:24:11 檢舉

感覺需要備份跟重灌...

CalvinKuo iT邦大師 7 級 ‧ 2018-09-26 09:05:36 檢舉

找一台試試AdwCleaner看看有沒有解...
往好處想，MSE至少擋住載體免得擴散。除了重灌，也要找套管多一點的防毒軟體...
https://www.malwarebytes.com/adwcleaner/

gn0912211119 iT邦新手 3 級 ‧ 2018-09-26 09:40:53 檢舉

這個很難搞，如果光看圖片的話，這個東西早前常被拿來挖礦，我自己公司也中過一次，你公司內部有沒有中控的防毒軟體? 有的話就設定一下找個中午休息的時間進行全公司的掃毒吧

chenbbs iT邦新手 4 級 ‧ 2018-09-26 13:39:37 檢舉

謝謝大家提供的意見，目前觀察到大概是上午及下午會各被偵測到一次，有對幾台偵測到Win32:CeeInject的電腦進行掃毒，但還沒有找到感染源，最下下策就是全部重灌了XD

chenbbs iT邦新手 4 級 ‧ 2018-09-29 23:37:57 檢舉

來回報下後續，最終把電腦全部重灌，目前已經沒有出現偵測的提示

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

1 個回答

Ray

iT邦大神 1 級 ‧ 2018-09-25 23:00:42

根據你的圖片, 被偵測到的是 Win32:CeeInject, 這不是一種單一的病毒, 而是一種被多款惡意木馬程式使用的隱藏技術, 他會先附身在一個載體程式內, 當這個載體被順利安裝到系統內之後, 他自己才會開始化身為一隻獨立的程式, 進行他的木馬任務, 近期幾年 Win32:CeeInject 技術被廣泛用於植入虛擬幣挖礦程式.

你的 Winlogins.exe 有可能只是他的載體, 所以感染源可能還在別處躲藏, 你應該對電腦以及所有儲存裝置(包含 USB, NAS 等)進行徹底的全面掃毒, 如果全部掃毒仍找不出感染源的話, 應該立即重新格式化公司網路內可以讀取的所有硬碟, 並且重新安裝每一台作業系統.