本文目录一览:
- 1、中了落雪病毒木马,该怎么做才能彻底杀除?
- 2、我的电脑中了落雪病毒,用KV的专杀杀不掉,怎么办
- 3、“落雪木马”是什么病毒?
- 4、落雪病毒有什么危害,知道的说下
- 5、落雪木马介绍
- 6、如何删除“落雪”木马病毒!!!
中了落雪病毒木马,该怎么做才能彻底杀除?
您好
落雪病毒其实很容易查杀,仅仅是不能正常打开磁盘而已
您可以先到腾讯电脑管家官网下载一个电脑管家
然后使用电脑管家——杀毒——全盘查杀
电脑管家拥有管家系统修复引擎,可以在杀毒后帮您智能修复因落雪病毒篡改的注册表,恢复您的磁盘正常开启。
如果还有其他疑问和问题,欢迎再次来电脑管家企业平台进行提问,我们将尽全力为您解答疑难
腾讯电脑管家企业平台:
我的电脑中了落雪病毒,用KV的专杀杀不掉,怎么办
江民“落雪”病毒专杀工具
V1.1
“落雪”木马也叫“游戏大盗”(Trojan/PSW.GamePass),由VB
程序语言编写,通过
nSPack
3.1
加壳处理(即通常所说的“北斗壳”North
Star),该木马文件图标一般是红色的图案,伪装成 *** 游戏的登陆器。
你可以试一下能不能帮你解决。希望有用!!!
“落雪木马”是什么病毒?
杀毒杀的,病毒感染了所有exe和dll文件,
杀毒软件将这些文件连同病毒一起删除了,导致系统大量文件丢失,无法正常使用。
用杀毒软件查,将木马的路径找出来。注意先别删除它,对点右键,选择“属性”,在“安全”选项卡里面,去掉删除所有有权限的用户。这样这个程序既不会有危害,也可以骗过已经运行的病毒程序,重新启动一下就ok了。
落雪病毒有什么危害,知道的说下
启动时占用大量系统资源,造成系统运行缓慢,有变种会根据触发原因来启动木马等后台程序,破坏exe后缀的文件 补充: 落雪木马 2006年最难对付的 木马病毒 之一。 病毒症状 进程里面有2个lsass.exe进程,一个是system的,一个是当前用户名的(该进程为病毒).双击D:盘打不开,只能通过右击选择打开来打开.用kaspersky扫描可以扫描出来,并且可以杀掉.但是重启后又有两个lsass.exe进程.该病毒是一个木马程序,中毒后会在D 盘根 目录下产生command.com和autorun.inf两个文件,同时侵入 注册表 破坏 系统文件 关联.该病毒 修改注册表 启动RUN 键值 ,指向LSASS.exe,修改HKEY_CLASSES_ROOT下的.exe,exefile键值,并新建windowfile键值.将exe文件打开链接关联到其生成的病毒程序%SYSTEM\EXERT.exe上. 落雪木马"专门针对 *** 游戏 的“落雪”新木马发作后,会在电脑中生成14个名称各异的病毒文件,并反复发起攻击。这款罕见的多文件木马病毒能轻易盗取 *** 游戏账号和密码,让玩家伤透了脑筋。 经过分析玩家上报的可疑文件样本, 江民 反病毒中心的专家确认“作案者”为一款名为“落雪”的新木马病毒, 《魔兽世界》 《传奇世界》 《梦幻西游》 等常见 *** 游戏都是它的攻击对象,危害极大。据专家介绍,“落雪”也称“游戏大盗”,通常伪装成 *** 游戏登录器来迷惑玩家。一旦发作,它会在电脑中生成14个病毒文件,很难彻底查杀。狡诈的施毒者为病毒起的文件名与正常系统文件极为相似,以此引诱玩家上当点击激活病毒。施毒者还修改了注册表的 文件关联 ,这样每当用户点击HTML类型文件时,病毒都会运行。“落雪”难以查杀的另一个原因是,它运行后会在电脑D盘下生成一个自动运行 批处理文件 ,即使C盘中的病毒文件被清除,但只要用户打开D盘,病毒仍然可以被激活 追问: 落雪”也称“游戏大盗”,通常伪装成 *** 游戏 登录器来迷惑玩家。一旦发作,它会在电脑中生成14个病毒文件,很难彻底查杀。狡诈的 施毒 者为病毒起的文件名与正常 系统文件 极为相似,以此引诱玩家上当点击激活病毒。施毒者还修改了 注册表 的 文件关联 ,这样每当用户点击HTML类型文件时,病毒都会运行。“落雪”难以查杀的另一个原因是,它运行后会在电脑D盘下生成一个自动运行 批处理文件 ,即使C盘中的病毒文件被清除,但只要用户打开D盘,病毒仍然可以被激活...这个回答还好的
希望采纳
落雪木马介绍
这个进程是不是一个传奇世界程序的图标使用51破解版传家宝会生产一个WINLOGON.EXE进程
正常的winlogon系统进程,其用户名为“SYSTEM” 程序名为小写winlogon.exe。
而伪装成该进程的木马程序其用户名为当前系统用户名,且程序名为大写的WINLOGON.exe。
进程查看方式 ctrl+alt+del 然后选择进程。正常情况下有且只有一个winlogon.exe进程,其用户名为“SYSTEM”。如果出现了两个winlogon.exe,且其中一个为大写,用户名为当前系统用户的话,表明可能存在木马。
这个木马非常厉害,能破坏掉木马克星,使其不能正常运行。目前我使用其他杀毒软件未能查出。
那个WINDOWS下的WINLOGON.EXE确实是病毒,但是,她不过是这个病毒中的小角色而已,大家打开D盘看看是否有一个pagefile的DOS指向文件和一个autorun.inf文件了,呵呵,当然都是隐藏的,删这几个没用的,因为她关联了很多东西,甚至在安全模式都难搞,只要运行任何程序,或者双击打开D盘,她就会重新被安装了,呵呵,这段时间很多人被盗就是因为这个破解的传家宝了,而且杀毒软件查不出来,有人叫这个病毒为 ”落雪“ 是专门盗传奇传奇世界的木马,至于会不会盗其他帐号如 *** ,网银就看她高兴了,呵呵,估计也都是一并录制。不怕毒和要减少损失的更好开启防火墙阻止除了自己信任的几个常用任务出门,其他的全部阻挡,当然大家更好尽快备份,然后关门杀毒
包括方新等修改过的51pywg传家宝,和他们破解的其他一切外挂,这次嫌疑更大的是51PYWG,至于其他合作网站估计也逃不了关系,特别是方新网站,已经被证实过多次在网站放木马,虽然他解释是被黑了,但是不能排除其他可能,特别小心那些启动后连接网站的外挂,不排除启动器本身就有毒,反正一句话,这种启动就连接某网站的破解软件最容易放毒,至于什么时候放,怎么方,比如一天放几个小时,都要看他怎么爽,用也尽量用那种完全本地破解验证版的,虽然挂盟现在好像还没发现被放马或者自己放,但是千万小心,,最近传奇世界传奇N多人被盗号,目标直指这些网站,以下是最近特别毒的WINLOGON.EXE盗号病毒清除 *** ,注意这个假的WINLOGON.EXE是在WINDOWS下,进程里头表现为当前用户或ADMINISTRATOR.另外一个 SYSTEM的winlogon.exe是正常的,那个千万不要乱删,看清楚了,前面一个是大写,后面一个是小写,而且经部分网友证实,此文件连接目的地为河南。
解决“落雪”病毒的 ***
症状:D盘双击打不开,里面有autorun.inf和pagefile.com文件
做这个病毒的人也太强了,在安全模式用Administrator一样解决不了!经过一个下午的奋战才算勉强解决。我没用什么查杀木马的软件,全是手动一个一个把它揪出来把他删掉的。它所关联的文件如下,绝大多数文件都是显示为系统文件和隐藏的。所以要在文件夹选项里打开显示隐藏文件。
D盘里就两个,搞得你无法双击打开D盘。C盘里盘里的就多了!
D:\autorun.inf
D:\pagefile.com
C:\Program Files\Internet Explorer\iexplore.com
C:\Program Files\Common Files\iexplore.com
C:\WINDOWS\1.com
C:\WINDOWS\iexplore.com
C:\WINDOWS\finder.com
C:\WINDOWS\Exeroud.exe(忘了是不是这个名字了,红色图标有传奇世界图标的)
C:\WINDOWS\Debug\*** Programme.exe(也是上面那个图标,名字忘了-_- 好大好明显非隐藏的)
C:\Windows\system32\command.com 这个不要轻易删,看看是不是和下面几个日期不一样而和其他文件日期一样,如果和其他文件大部分系统文件日期一样就不能删,当然系统文件肯定不是这段时间的。
C:\Windows\system32\msconfig.com
C:\Windows\system32\regedit.com
C:\Windows\system32\dxdiag.com
C:\Windows\system32\rundll32.com
C:\Windows\system32\finder.com
C:\Windows\system32\a.exe
对了,看看这些文件的日期,看看其他地方还有没有相同时间的文件还是.COM结尾的可疑文件,小心不要运行任何程序,要不就又启动了,包括双击磁盘
还有一个头号文件!WINLOGON.EXE!做了这么多工作目的就是要干掉她!!!
C:\Windows\WINLOGON.EXE
这个在进程里可以看得到,有两个,一个是真的,一个是假的。
真的是小写winlogon.exe,(不知你们的是不是),用户名是SYSTEM,
而假的是大写的WINLOGON.EXE,用户名是你自己的用户名。
这个文件在进程里是中止不了的,说是关键进程无法中止,搞得跟真的一样!就连在安全模式下它都会
呆在你的进程里!我现在所知道的就这些,要是不放心,就更好看一下其中一个文件的修改日期,然后用“搜索”搜这天修改过的文件,相同时间的肯定会出来一大堆的,连系统还原夹里都有!!这些文件会自己关联的,要是你删了一部分,不小心运行了一个,或在开始-运行里运行msocnfig,command,regedit这些命令,所有的这些文件全会自己补充回来!
知道了这些文件,首先关闭可以关闭的所有程序,打开程序附件里头的WINDOWS资源管理器,并在上面的工具里头的文件夹选项里头的查看里设置显示所有文件和文件假,取消隐藏受保护操作系统文件,然后打开开始菜单的运行,输入命令 regedit,进注册表,到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
里面,有一个Torjan pragramme,这个明摆着“我是木马”,删!!
然后注销!重新进入系统后,打开“任务管理器”,看看有没rundll32,有的话先中止了,不知这个是真还是假,小心为好。到D盘(注意不要双击进入!否则又会激活这个病毒)右键,选“打开”,把autorun.inf和pagefile.com删掉,
然后再到C盘把上面所列出来的文件都删掉!中途注意不要双击到其中一个文件,否则所有步骤都要重新来过!然后再注销。
我在奋战过程中,把那些文件删掉后,所有的exe文件全都打不开了,运行cmd也不行。
然后,到C:\Windows\system32 里,把cmd.exe文件复制出来,比如到桌面,改名成cmd.com 嘿嘿我也会用com文件,然后双击这个COM文件
然后行动可以进入到DOS下的命令提示符。
再打入以下的命令:
assoc .exe=exefile (assoc与.exe之间有空格)
ftype exefile="%1" %*
这样exe文件就可以运行了。如果不会打命令,只要打开CMD.COM后复制上面的两行分两次粘贴上去执行就可以了。
但我在弄完这些之后,在开机的进入用户时会有些慢,并会跳出一个警告框,说文件"1"找不到。(应该是Windows下的1.com文件。),最后用上网助手之类的软件全面修复IE设置
最后说一下怎么解决开机跳出找不到文件“1.com”的 *** :
在运行程序中运行“regedit”,打开注册表,在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]中
把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"
大功告成!大家分享一下吧!
如何删除“落雪”木马病毒!!!
专杀工具
江民“落雪”病毒专杀工具下载地址:
手动删除“落雪”病毒 *** (经测试可用)
这个 *** 适合用“落雪”专杀软件出现蓝屏的朋友们
首先我中了落雪,而且系统被破坏了,不能用专杀 *** ,所以只能手动了,用了版主的手动 *** ,没有效果,只能到网上去寻找,并结合多种办法,结果,我成功了!
有些是结合网上多个版本后,我尝试了10次以上后的步骤,比较详细!
前期准备:下载冰刃软件,落雪专杀软件,并全部解压缩到桌面。把落雪专杀程序改名为“落雪专杀.COM”
并打开“我的电脑”点“工具”“文件夹选项”“查看”把“不显示系统文件和隐藏的”和"隐藏以知文件的扩展名",把前面的对勾去掉,并把"隐藏受保护的系统文件前的勾取消"。请务必先操作这些步骤!
我先重新启动机器,按F8到安全模式下,之后登陆Administrator,然后打开开始菜单的运行,输入命令 regedit,进注册表,到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
里面,有一个Torjan pragramme,右击删除,之后再按WIN+E健打开文件夹管理器,在c:/windows/下有WINLOGON.exe文件,删除即可(我其实不能删除这个,显示磁盘保护,别急,我是用冰刃结束进程WINLOGON。EXE的,记住,在打开冰刃之前,全部用右击打开你要打开的文件夹。)
删除了WINLOGON。EXE后开始删除带病毒的文件。
有哪些呢:D:\autorun.inf
D:\pagefile.com
C:\Program Files\Internet Explorer\iexplore.com
C:\Program Files\Common Files\iexplore.com
C:\WINDOWS\1.com
C:\WINDOWS\iexplore.com
C:\WINDOWS\finder.com
C:\WINDOWS\Exerote.exe
C:\WINDOWS\Debug\DEProgramme.exe 这个是红色的那个很大图标。
C:\Windows\system32\msconfig.com
C:\Windows\system32\regedit.com
C:\Windows\system32\dxdiag.com
C:\Windows\system32\rundll32.com
C:\Windows\system32\finder.com
建议不要查找,直接到目录下删除。记住打开文件夹用右击打开,不要双击任何东西,特别是程序。
还要删除C:\Windows\system32\command.PIF,也是隐藏文件,很明显的一个。
这些文件肯定有,一定要全部删除。建议用SHIFT+DELETE完全删除,不会留在垃圾箱里。
大功基本完成了。
全部删除后 注销。
这时你进入自己用户名的,会出现:说文件"1"找不到。什么的,不要急。
还是右击我的电脑,到C:\Windows\system32 里,把cmd.exe文件复制出来,比如到桌面,改名成cmd.com
右击打开,输入:assoc .exe=exefile 回车
再输入:ftype exefile="%1" %* 回车,请先记下这2个命令在纸上吧
这个是为了能打开程序,你之后“开始”“运行”REGEDIT“回车,如果显示不能打开的话,用事先在桌面上准备的”落雪专杀。COM“来吧
右击打开,点”修复“,唯一能打开的就是这个点,之后点“完全自动修复”这样就OK了。
解决”开机跳出找不到文件“1.com”的 *** :在运行程序中运行“regedit”,打开注册表,在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]中
把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"
补充,可能你会不能打开IE,没关系,我把原有的IE图表删除,点”开始“在开始菜单里有IE图释,右击,发送到桌面快捷方式,就OK了。
OK,重新启动吧,病毒应该完全没有了。
我用木马杀客不在显示有落雪了,哈哈!
以上是我的经历,可能和你的有出入,开心就好!
祝你成功!