IT运维管理,创造商业价值!
中国IT运维网首页 | 资讯中心 | 运维管理 | 信息安全 | CIO视界 | 云计算 | 最佳案例 | 运维资源 | 专题策划 | 知识库 | 论坛

新手也能对付病毒:全手工清除落雪

2007年01月31日
/

病毒介绍:

“落雪”顾名思义,就是说中了该木马后,向系统释放的病毒文件非常之多。该木马也叫“游戏大盗”( Trojan/PSW.GamePass,Trojan.PSW.Snow.a,Troj.LMir2.ky),由VB 程序语言编写,通过 北斗3.1 加壳处理,该木马文件一般是红色图标。

病毒运行后,在C盘program file以及windows目录下生成winlogon.exe、regedit.com等14个病毒文件,病毒文件之多比较少见,,事实上这14个不同文件名的病毒文件系同一种文件。病毒文件名被模拟成正常的系统工具名称,但是文件扩展名变成了 .com。江民反病毒工程师分析,这是病毒利用了Windows操作系统执行.com文件的优先级比EXE文件高的特性,这样,当用户调用系统配置文件Msconfig.exe的时候,一般习惯上输入 Msconfig,而这是执行的并不是微软的Msconfig.exe程序,而是病毒文件 Msconfig.com ,病毒作者的“良苦用心”由此可见。病毒另一狡诈之处还有,病毒还创建一名为winlogon.exe的进程,并把 winlogon.exe 的路径指向c:\windows\winlogon.exe,而正常的系统进程路径是C:\WINDOWS\system32\ winlogon.exe,以此达到迷惑用户的目的。

江民反病毒工程师介绍,除了在C盘下生成很多病毒文件外,病毒还修改注册表文件关联,每当用户点击html文件时,都会运行病毒。此外,病毒还在D盘下生成一个自动运行批处理文件,这样即使C盘目录下的病毒文件被清除,当用户打开D盘时,病毒仍然被激活运行。

中毒症状:

1、系统运行缓慢。

2、右下方任务栏的杀软和防火墙图标消失(被无故关闭)但杀软的右键扫描可用。

3、D盘双击打不开,D盘里面有autorun.inf和pagefile.com两个文件,其中autorun.inf为隐藏属性。

4、打开任务管理器,可以看到有一个当前用户所属的1.EXE在运行,或者是一个当前用户所属的一个大写的WINLOGON.EXE在运行。

5、打开注册表:在运行程序中运行“regedit”,会看到

(1)、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 项里有一个Torjan pragramme,这是木马。

(2)、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的"Shell"="Explorer.exe"已被改为"Shell"="Explorer.exe 1"。

6、可执行文件.exe打不开(包括杀软,防火墙)。

7、开机进入系统时会跳出一个警告框,说文件“1”找不到。(由于杀软查杀后,无法对木马更改的注册表项进行修复)。

病毒复活方式:

1、在开始-运行里运行:msocnfig,command,regedit这些命令,病毒将全部恢复。

2、双击病毒所有文件中的任何一个文件,病毒将完全恢复。

3、双击D盘。

中毒后对系统的改动:

向C盘释放:(其实都是同一个文件)

c:\windows\winlogon.exe
C:\WINDOWS\1.com
C:\WINDOWS\ExERoute.exe
C:\WINDOWS\iexplore.com
C:\WINDOWS\finder.com
C:\WINDOWS\system32\command.pif
C:\Windows\system32\command.com
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\finder.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\rundll32.com
C:\Windows\WINLOGON.EXE
C:\WINDOWS\services.exe
C:\WINDOWS\Debug\DebugProgramme.exe
C:\Program Files\Common Files\iexplore.com
C:\Program Files\Common Files\Microsoft Shared\MSInfo\msinfo.rr

向D盘释放:

D:\autorun.inf 
D:\pagefile.com

向注册表添加:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Torjan pragramme
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下
的"Shell"="Explorer.exe"已被改为"Shell"="Explorer.exe 1"。

处理方式:

一、GHOST法,(建议菜鸟及无手动清除病毒经验者使用)

1、先在D盘以外的其他盘新建了两个文本文件,在显示文件名扩展名的情况下,分别改为autorun.inf和pagefile.com,然后拷贝到D盘,覆盖了病毒在D盘的两个病毒源文件,这样这两个文件都可以正常显示了,随即直接删除,也可以在以后删除,D盘毒源就此清除。

2、然后GHOST一遍镜像,恢复系统到从前正常状态,至此OK,如果没有镜像,建议在第一步以后重新安装系统。

为什么不逐个清理病毒程序:

逐个清理病毒文件比较麻烦,操作需要经验加细心,由于病毒文件如上面非常多不小心运行了一个,或在开始-运行里运行msocnfig,command,regedit这些命令,或双击磁盘 ,所有的这些文件全会自己补充回来!并且清理完成后有些后遗症,例如某些文件打不开,IE需要修复等等。

二、逐个手动清理法(中途注意不要双击到其中任何一个文件)(必须在文件夹选项里打开显示隐藏文件及显示已知文件扩展名)

1、打开始菜单的运行,输入命令 regedit,进注册表,到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除Torjan pragramme

2、然后注销! 重新进入系统后到D盘(注意不要双击进入!否则又会激活这个病毒)右键,选“打开”,把pagefile.com和D:\autorun.inf删掉, 然后再到C盘把上面所列出来的文件都删掉,可以对比其他文件的日期判断。

3、头号文件WINLOGON.EXE在C:\Windows\WINLOGON.EXE 可能提示删不掉

可以用光盘启动进入DOS模式,把它的系统,隐藏属性去掉然后删除它!

手工病毒清除后的系统修复

1、把那些病毒文件删掉后,所有的exe文件全都打不开了,运行cmd也不行。

到C:\Windows\system32 里,把cmd.exe文件复制出来,比如到桌面,改名成cmd.com ,然后双击这个COM文件,然后行动可以进入到DOS下的命令提示符。再打入以下的命令:

assoc .exe=exefile (assoc与.exe之间有空格) 
ftype exefile="%1" %*

这样exe文件就可以运行了。或者用Regfix.exe,sreng.exe等工具修复,将扩展名EXE改成COM,就可打开。

2、开机跳出找不到文件“1.com”

在运行程序中运行“regedit”,打开注册表,在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]中

把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"

3、清除了这个出马出现IE不能下载 请在IE选项 然后安全 然后点默认级别就可以下载了。


发表评论请到:http://bbs.cnitom.com

相关阅读

图文热点

Power架构产品创新 IBM推动其本土化发展
Power架构产品创新 IBM推动其本土化发展自从1990年,IBM推出基于RISC系统的新产品线RS/6000(现称eServer p系列)之后,...
WAF:高校Web应用安全守护者
WAF:高校Web应用安全守护者最近几年高校网站被攻击的事件时有发生,造成了不良影响,因此越来越多的高校开始...

本类热点