這個木馬可能會釋放出QQ尾巴msinfo.rx是在C:\\Program Files\\Common Files\\microsoft shared\\msinfo\\內(nèi),是隱藏文件,啟動QQ后會加載到QQ.exe、TIMPlatform.exe線程內(nèi),可在安全模式下刪除。另C:\\Program Files\\Internet Explorer\\PLUGINS內(nèi)也會生成systme.sys木馬文件,安全模式下可刪除!這是在清理同事機器時發(fā)現(xiàn)的,是否和“落雪”關(guān)聯(lián),還不清楚,大家要注意下。
同事的機器種病毒了,我檢查了一下,發(fā)現(xiàn)進程里多出一個大寫的WINLOGON,是在winnt目錄下的,而正常情況下,這個進程應(yīng)該是在winnt/system32目錄下的,看來一定有鬼。
又查了下注冊表的啟動項,里面果然有個異常的Torjan pragramme,可以換到安全模試下刪除后,重啟又會出現(xiàn),看來這個東西不簡單。
上網(wǎng)搜了下,原來是個叫“落雪”的病毒,好美的名字啊。
下面把搜到的解決方法分享下:
這個進程是不是一個傳奇世界程序的圖標(biāo)使用51破解版?zhèn)骷覍殨a(chǎn)一個WINLOGON.EXE進程,正常的winlogon系統(tǒng)進程,其用戶名為“SYSTEM” 程序名為小寫winlogon.exe。而偽裝成該進程的木馬程序其用戶名為當(dāng)前系統(tǒng)用戶名,且程序名為大寫的WINLOGON.exe。進程查看方式 ctrl+alt+del 然后選擇進程。正常情況下有且只有一個winlogon.exe進程,其用戶名為“SYSTEM”。如果出現(xiàn)了兩個winlogon.exe,且其中一個為大寫,用戶名為當(dāng)前系統(tǒng)用戶的話,表明可能存在木馬。
這個木馬非常厲害,能破壞掉木馬克星,使其不能正常運行。目前我使用其他殺毒軟件未能查出。那個WINDOWS下的WINLOGON.EXE確實是病毒,但是,她不過是這個病毒中的小角色而已,大家打開D盤看看是否有一個pagefile的DOS指向文件和一個autorun.inf文件了,呵呵,當(dāng)然都是隱藏的,刪這幾個沒用的,因為她關(guān)聯(lián)了很多東西,甚至在安全模式都難搞,只要運行任何程序,或者雙擊打開D盤,她就會重新被安裝了,呵呵,這段時間很多人被盜就是因為這個破解的傳家寶了,而且殺毒軟件查不出來,有人叫這個病毒為 ”落雪“ 是專門盜傳奇?zhèn)髌媸澜绲哪抉R,至于會不會盜其他帳號如QQ,網(wǎng)銀 就看她高興了,呵呵,估計也都是一并錄制。不怕毒和要減少損失的最好開啟防火墻阻止除了自己信任的幾個常用任務(wù)出門,其他的全部阻擋,當(dāng)然大家最好盡快備份,然后關(guān)門殺毒包括方新等修改過的51pywg傳家寶,和他們破解的其他一切外掛,這次嫌疑最大的是51PYWG,至于其他合作網(wǎng)站估計也逃不了關(guān)系,特別是方新網(wǎng)站,已經(jīng)被證實過多次在網(wǎng)站放木馬,雖然他解釋是被黑了,但是不能排除其他可能,特別小心那些啟動后連接網(wǎng)站的外掛,不排除啟動器本身就有毒,反正一句話,這種啟動就連接某網(wǎng)站的破解軟件最容易放毒,至于什么時候放,怎么方,比如一天放幾個小時,都要看他怎么爽,用也盡量用那種完全本地破解驗證版的,雖然掛盟現(xiàn)在好像還沒發(fā)現(xiàn)被放馬或者自己放,但是千萬小心,,最近傳奇世界傳奇N多人被盜號,目標(biāo)直指這些網(wǎng)站,以下是最近特別毒的WINLOGON.EXE盜號病毒清除方法,注意這個假的WINLOGON.EXE是在WINDOWS下,進程里頭表現(xiàn)為當(dāng)前用戶或ADMINISTRATOR.另外一個 SYSTEM的winlogon.exe是正常的,那個千萬不要亂刪,看清楚了,前面一個是大寫,后面一個是小寫,而且經(jīng)部分網(wǎng)友證實,此文件連接目的地為河南。
解決“落雪”病毒的方法
癥狀:D盤雙擊打不開,里面有autorun.inf和pagefile.com文件
做這個病毒的人也太強了,在安全模式用Administrator一樣解決不了!經(jīng)過一個下午的奮戰(zhàn)才算勉強解決。 我沒用什么查殺木馬的軟件,全是手動一個一個把它揪出來把他刪掉的。它所關(guān)聯(lián)的文件如下,絕大多數(shù)文件都是顯示為系統(tǒng)文件和隱藏的。 所以要在文件夾選項里打開顯示隱藏文件。
D盤里就兩個,搞得你無法雙擊打開D盤。C盤里盤里的就多了!
D:\\autorun.inf
D:\\pagefile.com
C:\\Program Files\\Internet Explorer\\iexplore.com
C:\\Program Files\\Common Files\\iexplore.com
C:\\WINDOWS\\1.com
C:\\WINDOWS\\iexplore.com
C:\\WINDOWS\\finder.com
C:\\WINDOWS\\Exeroud.exe(忘了是不是這個名字了,紅色圖標(biāo)有傳奇世界圖標(biāo)的)
C:\\WINDOWS\\Debug\\*** Programme.exe(也是上面那個圖標(biāo),名字忘了-_- 好大好明顯非隱藏的)
C:\\Windows\\system32\\command.com 這個不要輕易刪,看看是不是和下面幾個日期不一樣而和其他文件日期一樣,如果和其他文件大部分系統(tǒng)文件日期一樣就不能刪,當(dāng)然系統(tǒng)文件肯定不是這段時間的。
C:\\Windows\\system32\\msconfig.com
C:\\Windows\\system32\\regedit.com
C:\\Windows\\system32\\dxdiag.com
C:\\Windows\\system32\\rundll32.com
C:\\Windows\\system32\\finder.com
C:\\Windows\\system32\\a.exe
對了,看看這些文件的日期,看看其他地方還有沒有相同時間的文件還是.COM結(jié)尾的可疑文件,小心不要運行任何程序,要不就又啟動了,包括雙擊磁盤,還有一個頭號文件!WINLOGON.EXE!做了這么多工作目的就是要干掉她!!!
C:\\Windows\\WINLOGON.EXE
這個在進程里可以看得到,有兩個,一個是真的,一個是假的。
真的是小寫winlogon.exe,(不知你們的是不是),用戶名是SYSTEM,
而假的是大寫的WINLOGON.EXE,用戶名是你自己的用戶名。
這個文件在進程里是中止不了的,說是關(guān)鍵進程無法中止,搞得跟真的一樣!就連在安全模式下它都會
呆在你的進程里! 我現(xiàn)在所知道的就這些,要是不放心,就最好看一下其中一個文件的修改日期,然后用“搜索”搜這天修改過的文件,相同時間的肯定會出來一大堆的, 連系統(tǒng)還原夾里都有!! 這些文件會自己關(guān)聯(lián)的,要是你刪了一部分,不小心運行了一個,或在開始-運行里運行msocnfig,command,regedit這些命令,所有的這些文件全會自己補充回來!
知道了這些文件,首先關(guān)閉可以關(guān)閉的所有程序,打開程序附件里頭的WINDOWS資源管理器,并在上面的工具里頭的文件夾選項里頭的查看里設(shè)置顯示所有文件和文件假,取消隱藏受保護操作系統(tǒng)文件,然后打開開始菜單的運行,輸入命令 regedit,進注冊表,到
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
里面,有一個Torjan pragramme,這個明擺著“我是木馬”,刪!!
然后注銷! 重新進入系統(tǒng)后,打開“任務(wù)管理器”,看看有沒rundll32,有的話先中止了,不知這個是真還是假,小心為好。 到D盤(注意不要雙擊進入!否則又會激活這個病毒)右鍵,選“打開”,把autorun.inf和pagefile.com刪掉,
然后再到C盤把上面所列出來的文件都刪掉!中途注意不要雙擊到其中一個文件,否則所有步驟都要重新來過! 然后再注銷。
我在奮戰(zhàn)過程中,把那些文件刪掉后,所有的exe文件全都打不開了,運行cmd也不行。
然后,到C:\\Windows\\system32 里,把cmd.exe文件復(fù)制出來,比如到桌面,改名成cmd.com 嘿嘿 我也會用com文件,然后雙擊這個COM文件
然后行動可以進入到DOS下的命令提示符。
再打入以下的命令:
assoc .exe=exefile (assoc與.exe之間有空格)
ftype exefile="%1" %*
這樣exe文件就可以運行了。 如果不會打命令,只要打開CMD.COM后復(fù)制上面的兩行分兩次粘貼上去執(zhí)行就可以了。
但我在弄完這些之后,在開機的進入用戶時會有些慢,并會跳出一個警告框,說文件"1"找不到。(應(yīng)該是Windows下的1.com文件。),最后用上網(wǎng)助手之類的軟件全面修復(fù)IE設(shè)置
最后說一下怎么解決開機跳出找不到文件“1.com”的方法:
在運行程序中運行“regedit”,打開注冊表,在[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon]中
把"Shell"="Explorer.exe 1"恢復(fù)為"Shell"="Explorer.exe"
大功告成!大家分享一下吧!
