症状:网卡,启动项目出现1.com,Torjan pragramme,进程中出现两个winlogon.exe。system32目录下出现一些莫名其妙的.com文件,windows目录下出现exeroute.exe和winlogon.exe文件。
手杀:查看两个winlogon.exe文件大小,创建日期,所在路径。用冰刃强行终止其中用户名为ruimoon的一个。手动删除上述文件以及可以.com文件,发现只要打开盘符仍然会自动创建。
怀疑盘下也被感染,查看盘跟目录发现隐藏autorun.inf和pagefile.pif,为同一日期创建。
搜索所有盘同一天创建的文件,逐个查看并在注册表中删除相应键值,分别有:\WINDOWS\1.com
C:\WINDOWS\iexplore.com
C:\WINDOWS\finder.com
C:\WINDOWS\Exeroud.exe
C:\WINDOWS\Debug\DebugProgramme.exe
C:\Windows\winlogon.EXE
以及其他一些以a00开头的注册信息文件。
删除后发现所有exe文件打不开。重新建立文件关联(新建exe,高级选应用程序,也可以通过还原键)。事实上此时的exe文件可以通过cmd打开。
网上有用其他方法,摘录如下:
方法一:把regedit.exe改名为regedit.com,然后执行regedit.com,把HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command右边默认项的键值改为"%1" %*即可
方法二:(只适用于Win2000/XP):
1、将cmd.exe改名为cmd.com或cmd.scr。
2、运行cmd.com
3、运行下面两个命令:
ftype exefile="%1" %*
assoc .exe=exefile
4、将cmd.com改回cmd.exe
方法三:当然是利用第三方工具了,如去下载瑞星的注册表修复器:http://download.rising.com.cn/zsgj/RegClean.com,利用它来修复一下文件关联。
ps:听说此病毒来自于www.365key.com
ps:搜索到的网络资料:“落雪”木马专杀工具 http://www.cisrt.org/avtools/MiscKiller.rar