症状:网卡,启动项目出现1.com,Torjan pragramme,进程中出现两个winlogon.exe。system32目录下出现一些莫名其妙的.com文件,windows目录下出现exeroute.exe和winlogon.exe文件。
手杀:查看两个winlogon.exe文件大小,创建日期,所在路径。用冰刃强行终止其中用户名为ruimoon的一个。手动删除上述文件以及可以.com文件,发现只要打开盘符仍然会自动创建。
怀疑盘下也被感染,查看盘跟目录发现隐藏autorun.inf和pagefile.pif,为同一日期创建。
搜索所有盘同一天创建的文件,逐个查看并在注册表中删除相应键值,分别有:\WINDOWS\1.comC:\WINDOWS\iexplore.comC:\WINDOWS\finder.comC:\WINDOWS\Exeroud.exeC:\WINDOWS\Debug\DebugProgramme.exeC:\Windows\winlogon.EXE
以及其他一些以a00开头的注册信息文件。
删除后发现所有exe文件打不开。重新建立文件关联(新建exe,高级选应用程序,也可以通过还原键)。事实上此时的exe文件可以通过cmd打开。
网上有用其他方法,摘录如下:
方法一:把regedit.exe改名为regedit.com,然后执行regedit.com,把HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command右边默认项的键值改为"%1" %*即可 方法二:(只适用于Win2000/XP): 1、将cmd.exe改名为cmd.com或cmd.scr。 2、运行cmd.com 3、运行下面两个命令: ftype exefile="%1" %* assoc .exe=exefile 4、将cmd.com改回cmd.exe 方法三:当然是利用第三方工具了,如去下载瑞星的注册表修复器:http://download.rising.com.cn/zsgj/RegClean.com,利用它来修复一下文件关联。
ps:听说此病毒来自于www.365key.com
ps:搜索到的网络资料:“落雪”木马专杀工具 http://www.cisrt.org/avtools/MiscKiller.rar
Copyright @ 2007-2012 敏韬网(敏而好学,文韬武略--MinTao.Net)(学习笔记) Inc All Rights Reserved. 闵涛 E_mail:admin@mintao.net(欢迎提供学习资源)
鄂公网安备 42011102001154号
站长:MinTao ICP备案号:鄂ICP备11006601号-18
注:本站部分文章源于互联网,版权归原作者所有!如有侵权,请原作者与本站联系,本站将立即删除! 本站文章除特别注明外均可转载,但需注明出处! [MinTao学以致用网] 
