头晕呀！！！郁闷中！！

yzh8212

今天早上杀毒．日杀第一次杀出９６个毒来．看了我直冒冷汗！！不放心在杀下差点晕死又杀出１５个病毒来！！

[em06][em06][em06][em06][em06][em06][em06][em06][em06][em06][em06][em06][em06][em06][em06][em06][em05]

老K

呵呵，搞外挂了

[em05]

666

哦，你多长时间杀一次毒哇？

yzh8212

每天杀的！！

[em06]

老K

每天杀？怎么会一下子出来这么多东东，劝你把系统重装一次吧

666

就是呀,每天杀怎么会有这么多.

yzh8212

搞清楚了是新木马叫落雪我日名字搞的真好听！！！

病状：D盘双击打不开，里面有autorun.inf和pagefile.com文件 做这个病毒的人也太强了，在安全模式用Administrator一样解决不了！经过一个下午的奋战才算勉强解决。 我没用什么查杀木马的软件，全是手动一个一个把它揪出来把他删掉的。它所关联的文件如下，绝大多数文件都是显示为系统文件和隐藏的。 所以要在文件夹选项里打开显示隐藏文件。 D盘里就两个，搞得你无法双击打开D盘。里盘里的就多了！ D:\autorun.inf D:\pagefile.com C:\Program Files\Internet Explorer\iexplore.com C:\Program Files\Common Files\iexplore.com C:\WINDOWS\1.com C:\WINDOWS\iexplore.com C:\WINDOWS\finder.com C:\WINDOWS\Exeroud.exe（忘了是不是这个名字了，红色图标有传奇世界图标的） C:\WINDOWS\Debug\*** Programme.exe(也是上面那个图标，名字忘了-_- 好大好明显非隐藏的) C:\Windows\system32\command.com 这个不要轻易删，看看是不是和下面几个日期不一样而和其他文件日期一样，如果和其他文件大部分系统文件日期一样就不能删，当然系统文件肯定不是这段时间的。 C:\Windows\system32\msconfig.com C:\Windows\system32\regedit.com C:\Windows\system32\dxdiag.com C:\Windows\system32\rundll32.com C:\Windows\system32\finder.com C:\Windows\system32\a.exe 　　对了，看看这些文件的日期，看看其他地方还有没有相同时间的文件还是.COM结尾的可疑文件，小心不要运行任何程序，要不就又启动了，包括双击磁盘还有一个头号文件！WINLOGON.EXE！做了这么多工作目的就是要杀掉她！！ C:\Windows\WINLOGON.EXE 这个在进程里可以看得到，有两个，一个是真的，一个是假的。 真的是小写winlogon.exe，（不知你们的是不是），用户名是SYSTEM， 而假的是大写的WINLOGON.EXE，用户名是你自己的用户名。　　这个文件在进程里是中止不了的，说是关键进程无法中止，搞得跟真的一样！就连在安全模式下它都会呆在你的进程里！ 我现在所知道的就这些，要是不放心，就最好看一下其中一个文件的修改日期，然后用“搜索”搜这天修改过的文件，相同时间的肯定会出来一大堆的， 连系统还原夹里都有！！ 这些文件会自己关联的，要是你删了一部分，不小心运行了一个，或在开始－运行里运行msocnfig，command，regedit这些命令，所有的这些文件全会自己补充回来！　　知道了这些文件，首先关闭可以关闭的所有程序，打开程序附件里头的WINDOWS资源管理器，并在上面的工具里头的文件夹选项里头的查看里设置显示所有文件和文件假，取消隐藏受保护操作系统文件，然后打开开始菜单的运行，输入命令 regedit，进注册表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 里面，有一个Torjan pragramme，这个明摆着“我是木马”，删！！ 　　然后注销！ 重新进入系统后，打开“任务管理器”，看看有没rundll32，有的话先中止了，不知这个是真还是假，小心为好。 到D盘（注意不要双击进入！否则又会激活这个病毒）右键，选“打开”，把autorun.inf和pagefile.com删掉， 然后再到C盘把上面所列出来的文件都删掉！中途注意不要双击到其中一个文件，否则所有步骤都要重新来过！ 然后再注销。 　　我在奋战过程中，把那些文件删掉后，所有的exe文件全都打不开了，运行cmd也不行。　　然后，到C:\Windows\system32 里，把cmd.exe文件复制出来，比如到桌面，改名成cmd.com ．我也会用com文件，然后双击这个COM文件，然后行动可以进入到DOS下的命令提示符。再打入以下的命令： assoc .exe=exefile （assoc与.exe之间有空格） ftype exefile="%1" %* 　　这样exe文件就可以运行了。 如果不会打命令，只要打开CMD.COM后复制上面的两行分两次粘贴上去执行就可以了。　　但我在弄完这些之后，在开机的进入用户时会有些慢，并会跳出一个警告框，说文件"1"找不到。（应该是Windows下的1.com文件。）,最后用上网助手之类的软件全面修复IE设置．　　最后说一下怎么解决开机跳出找不到文件“1.com”的方法： 在运行程序中运行“regedit”，打开注册表，在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe" 大功告成！大家分享一下吧

[em06][em06][em06]

666

哦,看到第5行我就晕了,这么复杂的工程,我是做不来呀!

要是我遇到这个木马,估计只能格了重装系统了.

[此贴子已经被作者于2007-3-29 22:51:05编辑过]

666

箱子掉的也太快了,交易所已经有人挂到14汉了,还是挂48小时!

汗!

yzh8212

　　摘要：專門針對網絡游戲的“落雪”新木馬發作后，竟然會在電腦中生成14個名稱各異的病毒文件，并反復發起攻擊。

　　專門針對網絡游戲的“落雪”新木馬發作后，竟然會在電腦中生成14個名稱各異的病毒文件，并反復發起攻擊。這款罕見的多文件木馬病毒能輕易盜取網絡游戲賬號和密碼，讓玩家傷透了腦筋。

　　一些網游玩家日前向北京江民公司舉報，稱他們的賬號和密碼接連被盜，殺毒軟件也突然異常終止工作。經過分析玩家上報的可疑文件樣本，江民反病毒中心的專家確認“作案者”為一款名為“落雪”的新木馬病毒，《魔獸世界》《傳奇世界》《夢幻西游》等常見網絡游戲都是它的攻擊對象，危害極大。

　　據專家介紹，“落雪”也稱“游戲大盜”，通常偽裝成網絡游戲登錄器來迷惑玩家。一旦發作，它會在電腦中生成14個病毒文件，很難徹底查殺。狡詐的施毒者為病毒起的文件名與正常系統文件極為相似，以此引誘玩家上當點擊激活病毒。施毒者還修改了注冊表的文件關聯，這樣每當用戶點擊HTML類型文件時，病毒都會運行。

　　“落雪”難以查殺的另一個原因是，它運行后會在電腦D盤下生成一個自動運行批處理文件，即使C盤中的病毒文件被清除，但只要用戶打開D盤，病毒仍然可以被激活。據了解，江民反病毒中心目前已找到對付“落雪”的辦法，并緊急升級了病毒庫。