下面的文章主要是教会你如何手工清除落雪病毒,“落雪”顾名思义,就是说中了该木马后,向系统释放的病毒文件数量之多。该木马也叫“游戏大盗”由VB 程序语言编写,通过 北斗3.1 加壳处理,该木马文件一般是红色图标。
病毒运行后,在C盘program file以及windows目录下生成winlogon.exe、regedit.com等14个病毒文件,病毒文件之多比较少见,,事实上这14个不同文件名的病毒文件系同一种文件。病毒文件名被模拟成正常的系统工具名称,但是文件扩展名变成了 .com。江民反病毒工程师分析,这是病毒利用了Windows操作系统执行.com文件的优先级比EXE文件高的特性,这样,当用户调用系统配置文件Msconfig.exe的时候,一般习惯上输入 Msconfig,而这是执行的并不是微软的Msconfig.exe程序,而是病毒文件 Msconfig.com ,病毒作者的“良苦用心”由此可见。病毒另一狡诈之处还有,病毒还创建一名为winlogon.exe的进程,并把 winlogon.exe 的路径指向c:\windows\winlogon.exe,而正常的系统进程路径是C:\WINDOWS\system32\ winlogon.exe,以此达到迷惑用户的目的。
江民反病毒工程师介绍,除了在C盘下生成很多病毒文件外,病毒还修改注册表文件关联,每当用户点击html文件时,都会运行病毒。此外,病毒还在D盘下生成一个自动运行批处理文件,这样即使C盘目录下的病毒文件被清除,当用户打开D盘时,病毒仍然被激活运行。
中落雪毒症状:
1、系统运行缓慢。
2、右下方任务栏的杀软和防火墙图标消失(被无故关闭)但杀软的右键扫描可用。
3、D盘双击打不开,D盘里面有autorun.inf和pagefile.com两个文件,其中autorun.inf为隐藏属性。
4、打开任务管理器,可以看到有一个当前用户所属的1.EXE在运行,或者是一个当前用户所属的一个大写的WINLOGON.EXE在运行。
5、打开注册表:在运行程序中运行“regedit”,会看到
(1)、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 项里有一个Torjan pragramme,这是木马。
(2)、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的”Shell”=”Explorer.exe”已被改为”Shell”=”Explorer.exe 1″。
6、可执行文件.exe打不开(包括杀软,防火墙)。
7、开机进入系统时会跳出一个警告框,说文件“1”找不到。(由于杀软查杀后,无法对木马更改的注册表项进行修复)。
病毒复活方式:
1、在开始-运行里运行:msocnfig,command,regedit这些命令,病毒将全部恢复。
2、双击病毒所有文件中的任何一个文件,病毒将完全恢复。
3、双击D盘。
中毒后对系统的改动:
向C盘释放:(其实都是同一个文件)
c:\windows\winlogon.exe
C:\WINDOWS\1.com
C:\WINDOWS\ExERoute.exe
C:\WINDOWS\iexplore.com
C:\WINDOWS\finder.com
C:\WINDOWS\system32\command.pif
C:\Windows\system32\command.com
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\finder.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\rundll32.com
C:\Windows\WINLOGON.EXE
C:\WINDOWS\services.exe
C:\WINDOWS\Debug\DebugProgramme.exe
C:\Program Files\Common Files\iexplore.com
C:\Program Files\Common Files\Microsoft Shared\MSInfo\msinfo.rr
向D盘释放:
D:\autorun.inf
D:\pagefile.com
向注册表添加:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Torjan pragramme
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下
的”Shell”=”Explorer.exe”已被改为”Shell”=”Explorer.exe 1″。
落雪病毒处理方式:
一、GHOST法,(建议菜鸟及无手动清除病毒经验者使用)
1、先在D盘以外的其他盘新建了两个文本文件,在显示文件名扩展名的情况下,分别改为autorun.inf和pagefile.com,然后拷贝到D盘,覆盖了病毒在D盘的两个病毒源文件,这样这两个文件都可以正常显示了,随即直接删除,也可以在以后删除,D盘毒源就此清除。
2、然后GHOST一遍镜像,恢复系统到从前正常状态,至此OK,如果没有镜像,建议在第一步以后重新安装系统。
为什么不逐个清理病毒程序:
逐个清理病毒文件比较麻烦,操作需要经验加细心,由于病毒文件如上面非常多不小心运行了一个,或在开始-运行里运行msocnfig,command,regedit这些命令,或双击磁盘 ,所有的这些文件全会自己补充回来!并且清理完成后有些后遗症,例如某些文件打不开,IE需要修复等等。
二、逐个手动清理法(中途注意不要双击到其中任何一个文件)(必须在文件夹选项里打开显示隐藏文件及显示已知文件扩展名)
1、打开始菜单的运行,输入命令 regedit,进注册表,到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除Torjan pragramme
3、头号文件WINLOGON.EXE在C:\Windows\WINLOGON.EXE 可能提示删不掉
可以用光盘启动进入DOS模式,把它的系统,隐藏属性去掉然后删除它!
手工病毒清除后的系统修复
1、把那些病毒文件删掉后,所有的exe文件全都打不开了,运行cmd也不行。
到C:\Windows\system32 里,把cmd.exe文件复制出来,比如到桌面,改名成cmd.com ,然后双击这个COM文件,然后行动可以进入到DOS下的命令提示符。再打入以下的命令:
assoc .exe=exefile (assoc与.exe之间有空格)
ftype exefile=”%1″ %*
这样exe文件就可以运行了。或者用Regfix.exe,sreng.exe等工具修复,将扩展名EXE改成COM,就可打开。
2、开机跳出找不到文件“1.com”
在运行程序中运行“regedit”,打开注册表,在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]中
把”Shell”=”Explorer.exe 1″恢复为”Shell”=”Explorer.exe”
3、清除了这个出马出现IE不能下载 请在IE选项 然后安全 然后点默认级别就可以下载了。
【编辑推荐】
病毒删不掉怎么办?
中了病毒、木马不要着急,我来帮你: 这里的方法是总结的前辈们的经验,在此感谢他们!!!!! 其实中毒后的处理方法就是那么几种,但是借助杀毒软件用手工方法处理是最为 有效的!!!! 木马的查杀,可以采用自动和手动两种方式。 最简单的删除木马的方法是安装杀 毒软件(自动),现在很多杀毒软件能删除网络最猖獗的木马,建议安装金山毒霸 或安全之星XP,它们在查杀木马方面很有一套! 由于杀毒软件的升级多数情况下慢于木马的出现,因此学会手工查杀非常必要。 方法是: 1.)检查注册表 看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curren Version和 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下,所有 以“Run”开头的键值名,其下有没有可疑的文件名。 如果有,就需要删除相应的 键值,再删除相应的应用程序。 2.)检查启动组 木马们如果隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场 所,因此还是有木马喜欢在这里驻留的。 启动组对应的文件夹为:C:\windows\ start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Startup=C:\windows\start menu\programs\startup。 要注意经 常检查这两个地方哦! 3.)以及也是木马们喜欢的隐蔽场所,要注意这些地方 比方说,的[Windows]小节下的load和run后面在正常情况下是没有跟什么 程序的,如果有了那就要小心了,看看是什么;在的[Boot]小节的 Shell=后面也是加载木马的好场所,因此也要注意这里了。 当你看 到变成这样:Shell= ,请注意那个很有可 能就是木马服务端程序!赶快检查吧。 4.)对于下面所列文件也要勤加检查,木马们也很可能隐藏在那里 C:\windows\、C:\windows\、。 5.)如果是EXE文件启动,那么运行这个程序,看木马是否被装入内存,端口是否 打开。 如果是的话,则说明要么是该文件启动木马程序,要么是该文件捆绑了木 马程序,只好再找一个这样的程序,重新安装一下了。 6.)万变不离其宗,木马启动都有一个方式,它只是在一个特定的情况下启动 所以,平时多注意一下你的端口,查看一下正在运行的程序,用此来监测大部分 木马应该没问题的。 另外,你也可以试试用下面的办法来解决: 从网上下一个叫“冰刃”的软件。 这是一个绿色免安装的小软件,可以放心使用 。 这个是下载地址。 这个是它的详细用法。 一般来说,不管是木马、病毒进入我们的机器后都是“三隐”的即隐进程、隐服 务、隐文件的,利害的能将杀毒软件有实时监控给杀死!但在这个冰刃里,它是 无法遁身的。 开启的非法进程会以红色显示出来。 至于杀毒软件,应该说各人有各人的喜好,下面给出的链接上你看看比较一下: 六款主流杀毒软件横向评测消费者该如何选择?六款杀毒软件横向评测(这个要详细些)
移动硬盘怎么要选择打开方式
可以记住啊~有选择的~中了落雪病毒,打开移动硬盘,查看里面的隐藏的受保护的系统文件,删掉它中了 或病毒了。 用瑞星杀毒,然后你可在文件夹选项中将受保护的系统文件和所有文件以及文件的扩展名全显示出来,不要理会它的警告,点是,然后确定。 搜索这个 或文件,或在出问题的盘中搜索,搜索出来后全部删除,记得要在回收站删除了,不然会恢复的。 最好再去注册表中查找几遍,删除干净。 注册表可以在运行中输入regedit,就进去了。 这是个小病毒的,手动可以删除了,是一种自动启动的病毒,一般是从U盘传染的,使你的磁盘不能双击打开而只能右键打开或选择打开方式。 不放心的话可在所有的盘中搜索,记得它是隐藏在受保护的系统文件中啊,删除它时还出现警告,其实没事的,它只有在光盘中出现才是正常的。 最后可能还得注销或重启才管用。
怎样删除各setup.exe病毒
打开“文件”类型的文件需要该程序。 键入要使用的可执行文件:C: ------------说明:这类病情症状并不是唯一的,无法找到的内容可能不一样.有时可能是Windows无法找到或显示控制面版什么的 这是因为病毒在驱动器下面写入了一个文件.解决方法如下(以D盘为例): 开始---运行---cmd(打开命令提示符) (也可以在工具-文件夹选项-查看中选中显示所有文件及文件夹) D: dir /a (没有参数A是看不到的,A是显示所有的意思) 此时你会发现一个文件 attrib -s -h -r 去掉文件的系统、只读、隐藏属性,否则无法删除 , del 到这里还没完,因为你双击了D盘盘符没有打开却得到一个错误。 要求定位, 这个时候自动运行的信息已经加入注册表了。 下面清除注册表中相关信息: 开始 运行 regedit 编辑 查找 或是查找autorun 找到的第一个就是D盘的自动运行,删除整个shell子键(注意,删的时候一定要是shell这个子健,如果查找的是别的项或子键,一定不要乱删) 完毕. 重复以上操作数次,解决其他驱动器的问题! 回答者:瞑王星 - 千总 四级 5-25 14:10U盘病毒,每个盘下面都会有的,打开这个文件,里面会有一个可以连接的文件,要将这个文件也一起删掉,要不然,你每次双击打开盘符的时候,都会自动复制这些病毒. 用右击打开的方式,删掉这些东西,不要双击 U盘也会感染的,插入U盘的时候,按着键盘上的shift键, 一直等U盘加载完成,到里边删掉这些文件就好了. 现在大家经常用u盘交换资源,u盘给我们带来了很大方便,同给我们带来安全隐患. 最近在网络上流行一个叫“”的病毒,它最初的表现为在你的电脑里面,右键单击各个盘符的时候,第一项由原来的“打开”变成了“自动播放”,然后在你的系统进程里面会出现若干个“rose”的进程,占用电脑的CPU资源。 传播方式:通过U盘、MP3 、移动硬盘等移动存储设备传播,一般表现为移动存储设备内东西无法剪切、移动存储设备无法移出等,尤其在公用电脑上表现极为明显,目前我已经在校新闻实验中心、校广播台、校外打印店、照相馆等公共电脑场所发现该病毒,且愈演愈烈,另外在很多同学的电脑或者移动存储设备上发现该病毒,传播极为迅速。 病毒危害 1、在系统中占用大量cpu资源。 2、在每个分区下建立 和 2个文件,且它们都隐藏系统保护文件之内,无论你怎样搜索都找不到,但是在双击该盘符时病毒就自动运行了。 3、若你继续无视该病毒,可能会引起部分操作系统崩溃,表现在开机自检后直接并反复重启,无法进入系统,简单的说就是你电脑突然死机了,然后就再也开不了机。 即便在你重新格式化C盘,重新安装系统之后,你只是清除了C盘的该病毒,但是它在其他盘下仍然存在,且会再次发作。 杀毒方式 我也是中了此毒,被折腾得够呛,也重装了电脑,花了点时间从网上去学习,才有此切身经验,现在根据以往别人提供的方法,再结合自己的经验,希望对各位电脑中毒的同学有所帮助,也希望能引起其他没中毒的同学的重视。 具体方法如下: 1、按Ctrl+Alt+Delete调出任务管理器,在进程页面中结束掉所有名称为的进程(建议在后面的操作中反复此操作,以确保病毒文件不会反复发作)。 2、在开始--运行中输入“regedit”(XP系统)打开注册表,点“编辑”——“查找”,在弹出的对话框中输入“”,找到后将整个shell子键删除,然后继续按F3查找下一个,继续删除查找到有关的键值,直到显示为“注册表搜索完毕”为止。 3、在我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉。 4、对每个盘符点右键-打开进入(切记不能双击),删掉所有的和文件。 如果删除时候提示不能删除,可将这两个文件的属性由“只读”改为“存档。 若还不能删除,则重启电脑,在自检时按F8进入到安全模式下去删除。 预防办法 1、当别人将U盘插入自己的电脑,当出现操作提示框时,不要选择任何操作,关掉。 2、进入我的电脑,从地址下拉列表中选择U盘并进入,或者右键单击可移动磁盘,在弹出的菜单中选择“打开”进入。 千万不要直接点击U盘的盘符进去,否则会立刻激活病毒! 3、在我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉,你会看到U盘中出现了“”和“”两个文件,直接删除! 4、在开始--运行中输入“regedit”(XP系统)打开注册表,点“编辑”——“查找”,在弹出的对话框中输入“”,找到后将整个shell子键删除,然后继续按F3查找下一个,继续删除查找到有关的键值,直到显示为“注册表搜索完毕”为止。 手工清除感染U盘的病毒 感染U盘文件的病毒,它的表现特征: U盘插入后,即被写入、以及很多的病毒文件,以相似图标冒充mp3和doc文档;任务管理器打开察看,有名为的进程。 此病毒名为.b(移动杀手),可感染Win95以上的操作系统,以及MP3、U盘、软盘等存储媒体 病毒根治: 1.不要插U盘 2.在任务管理器中将 结束 3.在C盘查找文件, ,如果系统是XP还需要在高级选项中选中查找隐藏文件,找到后删除 4.打开资源管理器,找到文件夹 c:\Documents and settings\All Users\[开始]菜单\程序\启动 将其中的 Windows word 这个文件删掉(现在看不到看不到它的扩展名其实是exe) 5.运行regedit,将开机运行项目中的清除 在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (另有资料表明:该病毒还创建了 c:\windows\system32\ , 并将之加入了注册表启动项里,不过我这里没发现这种情况) 后遗症的治疗:经该病毒感染后,系统无法显示隐藏文件和文件扩展名,即使去文件夹选项中去改设置也没用,这时需要手工去注册表改 6.显示所有文件和文件夹在 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \Advanced\Folder\Hidden\SHOWALL] 将CheckedValue的值改为1 7.取消隐藏已知文件的扩展名 在 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \Advanced\Folder\HiddenFileExt] 将 CheckedValue的值改为0 改完后,去文件夹选项看,在选显示所有文件和文件夹已恢复正常了 8.插上U盘,将其中的*文件全部删除 基本上就杀灭完成了 U盘病毒的预防 U盘病毒的感染,一部分是用户去点击运行U盘上的可执行文件感染的,另一部分是由于移动存储设备插入时启用了自动播放而感染的。 所以,要防止U盘病毒的再感染,有必要限制移动存储设备的自动播放功能。 9.使用组策略一次性全部关闭自动播放功能: ① 点击“开始”选择“运行”,键入“”,并运行,打开“组策略”窗口; ② 在左栏的“本地计算机策略”下,打开“计算机配置_管理模板_系统”,然后在右栏的“设置”标题下,双击“关闭自动播放”; ③ 选择“设置”选项卡,勾取“已启用”复选钮,然后在“关闭自动播放”框中选择“所有驱动器”,单击“确定”按钮,退出“组策略”窗口。 在“用户配置”中同样也可以定制这个“关闭自动播放”。 但“计算机配置”中的设置比“用户配置”中的设置范围更广。 有助于多个用户都使用这样的设置。 手工清除感染U盘的病毒 手工删除的过程: 1.调出任务管理器,把进程里的结束掉。 2.打开注册表,去掉 [HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Run] 下的启动项。 3.打开CMD窗口(DOS),进入 X:\Windows 目录, 键入命令 Attrib -h -s -r ,再键入 Del 。 重启电脑,再看任务管理器里还有没有 ,没有就成功了。 一定要确定被清除了!你的Word文档才能解封,要不下面会怎么样还不知道。 用资源管理器进入Window\wj的目录看看,你电脑上所有的Word文档都在这里,只是被更名成了命令文件()。 进入命令行模式,cd c:\Window\wj 用命令ren * * 这样病毒清除的word文档都在你面前了唯一遗憾的是:你需要从新分类 放到原来的文件夹里面 因为开机运行的所产生的文件已经删除 里面保存了病毒删除word文件的具体路径 文件内容为:dir */a/b/s >>c:\ 实际意义就是:将doc文件去掉各种属性 列出 并将其路径保存到文件里面 病毒专杀最近似乎很多朋友的D E 盘都双击打不开,我朋友的电脑也中过~后来找了很多方法~发现了这款专杀,反正我朋友的电脑是被我救活了~反正中了也试试看啊!记住杀好了直接重启(最好在安全模式下杀)~不要双击D E 盘!还有这个病毒靠U盘传播速度超快~大家以后插了U盘都右键打开!双击有毒盘就中了~切记~!防范才是关键! 关键是在插U盘时候按住shift键以防止病毒随U盘自动运行(大概5秒),等盘符出现后,右键打开.按照如图1,图2做(选择相应选项),一般就会出现一些隐藏的文件,打开文件,将里面涉及到几个dll与exe文件从U盘里面删除,最后关闭文件,并且删除它,退出U盘,OK了.祝好运. ========================== 建议使用360安全卫士 AVG 超级巡警!!!! 来查杀木马!! 用瑞星或卡巴斯基来查杀病毒!! =================== 1、按Ctrl+Alt+Delete调出任务管理器,在进程页面中结束掉所有名称为病毒的进程(建议在后面的操作中反复此操作,以确保病毒文件不会反复发作)。 2、在开始--运行中输入“regedit”(XP系统)打开注册表,点“编辑”——“查找”,在弹出的对话框中输入病毒文件名,找到后全删。 3、在我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉,你会看到出现了你所说的文件名的文件,直接删除
发表评论