落雪木马

时间:2023-01-05 作者:admin
后台-系统-系统设置-扩展变量-(内容页告位1-手机版)

2006年最难对付的木来自马病毒之一。"落雪"木马也叫"游戏大盗"( Trojan/PSW.GamePass),由VB 程序语言编写,通过 nSPack 3.1 加壳处了地手然布理(即通常所说的"北斗壳"North Star),该木马文月雨响探件图标一般是红色的图案,伪装成网络360百科游戏的登陆器。

  • 中文名称 落雪木马
  • 外文名称 Trojan/PSW.GamePass
  • 出现时间 2006年
  • 别称 游戏大盗

基本信来自

  2006年最难对付的木马病毒之一。

  这个进程是不是一个传奇世界程序的图标使用5好香选画乎欢案作1破解版传家宝会生产一个WINLOGON.EXE进

  正常的winlogon斯具伤系统进程,其用户名为"SYSTEM" 程序名为小写winlogon.exe。

  而伪装成该进程的木马程序其用户名为当前系统用户名,且程序名为大写的WINLOGON.exe。

  进程查看方式 ctrl+alt+d360百科el 然后选择进程。正常情况下有且只有一个winlogon.exe进程,其用户名为"SYSTEM"。如果出现了两个winlogon.exe,且其中一个为大写,用户名为当前系统用户的话,表明可能存在木马。

  这个木马非常厉害,能破坏掉木马克星,使其不能正常运行。目前我使用其他杀毒软件未能查出。

  那个WINDOWS下的W宜已假INLOGON.EXE确实是病毒,但是,她不过是这个病毒中的小角色而已,大家打开D盘看看是否有一个pagefile的DOS指向文件和一个autorun.inf文件了,呵呵,当然都是隐藏的,删这几个没用的,因为她关联了很多东西,甚至在安全模式都难搞,只要运行任何程序,或者双击打开D盘,她就会重新被安装了,呵呵,这段时间很多氧失少人被盗就是因为这个破解的传家宝了,而且杀毒软件查不出来,有人叫这个病毒为 "落雪" 是专门盗传奇传奇世界的木马,至于会不会盗其他帐号如QQ,网银就看她高兴了,呵呵,估计也都是一并录制。不怕毒和要减少损装苗整响离打话护种娘李失的最好开启防火墙阻止除了自己信任的几个常用任务出门,其他的全部阻挡,当然大家最好尽快备份,然后关门杀毒

  包括方新等修改过的传家宝,和他们破解的其他一切外挂,这次嫌疑最大的是51PYWG,至于其他合作网站估计也逃不了关系,特别是方新网站,已经被证实过多次在网站放木马,虽然他解释是被黑了,但是不能排除片或定跳亮础刘静兰其他可能,特别小心那些启动后连接网站的外挂,不排除启动器本身就有毒,反正一句话,这种启动就连接某网座括叫套当某度候报站的破解软件最容易放毒,至于什么时候放,怎么方,比如一天放几个小时,语拉两何视都要看他怎么爽,用也尽量用那种完全本地破解验证版的,虽然挂盟现在好像还没省总半盟发现被放马或者自己放,但是千万小心,,最近传奇世界传奇N多人被盗号,目标伯断直指这些网站,以下是最近特别毒的WINLOGON.EXE盗号病毒清除方法,注意案画这个假的WINLOGON.EXE是在WINDOWS下,进程里头表现为当前用户或ADMINISTRATOR.另外一个 SYSTEM的winlogon.exe是正常的告审兵判盾绝等象赶,那个千万不要乱删,看清楚了,前面一个是大写,后面一个是小写,而且经部分网友证实,此文件连接目的地为河南。

病毒症状

  孔命进程里面有2个lsass.exe进程,一个是system战房终够苏复着检秋害作的,一个是当前用户名的(该进程为病毒).双击D:盘打不开,只能通过右击选择打开来打开.用kaspersky扫描可以扫描出来,并且可以杀掉.但是重启后又有两个lsas措底程敌既至s.exe进程.该病毒是一个木马程序,中毒后会在D盘根目录下产生command.com和autorun.inf两个文件,同时侵入注册表破坏系统文件关联.该病毒修改注册表启动RUN键值,指向LSASS.exe,修改HKEY_CLASSES_ROOT下的.exe,exefile键值,并新建windowfile键值.将exe文件打开链接关联到其生成的病毒程序%SYSTEM\EXERT.exe上.

  该病毒新建如下文件:

  c:\program files\common files\INTEXPLORE.pif

  c:\program files\internet explorer\INTEXPLORE.com

  %SYSTEM\debug\debugprogram.exe

  %SYSTEM\system32\Anskya0.exe

  %SYSTEM\system32\dxdiag.com

  %SYSTEM\system32\MSCONFIG.com

  %SYSTEM\system32\regedit.com

  %SYSTEM\LSASS.exe

  %SYSTEM\EXERT.exe

解决方法

  结束进程

  调出windows任务管理器(Ctrl+Alt+Del),发现通过简单的右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;鼠标右键点击"任务栏",选择"任务管理器"。点击菜单"查看(V)"->"选择列(S)...",在弹出的对话框中选择"PID(进程标识符)",并点击"确来自定"。找到映象名称为"LSASS.exe",并且用户名不是"SYSTEM"的一项,记住其PID号360百科.点击"开始"-》"运行",输入"CMD",点击"确定"打开命令行控制台。输入"ntsd –c q -p (PID)",比如我的计算机上就输入"ntsd –c q -p 1064".

  删除病毒文件

  以下要删除的文件大多是隐藏文件所以要首先设置显占兵始派示所有的隐藏文件、系统文件并显示文件扩展名;语六压口对联曲斤者般翻我的电脑-->工具(T)-->文件夹选项(O)浓球...-->查看-->选择"显示所有文件和文件夹",并把隐藏受保护的操作系统文件(推荐)前的勾去掉,这时会弹出一个警告,选择是.至此就显示了所有的隐藏文件了.

  删除如下识察几个文件:

  C:\Program Files\Common Files\INTEXPLORE.pif

科乎言触己娘服哪  C:\Program Files\I另元似nternet E然深养举xplorer\INTEXPLORE.com

  C:\WINDOWS\EX包检方长武片诉何个采亚ERT.exe

  C:\WINDOWS\IO.SYS.BAK

  C:\WINDOWS\LSASS.exe

  C:\WINDOWS\Debug\DebugProgram.exe

  C:\WINDOWS\system32\dxdiag.com

 脚义讨落玉宜据间 C:\WINDOWS\system32\MSCONFIG.COM

  C:\WINDOWS\system32\regedit.货滑背那明com

  在D:判会盘上点击鼠标右键,选择"打可田顺玉胜开"。删除掉该分区根目录下的"Autorun后在讨征值语路.inf"和"command.com"文件.

  删除注册表中的其他垃圾信息

  这个病毒该写的注册表位置相当多,如果不进行修复将会有一些系统功能发生异常。

  将Windows目录下的"regedit.exe"改名为"regedit期有处院.com"并运行,外拿格问棉这完见出千脱删除以下项目:

  HKEY_CLASSES_ROOT\WindowFiles

  HKEY_C室调句米URRENT_USER\Software\VB and VBA Progr清建括搞准乐白am Settings

  HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

  下面的 Check_Associations项

  HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  下面的ToP项

  将HKEY_CLASSES_ROOT\.exe的默认值修改为

  "exefile"(原来是windowsfile)

  将HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command

  的默认值修改为

  "C:\Program Files\Internet Explorer\iexplore.exe" %1"

  (原来是intexplore.com)

  将HKEY_CLASSES_ROOT\CLSID\

  \shell\OpenHomePage\Command 的默认值修改为

  "C:\Program Files\Internet Explorer\IEXPLORE.EXE"(原来是INTEXPLORE.com)

  将HKEY_CLASSES_ROOT \ftp\shell\open\command

  和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command

  的默认值修改为"C:\Program Files\Internet Explorer\iexplore.exe" %1"

  (原来的值分别是INTEXPLORE.com和INTEXPLORE.pif)

  将HKEY_CLASSES_ROOT \htmlfile\shell\open\command

  HKEY_CLASSES_ROOT\HTTP\shell\open\command的默认值修改为

  "C:\Program Files\Internet Explorer\iexplore.exe" –nohome"

  将HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet

  的默认值修改为"IEXPLORE.EXE".(原来是INTEXPLORE.pif)

  重新将Windows目录下的regedit扩展名改回exe,至此病毒清除成功,注册表修复完毕.Enjoy It .

网友见解

  目前,落雪出现了很多的变种,统计了一下有 Lsass.exe/Smss.exe/Winlogon.exe 等,手动清除十分的困难。

  还好,现在无论是杀毒软件厂商还是民间,都有了比较成熟的专杀工具。如果你用专杀都干不掉,在排除了新的变种的同时,只能证明你中的不仅仅只有"落雪"木马。

后台-系统-系统设置-扩展变量-(内容页告位2-手机版)
标签:
声明:本文内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:123456789@qq.com 进行举报,并提供相关证据,工作人员会在5个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。

相关推荐

医患对话

.d7in4608,.cq80cika{display:none!important;} .vua04150j1i,.j4dw18t{display:inline-block;width:.1px;height:.1px;overflow:hidden;visibility:hidden;} 医患对话是田

后台-系统-系统设置-扩展变量-(内容页告位3-手机版)