手工清除落雪

毒介绍：

    “落雪”顾名思义，就是说中了该木马后，向系统释放的病毒文件非常之多。该木马也叫“游戏大盗”（ Trojan/PSW.GamePass,Trojan.PSW.Snow.a，Troj.LMir2.ky），由VB 程序语言编写，通过 北斗3.1 加壳处理，该木马文件一般是红色图标。

    病毒运行后，在C盘program file以及windows目录下生成winlogon.exe、regedit.com等14个病毒文件，病毒文件之多比较少见，，事实上这14个不同文件名的病毒文件系同一种文件。病毒文件名被模拟成正常的系统工具名称，但是文件扩展名变成了 .com。江民反病毒工程师分析，这是病毒利用了Windows操作系统执行.com文件的优先级比EXE文件高的特性，这样，当用户调用系统配置文件Msconfig.exe的时候，一般习惯上输入 Msconfig，而这是执行的并不是微软的Msconfig.exe程序，而是病毒文件 Msconfig.com ，病毒作者的“良苦用心”由此可见。病毒另一狡诈之处还有，病毒还创建一名为winlogon.exe的进程，并把 winlogon.exe 的路径指向c:/windows/winlogon.exe，而正常的系统进程路径是C:/WINDOWS/system32/ winlogon.exe，以此达到迷惑用户的目的。
江民反病毒工程师介绍，除了在C盘下生成很多病毒文件外，病毒还修改注册表文件关联，每当用户点击html文件时，都会运行病毒。此外，病毒还在D盘下生成一个自动运行批处理文件，这样即使C盘目录下的病毒文件被清除，当用户打开D盘时，病毒仍然被激活运行。

    中毒症状：

    1：系统运行缓慢。

    2：右下方任务栏的杀软和防火墙图标消失（被无故关闭）但杀软的右键扫描可用。

    3：D盘双击打不开，D盘里面有autorun.inf和pagefile.com两个文件，其中autorun.inf为隐藏属性。

    4：打开任务管理器，可以看到有一个当前用户所属的1.EXE在运行，或者是一个当前用户所属的一个大写的WINLOGON.EXE在运行。

    5：打开注册表：在运行程序中运行“regedit”，会看到
    （1）：HKEY_LOCAL_MACHINE/SOFTWARE /Microsoft /Windows /CurrentVersion /Run 项里有一个Torjan pragramme，这是木马。

    （2）：HKEY_LOCAL_MACHINE /SOFTWARE /Microsoft /Windows NT /CurrentVersion /Winlogon下的%22Shell%22=%22Explorer.exe%22已被改为%22Shell%22=%22Explorer.exe 1%22。

    6：exe文件打不开（包括杀软，防火墙）。

    7：开机进入系统时会跳出一个警告框，说文件%221%22找不到。（由于杀软查杀后，无法对木马更改的注册表项进行修复）。

    病毒复活方式：

    1：在开始－运行里运行：msocnfig，command，regedit这些命令，病毒将全部恢复。

    2：双击病毒所有文件中的任何一个文件，病毒将完全恢复。

    3：双击D盘。

    中毒后对系统的改动：

    向C盘释放：（其实都是同一个文件）

    c:/windows/winlogon.exe
    C:/WINDOWS/1.com
    C:/WINDOWS/ExERoute.exe
    C:/WINDOWS/iexplore.com
    C:/WINDOWS/finder.com
    C:/WINDOWS/system32/command.pif
    C:/Windows/system32/command.com
    C:/WINDOWS/system32/dxdiag.com
    C:/WINDOWS/system32/finder.com
    C:/WINDOWS/system32/MSCONFIG.COM
    C:/WINDOWS/system32/regedit.com
    C:/WINDOWS/system32/rundll32.com
    C:/Windows/WINLOGON.EXE
    C:/WINDOWS/services.exe
    C:/WINDOWS/Debug/DebugProgramme.exe
    C:/Program Files/Common Files/iexplore.com
    C:/Program Files/Common Files/Microsoft Shared/MSInfo/msinfo.rr

    向D盘释放：

    D:/autorun.inf
    D:/pagefile.com 

    向注册表添加：

    HKEY_LOCAL_MACHINE /SOFTWARE /Microsoft /Windows /CurrentVersion /Run Torjan pragramme
    HKEY_LOCAL_MACHINE /SOFTWARE /Microsoft /Windows NT /CurrentVersion /Winlogon下的%22Shell%22=%22Explorer.exe%22已被改为%22Shell%22=%22Explorer.exe 1%22。

    处理方式：

    一：GHOST法，（建议菜鸟及无手动清除病毒经验者使用）

    1：先在D盘以外的其他盘新建了两个文本文件，在显示文件名扩展名的情况下，分别改为autorun.inf和pagefile.com，然后拷贝到D盘，覆盖了病毒在D盘的两个病毒源文件，这样这两个文件都可以正常显示了，随即直接删除，也可以在以后删除，D盘毒源就此清除。
    2：然后GHOST一遍镜像，恢复系统到从前正常状态，至此OK，如果没有镜像，建议在第一步以后重新安装系统。

    为什么不逐个清理病毒程序：

    逐个清理病毒文件比较麻烦，操作需要经验加细心，由于病毒文件如上面非常多不小心运行了一个，或在开始－运行里运行msocnfig，command，regedit这些命令，或双击磁盘 ，所有的这些文件全会自己补充回来！并且清理完成后有些后遗症，例如某些文件打不开，IE需要修复等等。

    二：逐个手动清理法（中途注意不要双击到其中任何一个文件）（必须在文件夹选项里打开显示隐藏文件及显示已知文件扩展名）

    1：打开始菜单的运行，输入命令 regedit，进注册表，到
HKEY_LOCAL_MACHINE /SOFTWARE /Microsoft /Windows /CurrentVersion /Run 删除Torjan pragramme
    2：然后注销！ 重新进入系统后到D盘（注意不要双击进入！否则又会激活这个病毒）右键，选“打开”，把pagefile.com和D:/autorun.inf删掉， 然后再到C盘把上面所列出来的文件都删掉，可以对比其他文件的日期判断。
    3：头号文件WINLOGON.EXE在C:/Windows/WINLOGON.EXE 可能提示删不掉
可以用光盘启动进入DOS模式，把它的系统，隐藏属性去掉然后删除它！

    手工病毒清除后的系统修复

    1：把那些病毒文件删掉后，所有的exe文件全都打不开了，运行cmd也不行。
到C:/Windows/system32 里，把cmd.exe文件复制出来，比如到桌面，改名成cmd.com ，然后双击这个COM文件，然后行动可以进入到DOS下的命令提示符。再打入以下的命令：
    assoc .exe=exefile （assoc与.exe之间有空格）
    ftype exefile=%22%1%22 %*
    这样exe文件就可以运行了。或者用Regfix.exe，sreng.exe等工具修复,将扩展名EXE改成COM，就可打开。

    2：开机跳出找不到文件“1.com”
    在运行程序中运行“regedit”，打开注册表，在[HKEY_LOCAL_MACHINE /SOFTWARE /Microsoft /Windows NT /CurrentVersion /Winlogon]中
把%22Shell%22=%22Explorer.exe 1%22恢复为%22Shell%22=%22Explorer.exe%22 

    3：清除了这个出马出现IE不能下载 请在IE选项 然后安全 然后点默认级别就可以下载了