当前位置: 电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文 |
|
|||
手工清除落雪(Trojan/PSW.GamePass) | |||
2006-9-13 17:35:00 文/未知 出处:电脑软硬件应用网 | |||
病毒介绍: “落雪”顾名思义,就是说中了该木马后,向系统释放的病毒文件非常之多。该木马也叫“游戏大盗”( Trojan/PSW.GamePass,Trojan.PSW.Snow.a,Troj.LMir2.ky),由VB 程序语言编写,通过北斗3.1 加壳处理,该木马文件一般是红色图标。 病毒运行后,在C盘program file以及windows目录下生成winlogon.exe、regedit.com等14个病毒文件,病毒文件之多比较少见,,事实上这14个不同文件名的病毒文件系同一种文件。病毒文件名被模拟成正常的系统工具名称,但是文件扩展名变成了 .com。江民反病毒工程师分析,这是病毒利用了Windows操作系统执行.com文件的优先级比EXE文件高的特性,这样,当用户调用系统配置文件 Msconfig.exe的时候,一般习惯上输入 Msconfig,而这是执行的并不是微软的Msconfig.exe程序,而是病毒文件 Msconfig.com ,病毒作者的“良苦用心”由此可见。病毒另一狡诈之处还有,病毒还创建一名为winlogon.exe的进程,并把 winlogon.exe 的路径指向c:windowswinlogon.exe,而正常的系统进程路径是C:WINDOWSsystem32 winlogon.exe,以此达到迷惑用户的目的。 中毒症状: 1:系统运行缓慢。 2:右下方任务栏的杀软和防火墙图标消失(被无故关闭)但杀软的右键扫描可用。 3:D盘双击打不开,D盘里面有autorun.inf和pagefile.com两个文件,其中autorun.inf为隐藏属性。 4:打开任务管理器,可以看到有一个当前用户所属的1.EXE在运行,或者是一个当前用户所属的一个大写的WINLOGON.EXE在运行。 5:打开注册表:在运行程序中运行“regedit”,会看到 (2):HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon下的"Shell"="Explorer.exe"已被改为"Shell"="Explorer.exe 1"。 6:exe文件打不开(包括杀软,防火墙)。 7:开机进入系统时会跳出一个警告框,说文件"1"找不到。(由于杀软查杀后,无法对木马更改的注册表项进行修复)。 病毒复活方式: 1:在开始-运行里运行:msocnfig,command,regedit这些命令,病毒将全部恢复。 2:双击病毒所有文件中的任何一个文件,病毒将完全恢复。 3:双击D盘。 中毒后对系统的改动: 向C盘释放:(其实都是同一个文件) c:windowswinlogon.exe 向D盘释放: D:autorun.inf 向注册表添加: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun Torjan pragramme 处理方式: 一:GHOST法,(建议菜鸟及无手动清除病毒经验者使用) 1:先在D盘以外的其他盘新建了两个文本文件,在显示文件名扩展名的情况下,分别改为autorun.inf和pagefile.com,然后拷贝到D 盘,覆盖了病毒在D盘的两个病毒源文件,这样这两个文件都可以正常显示了,随即直接删除,也可以在以后删除,D盘毒源就此清除。 为什么不逐个清理病毒程序: 逐个清理病毒文件比较麻烦,操作需要经验加细心,由于病毒文件如上面非常多不小心运行了一个,或在开始-运行里运行msocnfig,command, regedit这些命令,或双击磁盘 ,所有的这些文件全会自己补充回来!并且清理完成后有些后遗症,例如某些文件打不开,IE需要修复等等。 二:逐个手动清理法(中途注意不要双击到其中任何一个文件)(必须在文件夹选项里打开显示隐藏文件及显示已知文件扩展名) 1:打开始菜单的运行,输入命令 regedit,进注册表,到 手工病毒清除后的系统修复 1:把那些病毒文件删掉后,所有的exe文件全都打不开了,运行cmd也不行。 2:开机跳出找不到文件“1.com” 3:清除了这个出马出现IE不能下载 请在IE选项 然后安全 然后点默认级别就可以下载了。 |
|||
关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 | |
Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号 |