解決「落雪」病毒的方法
病狀:d盤雙擊打不開,裡面有autorun.inf和pagefile.com檔案
做這個病毒的人也太強了,在安全模式用administrator一樣解決不了!經過乙個下午的奮戰才算勉強解決。 我沒用什麼查殺木馬的軟體,全是手動乙個乙個把它揪出來把他刪掉的。它所關聯的檔案如下,絕大多數檔案都是顯示為系統檔案和隱藏的。 所以要在資料夾選項裡開啟顯示隱藏檔案。
d盤裡就兩個,搞得你無法雙擊開啟d盤。裡盤裡的就多了!
d:\autorun.inf
d:\pagefile.com
c:\program files\internet explorer\iexplore.com
c:\program files\common files\iexplore.com
c:\windows\1.com
c:\windows\iexplore.com
c:\windows\finder.com
c:\windows\exeroud.exe(忘了是不是這個名字了,紅色圖示有傳奇世界圖示的)
c:\windows\debug\*** programme.exe(也是上面那個圖示,名字忘了-_- 好大好明顯非隱藏的)
c:\windows\system32\command.com 這個不要輕易刪,看看是不是和下面幾個日期不一樣而和其他檔案日期一樣,如果和其他檔案大部分系統檔案日期一樣就不能刪,當然系統檔案肯定不是這段時間的。
c:\windows\system32\msconfig.com
c:\windows\system32\regedit.com
c:\windows\system32\dxdiag.com
c:\windows\system32\rundll32.com
c:\windows\system32\finder.com
c:\windows\system32\a.exe
對了,看看這些檔案的日期,看看其他地方還有沒有相同時間的檔案還是.com結尾的可疑檔案,小心不要執行任何程式,要不就又啟動了,包括雙擊磁碟還有乙個頭號檔案!winlogon.exe!做了這麼多工作目的就是要殺掉她!!
c:\windows\winlogon.exe 這個在程序裡可以看得到,有兩個,乙個是真的,乙個是假的。
真的是小寫winlogon.exe,(不知你們的是不是),使用者名稱是system,
而假的是大寫的winlogon.exe,使用者名稱是你自己的使用者名稱。
這個檔案在程序裡是中止不了的,說是關鍵程序無法中止,搞得跟真的一樣!就連在安全模式下它都會呆在你的程序裡! 我現在所知道的就這些,要是不放心,就最好看一下其中乙個檔案的修改日期,然後用「搜尋」搜這天修改過的檔案,相同時間的肯定會出來一大堆的, 連系統還原夾裡都有!! 這些檔案會自己關聯的,要是你刪了一部分,不小心執行了乙個,或在開始-執行裡執行msocnfig,command,regedit這些命令,所有的這些檔案全會自己補充回來!
知道了這些檔案,首先關閉可以關閉的所有程式,開啟程式附件裡頭的windows資源管理器,並在上面的工具裡頭的資料夾選項裡頭的檢視裡設定顯示所有檔案和檔案假,取消隱藏受保護作業系統檔案,然後開啟開始選單的執行,輸入命令 regedit,
進登錄檔到hkey_local_machine\software\microsoft\windows\currentversion\run
裡面,有乙個torjan pragramme,這個明擺著「我是木馬」,刪!!
然後登出! 重新進入系統後,開啟「任務管理器」,看看有沒rundll32,有的話先中止了,不知這個是真還是假,小心為好。 到d盤(注意不要雙擊進入!否則又會啟用這個病毒)右鍵,選「開啟」,把autorun.inf和pagefile.com刪掉,
然後再到c盤把上面所列出來的檔案都刪掉!中途注意不要雙擊到其中乙個檔案,否則所有步驟都要重新來過! 然後再登出。
我在奮戰過程中,把那些檔案刪掉後,所有的exe檔案全都打不開了,執行cmd也不行。
然後,到c:\windows\system32 裡,把cmd.exe檔案複製出來,比如到桌面,改名成cmd.com .我也會用com檔案,然後雙擊這個com檔案,然後行動可以進入到dos下的命令提示符。
再打入以下的命令:
assoc .exe=exefile (assoc與.exe之間有空格)
ftype exefile="%1" %*
這樣exe檔案就可以執行了。 如果不會打命令,只要開啟cmd.com後複製上面的兩行分兩次貼上上去執行就可以了。
但我在弄完這些之後,在開機的進入使用者時會有些慢,並會跳出乙個警告框,說檔案"1"找不到。(應該是windows下的1.com檔案。),最後用上網助手之類的軟體全面修復ie設定.
最後說一下怎麼解決開機跳出找不到檔案「1.com」的方法:
在執行程式中執行「regedit」,開啟登錄檔,在[hkey_local_machine\software\microsoft\windows nt\currentversion\winlogon]
把"shell"="explorer.exe 1"恢復為"shell"="explorer.exe"
大功告成!大家分享一下吧!
Winlogon(落雪)病毒手工清除辦法
不知 命的名,叫落雪還是蠻有意思的。今天一台測試的機器中毒了,剛裝好的windows xp pro with sp2正版,剛剛上windows updated 打好了到8月份的安全補丁,office 2003安裝了sp2,防火牆開啟了,安裝了symantec antivirus 10,更新到最新的病...
Winlogon(落雪)病毒手工清除辦法
不知 命的名,叫落雪還是蠻有意思的。今天一台測試的機器中毒了,剛裝好的windows xp pro with sp2正版,剛剛上windows updated 打好了到8月份的安全補丁,office 2003安裝了sp2,防火牆開啟了,安裝了symantec antivirus 10,更新到最新的病...
Chirsatmas病毒清除方法
中毒現象 向你msn好友傳送名為 chirsatmas的檔案。我在虛擬機器中分析了一下,哎,這麼弱智的病毒也敢出來混。清除方法 1 結束程序。程序名為 servidevice.exe。用冰刃或其他工具。程序是隱藏的。2 刪除檔案。路徑 systemroot 及windows目錄下。名稱 ervide...