信息来源:中国网盟论坛(
http://bbs.bitscn.com)
关于"落雪"这个病毒,今天在网盟有位朋友PM问过我,他问我任何更好的防范和杀毒."落雪"是一个专门盗游戏的病毒.但是我要说的是现在的杀毒软件其实都是比较好用的,但是有的是因为自身的系统不支持或者是没有彻底完全杀毒,漏掉了一些病毒程序,或者忽略了一些病毒进程,比如潜在在注册表,系统程序里的,(对于系统程序里有个病毒,就网吧来说,完全可以从好的机器上拷贝一个相同的文件覆盖他.注册表的话就打开相关的注册表文件,一般的病毒会隐藏他的相关文件和进程,那么我们就要找到 他:看到一个显示隐藏文件的方法:
开始运行REGEDIT找到HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL中的CheckedValue,检查它的类型是否为REG_DWORD,如果不是则删掉CheckedValue,然后单击右键“新建”--〉“Dword值”,并命名为CheckedValue,然后修改它的键值为1。
我电脑中了病毒后一般先看这里,一般病毒修改注册表,导致不能看到隐藏文件,并且使杀毒软件不能启动!
注:Dword值是双字符值。键值是十六进制的。)
另外我把我在网络上看到的一篇关于落雪杀毒的文章发出来,里面我稍微做了一点修改:
如果大家有谁中了“落雪”病毒,不要着急,在做下面这些步骤以前我们要先下载木马杀客和升级包我们可以在网盟里搜索相关软件来下载.还有下载一个Regfix.rar将里边的 Regfix.exe改名为Regfix.com.这个时候我们的EXE文件怎么改成COM呢!我们要先打开工具----文件夹选象------隐藏以知文件的扩展名,把前面的对勾去掉,然后点Regfix.exe的属性,我们将EXE改成COM这样就可以了.
正常的winlogon系统进程,其用户名为“SYSTEM” 程序名为小写winlogon.exe。 而伪装成该进程的木马程序其用户名为当前系统用户名,且程序名为大写的WINLOGON.exe。 进程查看方式 ctrl+alt+del ,然后选择进程。正常情况下有且只有一个winlogon.exe进程,其用户名为“SYSTEM”。如果出现了两个winlogon.exe,且其中一个为大写,用户名为当前系统用户的话,表明可能存在木马。
需要声明的是这个木马很厉害,能破坏掉一般的木马专杀和常用的杀毒软件,使其不能正常运行。目前我使用江民杀毒软件未能查出,连瑞星在线杀毒对它都没有查出来,(建议使用NOD32或者是麦咖啡)并且使防火墙处于无法启动状态,在清除病毒之后也不能启动,我不得不重新再安装一次防火墙。
在WINDOWS下的WINLOGON.EXE确实是病毒。但是,它不过是这个病毒中的小角色而已,大家打开D盘看看是否有一个pagefile的DOS指向文件(有的版本病毒还有autorun.inf文件),我机器里的pagefile不是隐藏的,而是光明正大的存在D盘里,删这个文件是没用的,因为它关联了很多东西,甚至在安全模式都存在,只要运行任何程序,或者双击打开D盘,它会重新出现在D盘。这个病毒为 ”落雪“ 是专门盗传奇、传奇世界的木马,同时它还将将杀毒软件里的设置进行了改变,不能启动防火墙,强制手工启动时,会出现一个窗口说防火墙某个文件失效,被windows 关闭。真的好可恨!!(所以我这里要推荐下麦咖啡,他本身是杀毒软件,但是强过防火墙)
解决“落雪”病毒的方法 :
症状:在电脑的相关分区硬盘D里打开,里面有pagefile.com文件 ,它所关联的文件如下,绝大多数文件都是显示为系统文件和隐藏的。 所以要在文件夹选项里打开显示所有隐藏文件。相关的分区硬盘D里就一个,C盘里的就多了!
D:\pagefile.com
C:\Program Files\Common Files\iexplore.com
C:\WINDOWS\1.com
C:\WINDOWS\iexplore.com
C:\WINDOWS\finder.com
C:\WINDOWS\Exeroud.exe
C:\WINDOWS\Debug\DebugProgramme.exe
C:\Windows\system32\command.com
C:\Windows\system32\msconfig.com
C:\Windows\system32\regedit.com
C:\Windows\system32\dxdiag.com
C:\Windows\system32\rundll32.com
C:\Windows\system32\finder.com
C:\Windows\WINLOGON.EXE
winlogon这个在进程里可以看得到,有两个,一个是真的,一个是假的。 真的是小写winlogon.exe,用户名是SYSTEM,
而假的是大写的WINLOGON.EXE,用户名是你自己的用户名。这个文件在进程里是中止不了的,说是关键进程无法中止,搞得跟真的一样!就连在安全模式下它都会呆在你的进程里!
然后打开开始菜单的运行,输入命令 regedit,进注册表,
到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 里面,有一个Torjan programme,这个明摆着“我是木马”,证明你的电脑里已经有WINLOGON.EXE病毒。
知道了这些文件,首先关闭可以关闭的所有程序,打开程序附件里头的WINDOWS资源管理器,
并在上面的工具里头的文件夹选项里头的查看里设置显示所有文件和文件夹,取消隐藏受保护操作系统文件。
随后使用了木马杀客软件,进行硬盘扫描,这么作的好处是知道木马病毒所在的位置,同时木马杀客软件将这些木马病毒进行删除操作,如果不能删除就将那些病毒进行隔离。
这样我感觉是基本能控制这个病毒的,当然大家要根据自己的实际情况来考虑!一切随机应变!祝您好运!欢迎常来网盟论坛
http://bbs.bitscn.com (欢迎大家登陆我的博客
http://aqjazz.blog.bitscn.com)
附:
落雪专杀软件 (点击下载)
