首页    新闻    下载    文档    论坛     最新漏洞    黑客教程    数据库    搜索    小榕软件实验室怀旧版    星际争霸WEB版    最新IP准确查询   
名称: 密码:      忘记密码  马上注册
安全知识 :: 专题文章

落雪专杀工具及手工清除方法


http://www.gipsky.com/
“落雪”木马也叫“游戏大盗”( Trojan/PSW.GamePass),由VB 程序语言编写,通过 nSPack 3.1 加壳处理(即通常所说的“北斗壳”North Star),该木马文件图标一般是红色的图案,伪装成网络游戏的登陆器。



  “落雪”木马可以盗取包括魔兽世界、传奇世界、征途、梦幻西游、边锋游戏在内的多款网络游戏的帐号和密码,对网络游戏玩家的游戏装备构成了极大的威胁。



  病毒运行后,在C盘program file以及windows目录下生成winlogon.exe、regedit.com等14个病毒文件,病毒文件之多比较少见,,事实上这14个不同文件名的病毒文件系同一种文件,“落雪”之名亦可能由此而来。病毒文件名被模拟成正常的系统工具名称,但是文件扩展名变成了 .com。江民反病毒工程师分析,这是病毒利用了Windows操作系统执行.com文件的优先级比EXE文件高的特性,这样,当用户调用系统配置文件 Msconfig.exe的时候,一般习惯上输入 Msconfig,而这是执行的并不是微软的Msconfig.exe程序,而是病毒文件 Msconfig.com ,病毒作者的“良苦专心”由此可见。病毒另一狡诈之处还有,病毒还创建一名为winlogon.exe的进程,并把 winlogon.exe 的路径指向c:\windows\winlogon.exe,而正常的系统进程路径是C:\WINDOWS\system32\ winlogon.exe,以此达到迷惑用户的目的。



  除了在C盘下生成很多病毒文件外,病毒还修改注册表文件关联,每当用户点击 html文件时,都会运行病毒。此外,病毒还在D盘下生成一个自动运行批处理文件,这样即使C盘目录下的病毒文件被清除,当用户打开D盘时,病毒仍然被激活运行。这也是许多用户反映病毒屡杀不绝的原因。



  针对“落雪”病毒,江民杀毒软件KV系列产品已及时升级,用户只需升级病毒库到最新状态、开启病毒实时监控即可有效防杀该病毒,亦可使用江民未知病毒检测功能处理该病毒。没有安装杀毒软件的用户,也可以下载使用江民“落雪”木马专杀工具进行杀毒,以免遭“落雪”病毒侵害。



江民专杀下载:http://www.jiangmin.com/download/TrojanKiller.exe



手工查杀:



解决“落雪”病毒的方法



  病状:D盘双击打不开,里面有autorun.inf和pagefile.com文件

做这个病毒的人也太强了,在安全模式用Administrator一样解决不了!经过一个下午的奋战才算勉强解决。 我没用什么查杀木马的软件,全是手动一个一个把它揪出来把他删掉的。它所关联的文件如下,绝大多数文件都是显示为系统文件和隐藏的。 所以要在文件夹选项里打开显示隐藏文件。



D盘里就两个,搞得你无法双击打开D盘。里盘里的就多了!

D:\autorun.inf

D:\pagefile.com

C:\Program Files\Internet Explorer\iexplore.com

C:\Program Files\Common Files\iexplore.com

C:\WINDOWS\1.com

C:\WINDOWS\iexplore.com

C:\WINDOWS\finder.com

C:\WINDOWS\Exeroud.exe(忘了是不是这个名字了,红色图标有传奇世界图标的)

C:\WINDOWS\Debug\*** Programme.exe(也是上面那个图标,名字忘了-_- 好大好明显非隐藏的)

C:\Windows\system32\command.com 这个不要轻易删,看看是不是和下面几个日期不一样而和其他文件日期一样,假如和其他文件大部分系统文件日期一样就不能删,当然系统文件肯定不是这段时间的。

C:\Windows\system32\msconfig.com

C:\Windows\system32\regedit.com

C:\Windows\system32\dxdiag.com

C:\Windows\system32\rundll32.com

C:\Windows\system32\finder.com

C:\Windows\system32\a.exe



  对了,看看这些文件的日期,看看其他地方还有没有相同时间的文件还是.COM结尾的可疑文件,小心不要运行任何程序,要不就又启动了,包括双击磁盘还有一个头号文件!WINLOGON.EXE!做了这么多工作目的就是要杀掉她!!



C:\Windows\WINLOGON.EXE 这个在进程里可以看得到,有两个,一个是真的,一个是假的。

真的是小写winlogon.exe,(不知你们的是不是),用户名是SYSTEM,

而假的是大写的WINLOGON.EXE,用户名是你自己的用户名。



  这个文件在进程里是中止不了的,说是要害进程无法中止,搞得跟真的一样!就连在安全模式下它都会呆在你的进程里! 我现在所知道的就这些,要是不放心,就最好看一下其中一个文件的修改日期,然后用“搜索”搜这天修改过的文件,相同时间的肯定会出来一大堆的, 连系统还原夹里都有!! 这些文件会自己关联的,要是你删了一部分,不小心运行了一个,或在开始-运行里运行msocnfig,command,regedit这些命令,所有的这些文件全会自己补充回来!



  知道了这些文件,首先关闭可以关闭的所有程序,打开程序附件里头的WINDOWS资源治理器,并在上面的工具里头的文件夹选项里头的查看里设置显示所有文件和文件假,取消隐藏受保护操作系统文件,然后打开开始菜单的运行,输入命令 regedit,

进注册表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

里面,有一个Torjan pragramme,这个明摆着“我是木马”,删!!



  然后注销! 重新进入系统后,打开“任务治理器”,看看有没rundll32,有的话先中止了,不知这个是真还是假,小心为好。 到D盘(注重不要双击进入!否则又会激活这个病毒)右键,选“打开”,把autorun.inf和pagefile.com删掉,

然后再到C盘把上面所列出来的文件都删掉!中途注重不要双击到其中一个文件,否则所有步骤都要重新来过! 然后再注销。



  我在奋战过程中,把那些文件删掉后,所有的exe文件全都打不开了,运行cmd也不行。



  然后,到C:\Windows\system32 里,把cmd.exe文件复制出来,比如到桌面,改名成cmd.com .我也会用com文件,然后双击这个COM文件,然后行动可以进入到DOS下的命令提示符。



再打入以下的命令:

assoc .exe=exefile (assoc与.exe之间有空格)

ftype exefile="%1" %*



  这样exe文件就可以运行了。 假如不会打命令,只要打开CMD.COM后复制上面的两行分两次粘贴上去执行就可以了。



  但我在弄完这些之后,在开机的进入用户时会有些慢,并会跳出一个警告框,说文件"1"找不到。(应该是Windows下的1.com文件。),最后用上网助手之类的软件全面修复IE设置.



  最后说一下怎么解决开机跳出找不到文件“1.com”的方法:

在运行程序中运行“regedit”,打开注册表,在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"

大功告成!大家分享一下吧!







[最后修改由 , 于 2007-10-17 08:57:40]
<< 微软承认Adobe Acrobat漏洞系XP造成 《越狱》 第三季 第5集 预告片 >>
评分
10987654321
API:
gipsky.com& 安信网络
网友个人意见,不代表本站立场。对于发言内容,由发表者自负责任。

系统导航

 

Copyright © 2001-2010 安信网络. All Rights Reserved
京ICP备05056747号