落雪木马病毒的手工清除方法

落雪木马病毒的手工清除方法
落雪木马这个病毒把我折腾了一个星期，杀毒软件和防火墙被禁用，双击打不开其它盘和软件，最后装了系统才解决。今天，发现这个手工清除方法，很有效，已经帮朋友干掉了落雪木马这个家伙，发上来与大家共享一下！！！

中毒症状：

   1：系统运行缓慢。

   2：右下方任务栏的杀软和防火墙图标消失（被无故关闭）但杀软的右键扫描可用。

   3：D盘双击打不开，D盘里面有autorun.inf和pagefile.com两个文件，其中autorun.inf为隐藏属性。

   4：打开任务管理器，可以看到有一个当前用户所属的1.EXE在运行，或者是一个当前用户所属的一个大写的WINLOGON.EXE在运行。

   5：打开注册表：在运行程序中运行“regedit”，会看到
   （1）：HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run 项里有一个Torjan pragramme，这是木马。

   （2）：HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon下的"Shell"="Explorer.exe"已被改为"Shell"="Explorer.exe 1"。

   6：exe文件打不开（包括杀软，防火墙）。

   7：开机进入系统时会跳出一个警告框，说文件"1"找不到。（由于杀软查杀后，无法对木马更改的注册表项进行修复）。

中毒后对系统的改动：

   向C盘释放：（其实都是同一个文件）

   c:/windows/winlogon.exe
   C:/WINDOWS/1.com
   C:/WINDOWS/ExERoute.exe
   C:/WINDOWS/iexplore.com
   C:/WINDOWS/finder.com
   C:/WINDOWS/system32/command.pif
   C:/Windows/system32/command.com
   C:/WINDOWS/system32/dxdiag.com
   C:/WINDOWS/system32/finder.com
   C:/WINDOWS/system32/MSCONFIG.COM
   C:/WINDOWS/system32/regedit.com
   C:/WINDOWS/system32/rundll32.com
   C:/Windows/WINLOGON.EXE
   C:/WINDOWS/services.exe
   C:/WINDOWS/Debug/DebugProgramme.exe
   C:/Program Files/Common Files/iexplore.com
   C:/Program Files/Common Files/Microsoft Shared/MSInfo/msinfo.rr

   向D盘释放：

   D:/autorun.inf
   D:/pagefile.com

   向注册表添加：

   HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Torjan pragramme
   HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon下的"Shell"="Explorer.exe"已被改为"Shell"="Explorer.exe 1"。

1：打开始菜单的运行，输入命令 regedit，进注册表，到
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run 删除Torjan pragramme
   2：然后注销！ 重新进入系统后到D盘（注意不要双击进入！否则又会激活这个病毒）右键，选“打开”，把pagefile.com和D:/autorun.inf删掉， 然后再到C盘把上面所列出来的文件都删掉，可以对比其他文件的日期判断。
   3：头号文件WINLOGON.EXE在C:/Windows/WINLOGON.EXE 可能提示删不掉
可以用光盘启动进入DOS模式，把它的系统，隐藏属性去掉然后删除它！

手工病毒清除后的系统修复

   1：把那些病毒文件删掉后，所有的exe文件全都打不开了，运行cmd也不行。
到C:/Windows/system32 里，把cmd.exe文件复制出来，比如到桌面，改名成cmd.com ，然后双击这个COM文件，然后行动可以进入到DOS下的命令提示符。再打入以下的命令：
   assoc .exe=exefile （assoc与.exe之间有空格）
   ftype exefile="%1" %*
   这样exe文件就可以运行了。或者用Regfix.exe，sreng.exe等工具修复,将扩展名EXE改成COM，就可打开。

   2：开机跳出找不到文件“1.com”
   在运行程序中运行“regedit”，打开注册表，在[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]中
把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"

   3：清除了这个出马出现IE不能下载 请在IE选项 然后安全 然后点默认级别就可以下载了。

 

嗯，反正是中毒的结果，我曾经也遇到过，看看你的进程里有没有什么的SXS.EXE或是其他木马进程，还有如果进程里有SVOHOST.EXE(不是SVCHOTS.EXE),就是中了QQ通行证病毒了，建议使用EWIDO4.0(到网上下个绿色版)查杀木马和相关病毒,很不错的软件,木马清道夫2006也不错...你可以试试,上面的几位兄弟也说清楚了，把隐藏的病毒文件删掉,然后到注册表里去清理清理,应该就没什么问题了...这个毒可能会禁止你打开隐藏的文件,防止你把它的躯壳给删除,如果你查看不了隐藏文件的话，看看我写的博客吧:

中毒症状:双击盘符无法打开，只能通过右键打开；还有磁盘里的隐藏文件夹通过显示隐藏文件也打不开，在磁盘里生成autorun.inf和*.exe文件，打开任务管理器看到SVOHOST.EXE，(不是SVCHOST.EXE!一字之差)……(这只是我看到的最基本的症状)

传播途径：U盘、MP3、移动硬盘
当你直接双击U盘盘符，会激活autorun.inf自动加载*exe，这样病毒就通过U盘到处传播了。
最近一直在我们学校流行的木马病毒有ROSE.EXE，还有一个是SXS.EXE,也是ROSE的变种,上次在打印的地方还感染一个叫Toy.exe的木马，也比较流行。

根据我的杀毒体会，给大家提个建议:在学校机房里使用U盘千万要小心,重要资料随时到电脑里备份。
最好在机房里使用邮箱的网盘存储东西，我用的就是网易280兆的网盘.
最近我的电脑已经被这样的木马感染多次了，我都感觉杀的有点烦了，主要是通过同学的U盘传染过来的。
所以为了使大家的电脑和U盘等恢复健康，给大家提出我的解决方法,希望能有帮助。

通过右键打开你的U盘，先把U盘(MP3)里的重要资料备份到我的电脑里,然后不管三七二十一，把它格式化了再说，(格了最放心!因为有时候木马会在你的盘里形成残留文件，有时双击会出现警告:找不到*.EXE! 这些残留文件是隐藏的，有些木马不让你打开隐藏文件，够可恶吧)
这样U盘就可以恢复健康了，把你的重要资料转移进去就可以了，以后可要小心了哦!

只要是插过这样的U盘或者MP3,很可能你的电脑里也被感染了，看看你的隐藏文件夹能否通过显示隐藏看到，如果看不到，百分百被感染了，解决方法(一定按步骤来!):
进入注册表，把HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/explore/Advanced/Folder/Hidden/SHOWALL里CheckedValue先删掉, 点SHOWALL新建DWORD值，名称为原来的CheckedValue，数据为1。
刷新注册表后你就应该可以看到你的隐藏文件了.

其实要完全解决这个毒还是有些麻烦的，进注册表搜索它的名字,找到就删,包括上面提到的SVOHST,最后我终于把它给消灭了!

 

分区双击打不开了
试试下面的办法
在资源管理器里选择“工具－－文件夹选项－－查看”，勾选“显示所有文件和文件夹”并去掉“隐藏受保护的操作系统文件”前的勾。
1 如果各分区根目录下除autorun.inf外还有什么其它隐藏文件，有的话，记下名字然后将它删除（如果能删除的话）。右击这个Autorun.inf 文件，选择用记事本打开，查看里面的内容，记下其中“open=”这个等于后面的那个文件名。然后将这个Autorun.inf也删除。重新启动电脑。

2.下载一个软件：冰刃(http://www.ttian.net/website/2005/0829/391.html)
这是一个绿色软件，下载解压缩后即可使用。

3.直接在冰刃左侧的栏里通过“文件”直接定位到这个文件所在的文件夹下，找到这个文件。

4.通过按钮“创建时间”对这个文件夹下的文件进行排序，仔细查看与这个文件在创建时间是同一天的所有文件（但是不是都是与它一样是病毒文件，需要你判断）。右击它们一一删除。

5.以记下的、Open后面的这些文件的文件名搜索整个注册表，删除搜索到的键值。

6.重启电脑。

如果这样操作以后，出现双击分区不能打开分区的情况，请按下面的操作即可。
打开我的电脑 工具 文件夹选项 文件类型 找到“驱动器” 点下方的“高级” 点选“编辑文件类型”里的“新建” 操作里填写“open”（这个可随意填写） 用于执行操作的应用程序里填写explorer.exe 确定
随后返回到“编辑文件类型”窗口，选中open 设为默认值 确定 现在再打开分区看下，是不是已恢复正常？