新手也能对付病毒：手工清除落雪

2024-09-08

新手也能对付病毒：手工清除落雪（精选4篇）

新手也能对付病毒：手工清除落雪第1篇

病毒介绍

“落雪”顾名思义，就是说中了该木马后，向系统释放的病毒文件非常之多，该木马也叫“游戏大盗”(Trojan/W.GamePa，Trojan.W.ow.a，Troj.LMir.ky)，由VB程序语言编写，通过北斗.加壳处理，该木马文件一般是红色图标。

病毒运行后，在C盘programfile以及windows目录下生成winlogon.exe、regedit.com等个病毒文件，病毒文件之多比较少见，，事实上这个不同文件名的病毒文件系同一种文件。病毒文件名被模拟成正常的系统工具名称，但是文件扩展名变成了.com。江民反病毒工程师分析，这是病毒利用了Windows操作系统执行.com文件的优先级比EXE文件高的特性，这样，当用户调用系统配置文件Msconfig.exe的时候，一般习惯上输入Msconfig，而这是执行的并不是微软的Msconfig.exe程序，而是病毒文件Msconfig.com，病毒作者的“良苦用心”由此可见。病毒另一狡诈之处还有，病毒还创建一名为winlogon.exe的进程，并把winlogon.exe的路径指向cwindowswinlogon.exe，而正常的系统进程路径是CWINDOWSsystemwinlogon.exe，以此达到迷惑用户的目的。

江民反病毒工程师介绍，除了在C盘下生成很多病毒文件外，病毒还修改注册表文件关联，每当用户点击html文件时，都会运行病毒。此外，病毒还在D盘下生成一个自动运行批处理文件，这样即使C盘目录下的病毒文件被清除，当用户打开D盘时，病毒仍然被激活运行。

中毒症状

系统运行缓慢。

右下方任务栏的杀软和防火墙图标消失(被无故关闭)但杀软的右键扫描可用。

D盘双击打不开，D盘里面有autorun.inf和pagefile.com两个文件，其中autorun.inf为隐藏属性。

打开任务管理器，可以看到有一个当前用户所属的.EXE在运行，或者是一个当前用户所属的一个大写的WINLOGON.EXE在运行。

5打开注册表在运行程序中运行“regedit”，会看到

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun项里有一个Torjanpragramme，这是木马。

()HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon下的“Shell”=“Explorer.exe”已被改为“Shell”=“Explorer.exe”。

6exe文件打不开(包括杀软，防火墙)。

7开机进入系统时会跳出一个警告框，说文件“”找不到。(由于杀软查杀后，无法对木马更改的注册表项进行修复)。

病毒复活方式

在开始-运行里运行msocnfig，command，regedit这些命令，病毒将全部恢复。

双击病毒所有文件中的任何一个文件，病毒将完全恢复。

双击D盘。

中毒后对系统的改动

向C盘释放(其实都是同一个文件)

cwindowswinlogon.exe

CWINDOWS.com

CWINDOWSExERoute.exe

CWINDOWSiexplore.com

CWINDOWSfinder.com

CWINDOWSsystemcommand.pif

CWindowssystemcommand.com

CWINDOWSsystemdxdiag.com

CWINDOWSsystemfinder.com

CWINDOWSsystemMSCONFIG.COM

CWINDOWSsystem egedit.com

CWINDOWSsystem undll.com

CWindowsWINLOGON.EXE

，

CWINDOWSservices.exe

CWINDOWSDebugDebugProgramme.exe

CProgramFilesCommonFilesiexplore.com

CProgramFilesCommonFilesMicrosoftSharedMSInfomsinfo.rr

向D盘释放

Dautorun.inf

Dpagefile.com

向注册表添加

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunTorjanpragramme

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon下的“Shell”=“Explorer.exe”已被改为“Shell”=“Explorer.exe”，

处理方式

一GHOST法，(建议菜鸟及无手动清除病毒经验者使用)

先在D盘以外的其他盘新建了两个文本文件，在显示文件名扩展名的情况下，分别改为autorun.inf和pagefile.com，然后拷贝到D盘，覆盖了病毒在D盘的两个病毒源文件，这样这两个文件都可以正常显示了，随即直接删除，也可以在以后删除，D盘毒源就此清除。

然后GHOST一遍镜像，恢复系统到从前正常状态，至此OK，如果没有镜像，建议在第一步以后重新安装系统。

为什么不逐个清理病毒程序

逐个清理病毒文件比较麻烦，操作需要经验加细心，由于病毒文件如上面非常多不小心运行了一个，或在开始-运行里运行msocnfig，command，regedit这些命令，或双击磁盘，所有的这些文件全会自己补充回来!并且清理完成后有些后遗症，例如某些文件打不开，IE需要修复等等。

二逐个手动清理法(中途注意不要双击到其中任何一个文件)(必须在文件夹选项里打开显示隐藏文件及显示已知文件扩展名)

打开始菜单的运行，输入命令regedit，进注册表，到

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun删除Torjanpragramme

然后注销!重新进入系统后到D盘(注意不要双击进入!否则又会激活这个病毒)右键，选“打开”，把pagefile.com和Dautorun.inf删掉，然后再到C盘把上面所列出来的文件都删掉，可以对比其他文件的日期判断。

头号文件WINLOGON.EXE在CWindowsWINLOGON.EXE可能提示删不掉

可以用光盘启动进入DOS模式，把它的系统，隐藏属性去掉然后删除它!

手工病毒清除后的系统修复

把那些病毒文件删掉后，所有的exe文件全都打不开了，运行cmd也不行。

到CWindowssystem里，把cmd.exe文件复制出来，比如到桌面，改名成cmd.com，然后双击这个COM文件，然后行动可以进入到DOS下的命令提示符。再打入以下的命令

aoc.exe=exefile(aoc与.exe之间有空格)

ftypeexefile=“%”%*

这样exe文件就可以运行了。或者用Regfix.exe，sreng.exe等工具修复，将扩展名EXE改成COM，就可打开。

开机跳出找不到文件“.com”

在运行程序中运行“regedit”，打开注册表，在[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon]中

把“Shell”=“Explorer.exe”恢复为“Shell”=“Explorer.exe”

清除了这个出马出现IE不能下载请在IE选项然后安全然后点默认级别就可以下载了。

新手也能对付病毒：手工清除落雪第2篇

打开“我的电脑”DD工具DD文件夹选项DD查看

a、把“隐藏受保护的操作系统文件(推荐)”和“隐藏已知文件类型的扩展名”前面的勾去掉;

b、勾中“显示所有文件和文件夹”，

二、结束进程

用CtrlAltDel调出windows务管理器,想通过右击当前用户名的lsa.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;

点到任务管理器进程面版，点击菜单，“查看”-“选择列”，在弹出的对话框中选择“PID(进程标识符)”，并点击“确定”。找到映象名称为“LSA.exe”，并且用户名不是“SYSTEM”的一项，记住其PID号.点击“开始”DD运行，输入“CMD”，点击“确定”打开命令行控制台。

输入“ntsd?Ccq-p(此红色部分填写你在任务管理器里看到的LSA.EXE的PID列的数字，是当前用户名进程的PID，别看错了)”，比如我的计算机上就输入“ntsd?Ccq-p06”.这样进程就结束了。(如果结束了又会出现，那么你还是用下面的方法吧)

三、删除病毒文件

删除如下几个文件：(WIN000的目录有所不同)

C:ProgramFilesCommonFilesINTEXPLORE.pif(有的没有.pif)

C:ProgramFilesInternetExplorerINTEXPLORE.com

C:WINDOWSEXERT.exe

C:WINDOWSIO.SYS.BAK

C:WINDOWSLSA.exe

C:WINDOWSDebugDebugProgram.exe

C:WINDOWSsystemdxdiag.com

C:WINDOWSsystemMSCONFIG.COM

C:WINDOWSsystem egedit.com

在D:盘上点击鼠标右键，选择“打开”。删除掉该分区根目录下的“Autorun.inf”和“command.com”文件。

四、删除注册表中的其他垃圾信息

将C:WINDOWS目录下的“regedit.exe”改名为“regedit.com”并运行，删除以下项目：

、HKEY_CLAES_ROOTWindowFiles

、HKEY_CURRENT_USERSoftwareVBandVBAProgramSettings

、HKEY_CURRENT_USERSoftwareMicrosoftInternetExplorerMain下面的Check_Aociatio项

、HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternetINTEXPLORE.pif

5、HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下面的ToP项

五、修复注册表中被篡改的键值

、将HKEY_CLAES_ROOT.exe的默认值修改为“exefile”(原来是windowsfile)

、将HKEY_CLAES_ROOTAlicatioiexplore.exeshellopencommand的默认值修改为“C:ProgramFilesInternetExploreriexplore.exe”%(原来是intexplore.com)

、将HKEY_CLAES_ROOTCLSIDshellOpenHomePageCommand的默认值修改为

“C:ProgramFilesInternetExplorerIEXPLORE.EXE”(原来是INTEXPLORE.com)

、将HKEY_CLAES_ROOTftpshellopencommand和HKEY_CLAES_ROOThtmlfileshellopeewcommand

的默认值修改为“C:ProgramFilesInternetExploreriexplore.exe”%(原来的值分别是INTEXPLORE.com和INTEXPLORE.pif)

5、将HKEY_CLAES_ROOThtmlfileshellopencommand和

HKEY_CLAES_ROOTHTTPshellopencommand的默认值修改为

“C:ProgramFilesInternetExploreriexplore.exe”?Cnohome

6、将HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternet的默认值修改为“IEXPLORE.EXE”.(原来是INTEXPLORE.pif)，

六、收尾工作

新手也能对付病毒：告别垃圾邮件第3篇

一、不要响应不请自来的电子邮件或者垃圾邮件，绝对不要回复垃圾邮件，如果你回复甚至警告他们不要再发，这无疑也相当于告诉对方你的邮件地址实际存在，今后你可能会收到更多的垃圾邮件。所以，即使垃圾邮件上写有“如果不需要此邮件的话请回信告知”等句子，也决不要回复，这一点非常重要。

二、不要试图点击垃圾邮件中的任何链接，某些垃圾邮件发送者会自动收集点击者的信息，事实上当你点击链接进入相应网站时就无疑高速对方这个电子邮件地址是存在的(不然谁会去点击?)。

三、不要把您的邮件地址在因特网页面上到处登记，如果经常用某个邮件地址在网上大量注册(很多论坛都要求填写email地址然后给你发送密码)，相信你今后收到垃圾邮件的次数会越来越多，那怎么办呢?告诉你一个方法：由于网络上收集电子邮件地址通常是用软件进行，而目前的电子邮箱表示法中都会包含?A HREF=“mailto：@”这个符号，所以当你注册成功后不妨再次进入论坛，将电子邮箱中的”@”改为其他符号如“#”，这样其他用户查看时会知道你的email的，但对付那些软件就有效多了;不过有些网站，检测地址的合法性，所以此法肯定行不通，那也有办法DD将电邮地址修改为其他的字符组合，比如增加字符长度等。“>@”这个符号，所以当你注册成功后不妨再次进入论坛，将电子邮箱中的”@”改为其他符号如“#”，这样其他用户查看时会知道你的email的，但对付那些软件就有效多了;不过有些网站，检测地址的合法性，所以此法肯定行不通，那也有办法DD将电邮地址修改为其他的字符组合，比如增加字符长度等，

四、不要登陆并注册那些许诺在垃圾邮件列表中删除你名字的站点。

五、保管好自己的邮件地址，不要把它告诉给你不信任的人。

六、不订阅不健康的电子杂志，以防止被垃圾邮件收集者收集。

七、谨慎使用邮箱的“自动回复”功能。为了体现互联网高效、快捷的特点，很多网站和邮件收发工具中都设置了“自动回复”功能，这虽然方便，但是如果两个联系人之间都设置了“自动回复”，想想看有何后果?恐怕双方的邮箱中都是一些“自动回复”的垃圾信件。换句话说，此功能使用不当，人人都会变成垃圾邮件发送者。

八、发现收集或出售电子邮件地址的网站或消息，请告诉相应的主页提供商或主页管理员，将您删除，以避免邮件地址被他们利用。