而且我的电脑被按F8进不了安全模式,按F8以后他提示我是用光驱启动电脑还是用 硬盘启动!! 我不知道怎么启动?? 因为进不了安全模式落雪专杀 不能用!!! 我用手工方法去除病毒但是我每开机的时候用木马杀客一查 又出现病毒,有高手能帮忙吗??
參考答案:又是该死的落雪,用冰刃手动杀除,以下是我QQ空间里的一篇文章,希望对你有帮助,冰刃不能在安全模式下运行,所以要在普通模式下杀毒。整个过程容错性很低,要有耐心,多杀几次。
另外江民推出了落雪专杀工具,据说不错
昨天中午2点左右,由于笔者不慎在没有安全认证的网站上下载东西,本人可怜的机器中招了,嗯,终于中招了。在我不用任何防火墙和木马软件大概三个月后,终于有一个木马成功落户在我的机器中了。。。。。(我只开卡巴斯基,而且经常手动的关掉它,而且卡巴斯基的反木马能力几乎为0,而且。。。BOOOOOOM,一筐番茄砸过来,让你小子在吹牛,靠!)
不过这小子动静也太大了,先是不停的弹出广告网页,然后机器速度明显的降低,甚至还给我整了一次死机。。。操(小朋友不要学我骂人哦,否则会被妈妈打PP的^_^),这次死机使我彻底的愤怒了,因为我玩游戏玩得正爽。如果我再沉默下去,估计我就要彻底完蛋了,我决定对他开刀!
首先是情报工作
打开任务管理器,在用户名下多出一个醒目的 winlogon.exe 进程,小样,忽悠谁啊,你以为穿上马甲就是王八阿,想装系统进程,省省吧你~~
网友提供的信息:
winlogon - winlogon.exe - 进程信息
进程文件: winlogon or winlogon.exe
进程名称: Microsoft Windows Logon Process
描述:
WinLogon.exe是Windows NT登陆管理器。它用于处理你系统的登陆和登陆过程。该进程在你系统的作用是非常重要的。注意:winlogon.exe也可能是W32.Netsky.D@mm蠕虫病毒。该病毒通过Email邮件传播,当你打开病毒发送的附件时,即会被感染。该病毒会创建SMTP引擎在受害者的计算机上,群发邮件进行传播。该病毒允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议删除。
出品者: Microsoft Corp.
属于: Microsoft Windows Operating System
系统进程: 是
后台程序: 是
使用网络: 否
硬件相关: 否
常见错误: 未知N/A
内存使用: 未知N/A
安全等级 (0-5): 0
间谍软件: 否
Adware: 否
病毒: 否
木马: 否
Windows Logon Process,Windows NT用户登陆程序。这个进程是管理用户登录和退出的。而且winlogon在用户按下CTRL+ALT+DEL时就激活了,显示安全对话框。
嗯,这个才是真正的winlogon。
据其他网友提供的情报,该进程为木马“落雪”(好浪漫的名字~),主要盗取传奇帐号,至于其他帐号。。。那就要看它高不高兴了,是个很顽固的家伙,删除很困难,而且它对决大多数的杀毒软件免疫。
既然这样,那就用冰刃这个并非杀毒软件的家伙来对付它。
冰刃:
这是一斩断黑手的利刃,它适用于Windows 2000/XP/2003 操作系统,其内部功能是十分强大,用于查探系统中的幕后黑手-木马后门,并作出处理。可能您也用过很多类似功能的软件,比如一些进程工具、端口工具,但是现在的系统级后门功能越来越强,一般都可轻而易举地隐藏进程、端口、注册表、文件信息,一般的工具根本无法发现这些“幕后黑手”。IceSword 使用了大量新颖的内核技术,使得这些后门躲无所躲。
下载地址
开战了,the time has come!
第一步 ,用冰刃察看进程winlogon,锁定目标,C:\Windows\WINLOGON.EXE!
开火,等等这家伙穿这着防弹衣-——正在运行中。
我尝试着用任务管理器来结束这个进程,但是失败了,因为它很好的利用WINXP对关键进程的保护。不过冰刃是第三方软件,轻松的把这个进程K.O.
然后,用冰刃观察C盘,其中有文件
C:\WINDOWS\1.com
C:\WINDOWS\iexplore.pif
C:\WINDOWS\finder.com
C:\WINDOW*\**eroud.exe
C:\Windows\system32\msconfig.com
C:\Windows\system32\regedit.com
C:\Windows\system32\dxdiag.com
C:\Windows\system32\rundll32.com
C:\Windows\system32\finder.com
C:\Windows\system32\a.exe
C:\Program Files\Internet Explorer\iexplore.com
C:\Program Files\Common Files\iexplore.com
D:\autorun.inf
D:\pagefile.com
创建日期和木马感染时期一样。
说明:文件格式名可能为com\pif\exe中的任何一个。d盘中的两个文件可以使你无法打开D盘,很厉害的。
然后。。删,全删。。。
就这样,决战结束了,有点不过瘾。不过后面的清理战场很困难
PS:用冰刃有三个好处,一个是你可以清楚地看到文件的文件的基本属性,大小、创建日期等等;第二个是有效的避免了操作失误,再删除过程中如果你不慎双击的某个文件,那么恭喜你,从头再来吧,用冰刃就不会删除了。再有,冰刃可以轻松的把任何隐藏文件显现出来。
用冰刃就用到这里就行了,你觉得很轻松?那你就不用冰刃去试一下吧。。。。。。
然后修改注册表,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
里面,有一个Torjan pragramme,这个明摆着“我是木马”,删!!
重启后出现提示找不到文件“1.com”
在运行程序中运行“regedit”,打开注册表,在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]中
把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"
其实这时候你是打不开注册表的,我们先来处理一下
到C:\Windows\system32 里,把cmd.exe文件复制出来,比如到桌面,改名成cmd.com 嘿嘿 我也会用com文件,然后双击这个COM文件
然后行动可以进入到DOS下的命令提示符。
再打入以下的命令:
assoc .exe=exefile (assoc与.exe之间有空格)
ftype exefile="%1" %*
这样exe文件就可以运行了。 如果不会打命令,只要打开CMD.COM后复制上面的两行分两次粘贴上去执行就可以了。
好了,就这么搞定了
参考资料:
