新手也能对付病毒：全手工清除落雪

病毒介绍：

“落雪”顾名思义，就是说中了该木马后，向系统释放的病毒文件非常之多。该木马也叫“游戏大盗”（ Trojan/PSW.GamePass,Trojan.PSW.Snow.a，Troj.LMir2.ky），由VB 程序语言编写，通过 北斗3.1 加壳处理，该木马文件一般是红色图标。

病毒运行后，在C盘program file以及windows目录下生成winlogon.exe、regedit.com等14个病毒文件，病毒文件之多比较少见，，事实上这14个不同文件名的病毒文件系同一种文件。病毒文件名被模拟成正常的系统工具名称，但是文件扩展名变成了 .com。江民反病毒工程师分析，这是病毒利用了Windows操作系统执行.com文件的优先级比EXE文件高的特性，这样，当用户调用系统配置文件Msconfig.exe的时候，一般习惯上输入 Msconfig，而这是执行的并不是微软的Msconfig.exe程序，而是病毒文件 Msconfig.com ，病毒作者的“良苦用心”由此可见。病毒另一狡诈之处还有，病毒还创建一名为winlogon.exe的进程，并把 winlogon.exe 的路径指向c:\windows\winlogon.exe，而正常的系统进程路径是C:\WINDOWS\system32\ winlogon.exe，以此达到迷惑用户的目的。

江民反病毒工程师介绍，除了在C盘下生成很多病毒文件外，病毒还修改注册表文件关联，每当用户点击html文件时，都会运行病毒。此外，病毒还在D盘下生成一个自动运行批处理文件，这样即使C盘目录下的病毒文件被清除，当用户打开D盘时，病毒仍然被激活运行。

中毒症状：

1、系统运行缓慢。

2、右下方任务栏的杀软和防火墙图标消失（被无故关闭）但杀软的右键扫描可用。

3、D盘双击打不开，D盘里面有autorun.inf和pagefile.com两个文件，其中autorun.inf为隐藏属性。

4、打开任务管理器，可以看到有一个当前用户所属的1.EXE在运行，或者是一个当前用户所属的一个大写的WINLOGON.EXE在运行。

5、打开注册表：在运行程序中运行“regedit”，会看到

（1）、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 项里有一个Torjan pragramme，这是木马。

（2）、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的"Shell"="Explorer.exe"已被改为"Shell"="Explorer.exe 1"。

6、可执行文件.exe打不开（包括杀软，防火墙）。

7、开机进入系统时会跳出一个警告框，说文件“1”找不到。（由于杀软查杀后，无法对木马更改的注册表项进行修复）。

病毒复活方式：

1、在开始－运行里运行：msocnfig，command，regedit这些命令，病毒将全部恢复。

2、双击病毒所有文件中的任何一个文件，病毒将完全恢复。

3、双击D盘。

中毒后对系统的改动：

向C盘释放：（其实都是同一个文件）

c:\windows\winlogon.exe

C:\WINDOWS\1.com

C:\WINDOWS\ExERoute.exe

C:\WINDOWS\iexplore.com

C:\WINDOWS\finder.com

C:\WINDOWS\system32\command.pif

C:\Windows\system32\command.com

C:\WINDOWS\system32\dxdiag.com

C:\WINDOWS\system32\finder.com

C:\WINDOWS\system32\MSCONFIG.COM

C:\WINDOWS\system32\regedit.com

C:\WINDOWS\system32\rundll32.com

C:\Windows\WINLOGON.EXE

C:\WINDOWS\services.exe

C:\WINDOWS\Debug\DebugProgramme.exe

C:\Program Files\Common Files\iexplore.com

C:\Program Files\Common Files\Microsoft Shared\MSInfo\msinfo.rr

D:\autorun.inf 

D:\pagefile.com

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Torjan pragramme

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下

的"Shell"="Explorer.exe"已被改为"Shell"="Explorer.exe 1"。

处理方式：

一、GHOST法，（建议菜鸟及无手动清除病毒经验者使用）

1、先在D盘以外的其他盘新建了两个文本文件，在显示文件名扩展名的情况下，分别改为autorun.inf和pagefile.com，然后拷贝到D盘，覆盖了病毒在D盘的两个病毒源文件，这样这两个文件都可以正常显示了，随即直接删除，也可以在以后删除，D盘毒源就此清除。

2、然后GHOST一遍镜像，恢复系统到从前正常状态，至此OK，如果没有镜像，建议在第一步以后重新安装系统。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有