新手也能對付病毒:全手工清除落雪病毒
下面的文章主要是教會你如何手工清除落雪病毒,“落雪”顧名思義,就是說中了該木馬后,向系統釋放的病毒文件數量之多。該木馬也叫“游戲大盜”由VB 程序語言編寫,通過 北斗3.1 加殼處理,該木馬文件一般是紅色圖標。
病毒運行后,在C盤program file以及windows目錄下生成winlogon.exe、regedit.com等14個病毒文件,病毒文件之多比較少見,,事實上這14個不同文件名的病毒文件系同一種文件。病毒文件名被模擬成正常的系統工具名稱,但是文件擴展名變成了 .com。江民反病毒工程師分析,這是病毒利用了Windows操作系統執行.com文件的優先級比EXE文件高的特性,這樣,當用戶調用系統配置文件Msconfig.exe的時候,一般習慣上輸入 Msconfig,而這是執行的并不是微軟的Msconfig.exe程序,而是病毒文件 Msconfig.com ,病毒作者的“良苦用心”由此可見。病毒另一狡詐之處還有,病毒還創建一名為winlogon.exe的進程,并把 winlogon.exe 的路徑指向c:\windows\winlogon.exe,而正常的系統進程路徑是C:\WINDOWS\system32\ winlogon.exe,以此達到迷惑用戶的目的。
江民反病毒工程師介紹,除了在C盤下生成很多病毒文件外,病毒還修改注冊表文件關聯,每當用戶點擊html文件時,都會運行病毒。此外,病毒還在D盤下生成一個自動運行批處理文件,這樣即使C盤目錄下的病毒文件被清除,當用戶打開D盤時,病毒仍然被激活運行。
中落雪毒癥狀:
1、系統運行緩慢。
2、右下方任務欄的殺軟和防火墻圖標消失(被無故關閉)但殺軟的右鍵掃描可用。
3、D盤雙擊打不開,D盤里面有autorun.inf和pagefile.com兩個文件,其中autorun.inf為隱藏屬性。
4、打開任務管理器,可以看到有一個當前用戶所屬的1.EXE在運行,或者是一個當前用戶所屬的一個大寫的WINLOGON.EXE在運行。
5、打開注冊表:在運行程序中運行“regedit”,會看到
(1)、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 項里有一個Torjan pragramme,這是木馬。
(2)、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的"Shell"="Explorer.exe"已被改為"Shell"="Explorer.exe 1"。
6、可執行文件.exe打不開(包括殺軟,防火墻)。
7、開機進入系統時會跳出一個警告框,說文件“1”找不到。(由于殺軟查殺后,無法對木馬更改的注冊表項進行修復)。
病毒復活方式:
1、在開始-運行里運行:msocnfig,command,regedit這些命令,病毒將全部恢復。
2、雙擊病毒所有文件中的任何一個文件,病毒將完全恢復。
3、雙擊D盤。
中毒后對系統的改動:
向C盤釋放:(其實都是同一個文件)
c:\windows\winlogon.exe
C:\WINDOWS\1.com
C:\WINDOWS\ExERoute.exe
C:\WINDOWS\iexplore.com
C:\WINDOWS\finder.com
C:\WINDOWS\system32\command.pif
C:\Windows\system32\command.com
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\finder.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\rundll32.com
C:\Windows\WINLOGON.EXE
C:\WINDOWS\services.exe
C:\WINDOWS\Debug\DebugProgramme.exe
C:\Program Files\Common Files\iexplore.com
C:\Program Files\Common Files\Microsoft Shared\MSInfo\msinfo.rr
向D盤釋放:
D:\autorun.inf
D:\pagefile.com
向注冊表添加:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Torjan pragramme
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下
的"Shell"="Explorer.exe"已被改為"Shell"="Explorer.exe 1"。
落雪病毒處理方式:
一、GHOST法,(建議菜鳥及無手動清除病毒經驗者使用)
1、先在D盤以外的其他盤新建了兩個文本文件,在顯示文件名擴展名的情況下,分別改為autorun.inf和pagefile.com,然后拷貝到D盤,覆蓋了病毒在D盤的兩個病毒源文件,這樣這兩個文件都可以正常顯示了,隨即直接刪除,也可以在以后刪除,D盤毒源就此清除。
2、然后GHOST一遍鏡像,恢復系統到從前正常狀態,至此OK,如果沒有鏡像,建議在第一步以后重新安裝系統。
為什么不逐個清理病毒程序:
逐個清理病毒文件比較麻煩,操作需要經驗加細心,由于病毒文件如上面非常多不小心運行了一個,或在開始-運行里運行msocnfig,command,regedit這些命令,或雙擊磁盤 ,所有的這些文件全會自己補充回來!并且清理完成后有些后遺癥,例如某些文件打不開,IE需要修復等等。
二、逐個手動清理法(中途注意不要雙擊到其中任何一個文件)(必須在文件夾選項里打開顯示隱藏文件及顯示已知文件擴展名)
1、打開始菜單的運行,輸入命令 regedit,進注冊表,到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 刪除Torjan pragramme
2、然后注銷! 重新進入系統后到D盤(注意不要雙擊進入!否則又會激活這個病毒)右鍵,選“打開”,把pagefile.com和D:\autorun.inf刪掉, 然后再到C盤把上面所列出來的文件都刪掉,可以對比其他文件的日期判斷。
3、頭號文件WINLOGON.EXE在C:\Windows\WINLOGON.EXE 可能提示刪不掉
可以用光盤啟動進入DOS模式,把它的系統,隱藏屬性去掉然后刪除它!
手工病毒清除后的系統修復
1、把那些病毒文件刪掉后,所有的exe文件全都打不開了,運行cmd也不行。
到C:\Windows\system32 里,把cmd.exe文件復制出來,比如到桌面,改名成cmd.com ,然后雙擊這個COM文件,然后行動可以進入到DOS下的命令提示符。再打入以下的命令:
assoc .exe=exefile (assoc與.exe之間有空格)
ftype exefile="%1" %*
這樣exe文件就可以運行了。或者用Regfix.exe,sreng.exe等工具修復,將擴展名EXE改成COM,就可打開。
2、開機跳出找不到文件“1.com”
在運行程序中運行“regedit”,打開注冊表,在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]中
把"Shell"="Explorer.exe 1"恢復為"Shell"="Explorer.exe"
3、清除了這個出馬出現IE不能下載 請在IE選項 然后安全 然后點默認級別就可以下載了。
以上的相關內容就是對新手也能對付病毒:全手工清除落雪病毒的介紹,望你能有所收獲。
【編輯推薦】
