2006年最難對付的木馬病毒之一。“落雪”木馬也叫“遊戲大盜”( Trojan/PSW.GamePass),由VB 程式語言編寫,通過 nSPack 3.1 加殼處理(即通常所說的“北斗殼”North Star),該木馬檔案圖示一般是紅色的圖案,偽裝成網路遊戲的登入器。
基本介紹
- 中文名:落雪木馬
- 外文名:Trojan/PSW.GamePass
- 出現時間:2006年
- 別稱:遊戲大盜
基本信息,病毒症狀,解決方法,網友見解,
基本信息
2006年最難對付的木馬病毒之一。
這個進程是不是一個傳奇世界程式的圖示使用51破解版傳家寶會生產一個WINLOGON.EXE進程
正常的winlogon系統進程,其用戶名為“SYSTEM” 程式名為小寫winlogon.exe。
而偽裝成該進程的木馬程式其用戶名為當前系統用戶名,且程式名為大寫的WINLOGON.exe。
進程查看方式 ctrl+alt+del 然後選擇進程。正常情況下有且只有一個winlogon.exe進程,其用戶名為“SYSTEM”。如果出現了兩個winlogon.exe,且其中一個為大寫,用戶名為當前系統用戶的話,表明可能存在木馬。
那個WINDOWS下的WINLOGON.EXE確實是病毒,但是,她不過是這個病毒中的小角色而已,大家打開D糟看看是否有一個pagefile的DOS指向檔案和一個autorun.inf檔案了,呵呵,當然都是隱藏的,刪這幾個沒用的,因為她關聯了很多東西,甚至在安全模式都難搞,只要運行任何程式,或者雙擊打開D糟,她就會重新被安裝了,呵呵,這段時間很多人被盜就是因為這個破解的傳家寶了,而且防毒軟體查不出來,有人叫這個病毒為 ”落雪“ 是專門盜傳奇傳奇世界的木馬,至於會不會盜其他帳號如QQ,網銀就看她高興了,呵呵,估計也都是一併錄製。不怕毒和要減少損失的最好開啟防火牆阻止除了自己信任的幾個常用任務出門,其他的全部阻擋,當然大家最好儘快備份,然後關門防毒
包括方新等修改過的傳家寶,和他們破解的其他一切外掛,這次嫌疑最大的是51PYWG,至於其他合作網站估計也逃不了關係,特別是方新網站,已經被證實過多次在網站放木馬,雖然他解釋是被黑了,但是不能排除其他可能,特別小心那些啟動後連線網站的外掛,不排除啟動器本身就有毒,反正一句話,這種啟動就連線某網站的破解軟體最容易放毒,至於什麼時候放,怎么方,比如一天放幾個小時,都要看他怎么爽,用也儘量用那種完全本地破解驗證版的,雖然掛盟現在好像還沒發現被放馬或者自己放,但是千萬小心,,最近傳奇世界傳奇N多人被盜號,目標直指這些網站,以下是最近特別毒的WINLOGON.EXE盜號病毒清除方法,注意這個假的WINLOGON.EXE是在WINDOWS下,進程裡頭表現為當前用戶或ADMINISTRATOR.另外一個 SYSTEM的winlogon.exe是正常的,那個千萬不要亂刪,看清楚了,前面一個是大寫,後面一個是小寫,而且經部分網友證實,此檔案連線目的地為河南。
病毒症狀
進程裡面有2個lsass.exe進程,一個是system的,一個是當前用戶名的(該進程為病毒).雙擊D:盤打不開,只能通過右擊選擇打開來打開.用kaspersky掃描可以掃描出來,並且可以殺掉.但是重啟後又有兩個lsass.exe進程.該病毒是一個木馬程式,中毒後會在D糟根目錄下產生command.com和autorun.inf兩個檔案,同時侵入註冊表破壞系統檔案關聯.該病毒修改註冊表啟動RUN鍵值,指向LSASS.exe,修改HKEY_CLASSES_ROOT下的.exe,exefile鍵值,並新建windowfile鍵值.將exe檔案打開連結關聯到其生成的病毒程式%SYSTEM\EXERT.exe上.
該病毒新建如下檔案:
c:\program files\common files\INTEXPLORE.pif
c:\program files\internet explorer\INTEXPLORE.com
%SYSTEM\debug\debugprogram.exe
%SYSTEM\system32\Anskya0.exe
%SYSTEM\system32\dxdiag.com
%SYSTEM\system32\MSCONFIG.com
%SYSTEM\system32\regedit.com
%SYSTEM\LSASS.exe
%SYSTEM\EXERT.exe
解決方法
結束進程
調出windows任務管理器(Ctrl+Alt+Del),發現通過簡單的右擊當前用戶名的lsass.exe來結束進程是行不通的.會彈出該進程為系統進程無法結束的提醒框;滑鼠右鍵點擊"系統列",選擇"任務管理器"。點擊選單"查看(V)"->"選擇列(S)...",在彈出的對話框中選擇"PID(進程標識符)",並點擊"確定"。找到映象名稱為"LSASS.exe",並且用戶名不是"SYSTEM"的一項,記住其PID號.點擊"開始"-》“運行”,輸入"CMD",點擊"確定"打開命令行控制台。輸入"ntsd –c q -p (PID)",比如我的計算機上就輸入"ntsd –c q -p 1064".
刪除病毒檔案
以下要刪除的檔案大多是隱藏檔案所以要首先設定顯示所有的隱藏檔案、系統檔案並顯示檔案擴展名;我的電腦-->工具(T)-->資料夾選項(O)...-->查看-->選擇"顯示所有檔案和資料夾",並把隱藏受保護的作業系統檔案(推薦)前的勾去掉,這時會彈出一個警告,選擇是.至此就顯示了所有的隱藏檔案了.
刪除如下幾個檔案:
C:\Program Files\Common Files\INTEXPLORE.pif
C:\Program Files\Internet Explorer\INTEXPLORE.com
C:\WINDOWS\EXERT.exe
C:\WINDOWS\IO.SYS.BAK
C:\WINDOWS\LSASS.exe
C:\WINDOWS\Debug\DebugProgram.exe
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\regedit.com
在D:盤上點擊滑鼠右鍵,選擇“打開”。刪除掉該分區根目錄下的"Autorun.inf"和"command.com"檔案.
刪除註冊表中的其他垃圾信息
這個病毒該寫的註冊表位置相當多,如果不進行修復將會有一些系統功能發生異常。
將Windows目錄下的"regedit.exe"改名為"regedit.com"並運行,刪除以下項目:
HKEY_CLASSES_ROOT\WindowFiles
HKEY_CURRENT_USER\Software\VB and VBA Program Settings
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
下面的 Check_Associations項
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下面的ToP項
將HKEY_CLASSES_ROOT\.exe的默認值修改為
"exefile"(原來是windowsfile)
將HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command
的默認值修改為
"C:\Program Files\Internet Explorer\iexplore.exe" %1"
(原來是intexplore.com)
將HKEY_CLASSES_ROOT\CLSID\
\shell\OpenHomePage\Command 的默認值修改為
"C:\Program Files\Internet Explorer\IEXPLORE.EXE"(原來是INTEXPLORE.com)
將HKEY_CLASSES_ROOT \ftp\shell\open\command
和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command
的默認值修改為"C:\Program Files\Internet Explorer\iexplore.exe" %1"
(原來的值分別是INTEXPLORE.com和INTEXPLORE.pif)
將HKEY_CLASSES_ROOT \htmlfile\shell\open\command
HKEY_CLASSES_ROOT\HTTP\shell\open\command的默認值修改為
"C:\Program Files\Internet Explorer\iexplore.exe" –nohome”
將HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
的默認值修改為"IEXPLORE.EXE".(原來是INTEXPLORE.pif)
重新將Windows目錄下的regedit擴展名改回exe,至此病毒清除成功,註冊表修復完畢.Enjoy It .
網友見解
目前,落雪出現了很多的變種,統計了一下有 Lsass.exe/Smss.exe/Winlogon.exe 等,手動清除十分的困難。
