此病毒雖已成為過去,但問題比較經典,現把查殺方法寫出來,舉一反三,希望對大家有所幫助! 這個木馬可能會釋放出QQ尾巴msinfo.rx是在C:/Program Files/Common Files/microsoft shared/msinfo/內,是隱藏文件,啟動QQ后會加載到QQ.exe、TIMPlatform.exe線程內,可在安全模式下刪除。另C:/Program Files/Internet Explorer/PLUGINS內也會生成systme.sys木馬文件,安全模式下可刪除!這是在清理同事機器時發現的,是否和“落雪”關聯,還不清楚,大家要注意下。 同事的機器種病毒了,我檢查了一下,發現進程里多出一個大寫的WINLOGON,是在winnt目錄下的,而正常情況下,這個進程應該是在winnt/system32目錄下的,看來一定有鬼。 查了下注冊表的啟動項,里面果然有個異常的Torjan pragramme,可以換到安全模試下刪除后,重啟又會出現,看來這個東西不簡單。 上網搜了下,原來是個叫“落雪”的病毒,好美的名字啊。 下面把搜到的解決方法分享下: 這個進程是不是一個傳奇世界程序的圖標使用51破解版傳家寶會生產一個WINLOGON.EXE進程,正常的winlogon系統進程,其用戶名為“SYSTEM” 程序名為小寫winlogon.exe。而偽裝成該進程的木馬程序其用戶名為當前系統用戶名,且程序名為大寫的WINLOGON.exe。進程查看方式 ctrl+alt+del 然后選擇進程。正常情況下有且只有一個winlogon.exe進程,其用戶名為“SYSTEM”。如果出現了兩個winlogon.exe,且其中一個為大寫,用戶名為當前系統用戶的話,表明可能存在木馬。 這個木馬非常厲害,能破壞掉木馬克星,使其不能正常運行。目前我使用其他殺毒軟件未能查出。那個WINDOWS下的WINLOGON.EXE確實是病毒,但是,她不過是這個病毒中的小角色而已,大家打開D盤看看是否有一個pagefile的DOS指向文件和一個autorun.inf文件了,呵呵,當然都是隱藏的,刪這幾個沒用的,因為她關聯了很多東西,甚至在安全模式都難搞,只要運行任何程序,或者雙擊打開D盤,她就會重新被安裝了,呵呵,這段時間很多人被盜就是因為這個破解的傳家寶了,而且殺毒軟件查不出來,有人叫這個病毒為 ”落雪“ 是專門盜傳奇傳奇世界的木馬,至于會不會盜其他帳號如QQ,網銀 就看她高興了,呵呵,估計也都是一并錄制。不怕毒和要減少損失的最好開啟防火墻阻止除了自己信任的幾個常用任務出門,其他的全部阻擋,當然大家最好盡快備份,然后關門殺毒包括方新等修改過的51pywg傳家寶,和他們破解的其他一切外掛,這次嫌疑最大的是51PYWG,至于其他合作網站估計也逃不了關系,特別是方新網站,已經被證實過多次在網站放木馬,雖然他解釋是被黑了,但是不能排除其他可能,特別小心那些啟動后連接網站的外掛,不排除啟動器本身就有毒,反正一句話,這種啟動就連接某網站的破解軟件最容易放毒,至于什么時候放,怎么方,比如一天放幾個小時,都要看他怎么爽,用也盡量用那種完全本地破解驗證版的,雖然掛盟現在好像還沒發現被放馬或者自己放,但是千萬小心,,最近傳奇世界傳奇N多人被盜號,目標直指這些網站,以下是最近特別毒的WINLOGON.EXE盜號病毒清除方法,注意這個假的WINLOGON.EXE是在WINDOWS下,進程里頭表現為當前用戶或ADMINISTRATOR.另外一個 SYSTEM的winlogon.exe是正常的,那個千萬不要亂刪,看清楚了,前面一個是大寫,后面一個是小寫,而且經部分網友證實,此文件連接目的地為河南。 解決“落雪”病毒的方法 癥狀:D盤雙擊打不開,里面有autorun.inf和pagefile.com文件 做這個病毒的人也太強了,在安全模式用Administrator一樣解決不了!經過一個下午的奮戰才算勉強解決。 我沒用什么查殺木馬的軟件,全是手動一個一個把它揪出來把他刪掉的。它所關聯的文件如下,絕大多數文件都是顯示為系統文件和隱藏的。 所以要在文件夾選項里打開顯示隱藏文件。 D盤里就兩個,搞得你無法雙擊打開D盤。C盤里盤里的就多了! D:/autorun.inf D:/pagefile.com C:/Program Files/Internet Explorer/iexplore.com C:/Program Files/Common Files/iexplore.com C:/WINDOWS/1.com C:/WINDOWS/iexplore.com C:/WINDOWS/finder.com C:/WINDOWS/Exeroud.exe(忘了是不是這個名字了,紅色圖標有傳奇世界圖標的) C:/WINDOWS/Debug/*** Programme.exe(也是上面那個圖標,名字忘了-_- 好大好明顯非隱藏的) C:/Windows/system32/command.com 這個不要輕易刪,看看是不是和下面幾個日期不一樣而和其他文件日期一樣,如果和其他文件大部分系統文件日期一樣就不能刪,當然系統文件肯定不是這段時間的。 C:/Windows/system32/msconfig.com C:/Windows/system32/regedit.com C:/Windows/system32/dxdiag.com C:/Windows/system32/rundll32.com C:/Windows/system32/finder.com C:/Windows/system32/a.exe |