介紹
落雪木馬,是有大約14個檔案組成的龐大的木馬病毒檔案隊伍,一旦中毒,病毒檔案就象落雪一樣嘩嘩下到電腦中,這也是如此命名它的原因。病毒症狀
進程裡面有2個lsass.exe進程,一個是system的,一個是當前用戶名的(該進程為病毒).雙擊D:盤打不開,只能通過右擊選擇打開來打開.用kaspersky掃描可以掃描出來,並且可以殺掉.但是重啟後又有兩個lsass.exe進程.該病毒是一個木馬程式,中毒後會在D糟根目錄下產生command.com和autorun.inf兩個檔案,同時侵入註冊表破壞系統檔案關聯.該病毒修改註冊表啟動RUN鍵值,指向LSASS.exe,修改HKEY_CLASSES_ROOT下的.exe,exefile鍵值,並新建windowfile鍵值.將exe檔案打開連結關聯到其生成的病毒程式%SYSTEM\EXERT.exe上.該病毒新建如下檔案:
c:\programfiles\commonfiles\INTEXPLORE.pif
c:\programfiles\internetexplorer\INTEXPLORE.com
%SYSTEM\debug\debugprogram.exe
%SYSTEM\system32\Anskya0.exe
%SYSTEM\system32\dxdiag.com
%SYSTEM\system32\MSCONFIG.com
%SYSTEM\system32\regedit.com
%SYSTEM\LSASS.exe
%SYSTEM\EXERT.exe
解決方法
結束進程
調出windows服務管理器(Ctrl+Alt+Del),發現通過簡單的右擊當前用戶名的lsass.exe來結束進程是行不通的.會彈出該進程為系統進程無法結束的提醒框;滑鼠右鍵點擊系統列,選擇任務管理器。點擊選單“查看(V)”-“選擇列(S)...”,在彈出的對話框中選擇“PID(進程標識符)”,並點擊“確定”。找到映象名稱為“LSASS.exe”,並且用戶名不是“SYSTEM”的一項,記住其PID號.點擊“開始”-“運行”,輸入“CMD”,點擊“確定”打開命令行控制台。輸入“ntsd–cq-p(PID)”,比如我的計算機上就輸入“ntsd–cq-p1064”。刪除病毒檔案
以下要刪除的檔案大多是隱藏檔案所以要首先設定顯示所有的隱藏檔案、系統檔案並顯示檔案擴展名;我的電腦-->工具(T)-->資料夾選項(O)...-->查看-->選擇“顯示所有檔案和資料夾”,並把隱藏受保護的作業系統檔案(推薦)前的勾去掉,這時會彈出一個警告,選擇是.至此就顯示了所有的隱藏檔案了.刪除如下幾個檔案:
C:\ProgramFiles\CommonFiles\INTEXPLORE.pif
C:\ProgramFiles\InternetExplorer\INTEXPLOREcom
C:\WINDOWS\EXERT.exe
C:\WINDOWS\IO.SYS.BAK
C:\WINDOWS\LSASS.exe
C:\WINDOWS\Debug\DebugProgram.exe
C:\WINDOWS\system32\dxdiagcom
C:\WINDOWS\system32\MSCONFIGCOM
C:\WINDOWS\system32\regeditcom
在D:盤上點擊滑鼠右鍵,選擇“打開”。刪除掉該分區根目錄下的“Autorun.inf”和“commandcom”檔案。
刪除垃圾信息
這個病毒該寫的註冊表位置相當多,如果不進行修復將會有一些系統功能發生異常。將Windows目錄下的“regedit.exe”改名為“regedit.com”並運行,刪除以下項目:
HKEY_CLASSES_ROOT\WindowFiles
HKEY_CURRENT_USER\Software\VBandVBAProgramSettings
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main
下面的Check_Associations項
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下面的ToP項
將HKEY_CLASSES_ROOT\.exe的默認值修改為
exefile(原來是windowsfile)
將HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command
的默認值修改為
C:\ProgramFiles\InternetExplorer\iexplore.exe %1
(原來是intexplore.com)
將HKEY_CLASSES_ROOT\CLSID\
\shell\OpenHomePage\Command的默認值修改為
C:\ProgramFiles\InternetExplorer\IEXPLORE.EXE(原來是INTEXPLORE.com)
將HKEY_CLASSES_ROOT\ftp\shell\open\command
和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command
的默認值修改為"C:\ProgramFiles\InternetExplorer\iexplore.exe"%1"
(原來的值分別是INTEXPLORE.com和INTEXPLORE.pif)
將HKEY_CLASSES_ROOT\htmlfile\shell\open\command
HKEY_CLASSES_ROOT\HTTP\shell\open\command的默認值修改為
C:\ProgramFiles\InternetExplorer\iexplore.exe–nohome”
將HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
的默認值修改為IEXPLORE.EXE(原來是INTEXPLORE.pif)
重新將Windows目錄下的regedit擴展名改回exe,至此病毒清除成功,註冊表修復完畢.EnjoyIt。