偶遇/Program Files/Logonui/Logonui.exe,1CC3706C.EXE,dmmuykip.sys

偶遇/Program Files/Logonui/Logonui.exe,1CC3706C.EXE,dmmuykip.sys

endurer 原创
2007-11-16 第1版

刚才一位网友说他的电脑现在工作速度很慢，有时会弹出广告，让偶通过QQ远程协助。
让网友以带网络连接的安全模式启动，下载 pe_xscan 扫描 log，发现如下可疑项：

/===
pe_xscan 07-08-30 by Purple Endurer
2007-11-16 20:44:33
Windows XP Service Pack 2(5.1.2600)
管理员用户组

O20 - Winlogon UIHost: /Program Files/Logonui/Logonui.exe
O23 - 服务: BB7005AC (BB7005AC) - C:/WINDOWS/system32/1CC3706C.EXE -k(自动)
O23 - 服务: dmmuykip (dmmuykip) - System32/DRIVERS/dmmuykip.sys(引导)
===/

文件说明符 : C:/Program Files/Logonui/Logonui.exe
属性 : A---
语言 : 中文(中国)
文件版本 : 6.00.2800.1106 (xpsp1.020828-1920)
说明 : Windows Logon UI
版权 : (C) Microsoft Corporation. All rights reserved.
备注 :
产品版本 : 6.00.2800.1106
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : LOGONUI
源文件名 : LOGONUI.EXE
创建时间 : 2007-9-15 10:41:49
修改时间 : 2002-10-7 20:0:0
访问时间 : 2007-11-16 20:59:4
大小 : 561152 字节 548.0 KB
MD5 : e9f34ce03b34be56701452476495c1a1
SHA1: EA7D61752AFE4EAD5CE37EBC6D761FD3E5749ED2
CRC32: 62db7c88

Google了一下，安装ROYALE主题 后会出现 O20 项。

下载安装瑞星卡卡安全助手并启动，选择 [高级功能]中的[系统启动项管理]，在左边点击[服务项]，在右边找到BB7005AC，右击，从弹出的菜单里选择删除。

在左边点击[驱动]，在右边找到 dmmuykip，右击，从弹出的菜单里选择删除。

到 http://purpleendurer.ys168.com 下载 bat_do 将

C:/WINDOWS/system32/1CC3706C.EXE
C:/WINDOWS/System32/DRIVERS/dmmuykip.sys

打包备份，使用延迟删除，然后生成去除属性和删除命令并执行，再下次启动时执行。