gainover

今天开着卡巴中毒了...

病毒程序 特征:

进程 LSASS.EXE SMSS.EXE(模拟系统进程,你会发现进程中有2个这样的)

C:\windows  C:\windows\system32 多出不少应用程序,属性为隐藏

特别是C:\windows\system32里

有MSCONFIG.COM REGEDIT.COM COMMAND.....

发现又是那个病毒 ,上次我叔叔家也是中的这个,我同学家中的也是这个,

看来这个病毒很猖狂了

可以偷传奇帐号,同样可以偷大话 梦幻的帐号

说实话,这个毒是我见过最难查杀的..... 确实蛮厉害

如果对病毒不是很了解 的话, 即使你重新装系统了,一样没用

我到网上找来解决方法,希望能给中毒的人以参考

具体症状

双击D盘打不开,点右键能打开,打开后发现有autorun.ini 及pagefile的文件
注册表中
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\Winlogon\Shell 这个键值 为 Explorer.exe 1(正常情况下这个键值为 Explorer.exe 没有后面的 1 )
在进程中有两个 winlogon.exe的进程及ExERoute.exe
如果你的电脑出现上面的症状,那说明你中招了.
解决方法有两种,一种是自动解决,一种是手动解决.
自动解决:
首先上木马杀客的网站下载一个落雪木马专杀(专杀工具下载)
再下载一个木马杀客软件(木马杀客下载)
1。然后在正常模式下关闭系统还原
2。然后重起电脑按F8进入安全模式后  再选择进Administrator用户名
3。在刚查杀的时候不要开启任何程序（包括木马杀客和开机启动的程序） D盘不能双击 也不能运行后缀为.exe的文件和程序
4。先用落雪木马专杀的查杀功能查杀下然后再选择落雪木马专杀的修复功能修复（选择全自动修复功能修复千万别忘记了）
5.  再打开木马杀客全盘扫描查杀下（如果还发现有木马请在隔离区把病毒文件删除）
6.再去看下进程有没木马进程
7.正常启动电脑,看进程及注册表里还没有本文开头所说的症状.

手动查杀
手动查杀需要用到两个软件 Regfix及Process Explorer
下载地址:
Process Explorer 下载
FixReg下载
1.将下载下来的FixReg文件解压出来,将主程序扩展名.exe 改为 .com备用
2.安装Process Explorer 装完后,找到其安装目录,将主程序的扩展名.exe 改为 .com
关掉所有不用的程序,运行这个软件,结束掉WINLOGON.exe进程(有的时候可能是services.exe、CSRSS.EXE、lsass.exe 等等),及ExERoute.exe进程. 这个时候需要注意一下,自己仔细看一下进程,上面提到的进程,在你的机器里,那个是双份的,因为一个是正常的,另一个是病毒,这Process Explorer软件里,你将鼠标指向某个进程,会显示你这个进程的所在位置.这样你就可以分辩那个是病毒了,正常的那个进程是在\windows\system32下,而病毒进程是在\windows\下.(如果是2K系统,那么是winnt
3.运行FixReg.com,修复exe 文件关联.
4.,还原被病毒修改的注册表内容:
注册表打开方法：开始----运行----输入 regedit  --点确定
打开注册表编辑器,需要修改以下内容:
HKEY_CLASSES_ROOT\.lnk\ShellNew\\command
HKEY_CLASSES_ROOT\.bfc\ShellNew\\command
HKEY_CLASSES_ROOT\cplfile\Shell\cplopen\command\\
HKEY_CLASSES_ROOT\dunfile\Shell\open\command\\
HKEY_CLASSES_ROOT\file\Shell\open\command\\
HKEY_CLASSES_ROOT\htmlfile\Shell\Print\command\\
HKEY_CLASSES_ROOT\inffile\Shell\Install\command\\
HKEY_CLASSES_ROOT\InternetShortcut\Shell\open\command\\
HKEY_CLASSES_ROOT\scrfile\Shell\Install\command\\
HKEY_CLASSES_ROOT\telnet\Shell\open\command\\
HKEY_CLASSES_ROOT\scriptletfile\Shell\Generate Typelib\command\\
HKEY_CLASSES_ROOT\Unknown\Shell\openas\command\\
HKEY_CLASSES_ROOT\dunfile\Shell\open\command\\
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\Shared Tools\MSInfo\ToolSets\MSInfo\hdwwiz\\command
将以上注册表键值下的"rundll32.com","finder.com","command.pif"改为"rundll32.exe"
(据观察用FixReg软件执行全面修复后,上面这些已经是正确的了,如不正确再手动修改)

HKEY_CLASSES_ROOT\htmlfile\Shell\open\command\\
HKEY_CLASSES_ROOT\Applications\iexplore.exe\Shell\open\command\\
HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\Shell\OpenHomePage\command\\
HKEY_CLASSES_ROOT\ftp\Shell\open\command\\
将以上键值下的"iexplore.com"改为"iexplore.exe"

HKEY_CLASSES_ROOT\htmlfile\Shell\opennew\command\\
HKEY_CLASSES_ROOT\http\Shell\open\command\\
将以上键值下内容修改为"%SystemRoot%\Program Files\Internet Explorer\iexplore.exe"

HKEY_CLASSES_ROOT\Drive\Shell\find\command\\
将以上键值下的"explorer1.com"改为"iexplore.exe"

HKEY_CLASSES_ROOT\.exe\\
将以上键值下的"(默认)"修改为"exefile"

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\Winlogon\\Shell
将以上键值下的"Explorer.exe 1"修改为"Explorer.exe"

HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\Internet Explorer\Main\\Check_Associations
将以上键值下的"No"修改为"Yes"

删除HKCR\winfiles
删除病毒自启动项和病毒信息:
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\RUN\\Torjan Program
"%Windows%\CSRSS.exe"    (或services.exe Winlogon.exe Lsass.exe smss.exe等)
HKEY_CURRENT_USER\SOFTWARE\VB and VBA Program Settings
删除HKLM\SOFTWARE\MICROSOFT\Windows\CURRENT VERSION子键(注意不是CURRENTVERSION子键，删中间有空格的那个，别删错了!)

5,最后删除病毒文件:
C:\WINDOWS\finder.com     
C:\WINDOWS\explorer.com
C:\WINDOWS\1.com     
C:\WINDOWS\ExERoute.exe  
C:\WINDOWS\system32\rundll32.com
C:\WINDOWS\system32\finder.com
C:\WINDOWS\system32\command.pif   
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\regedit.com
D:\autorun.inf
D:\pagefile
D:\command.com
c:\windows\winlogon.exe
C:\Program Files\Internet Explorer\iexplore.com
C:\WINDOWS\Debug\DebugProgram.exe
C:\WINDOWS\system32\MSWINSCK.OCX
C:\Program Files\Common Files\iexplore.pif
D:\command.com
C:\WINDOWS\EXERT.exe
C:\WINDOWS\LSASS.exe
c:\windows\winlogon.exe
c:\windows\smss.exe
PS:发上内容有部分摘自网络.
最后祝大家电脑上没有中此病毒,如果中此病毒那么祝大家可以安全清除掉.


同样 有相关的病毒 我也列举下

病毒名称：传奇终结者变种JBA（Trojan.PSW.Lmir.jba）（注意：同样适用于网易游戏）
病毒类型：通过网络传播的盗号木马
病毒危害级别：★★★☆
病毒发作现象及危害：
该病毒是一个可以在WIN9X/NT/2000/XP等操作系统上运行的盗号木马。病毒会强行终止多种杀毒软件的进程，使其不能正常运行。它会频繁检查游戏客户端的窗口，如果窗口存在，就会取得当前鼠标的位置，并记录键盘信息，最后把记录下来的信息发送到指定邮箱，从而窃取用户的游戏账号和密码等。  
这个病毒比较狠毒，手工清除较为复杂。请用户务必按照步骤严格操作，否则很可能出现无法清除干净的情况。建议一般用户最好使用杀毒软件来清除这个病毒。

手工删除：
一、 结束病毒进程
鼠标右键点击“任务栏”，选择“任务管理器”。点击菜单“查看”－>“选择列”，在弹出的对话框中选择“PID（进程标识符）”，并点击“确定”。

找到映象名称为“LSASS.exe”，并且用户名不是“SYSTEM”的一项，记住其PID号。

点击“开始”－》“运行”，输入“CMD”，点击“确定”打开命令行控制台。输入“ntsd –c q -p (PID)”，比如我的计算机上就输入“ntsd –c q -p 1464”。

二、 删除病毒文件
打开“我的电脑”，设置显示所有的隐藏文件、系统文件并显示文件扩展名。删除如下几个文件：
C:\Program Files\Common Files\INTEXPLORE.pif、
C:\Program Files\Internet Explorer\INTEXPLORE.com、
C:\WINDOWS\EXERT.exe、
C:\WINDOWS\IO.SYS.BAK、
C:\WINDOWS\LSASS.exe、
C:\WINDOWS\Debug\DebugProgram.exe、
C:\WINDOWS\system32\dxdiag.com、
C:\WINDOWS\system32\MSCONFIG.COM、
C:\WINDOWS\system32\regedit.com

如果硬盘有其他分区，则在其他分区上点击鼠标右键，选择“打开”。删除掉该分区根目录下的“Autorun.inf”和“command.com”文件。

三、删除注册表中的其他垃圾信息
这个病毒该写的注册表位置相当多，如果不进行修复将会有一些系统功能发生异常。

将Windows目录下的“regedit.exe”改名为“regedit.com”并运行，删除以下项目：
HKEY_CLASSES_ROOT\WindowFiles、
HKEY_CURRENT_USER\Software\VB and VBA Program Settings、
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main下面的 Check_Associations项、
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面的ToP项。

将HKEY_CLASSES_ROOT\.exe的默认值修改为“exefile”
将HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command的默认值修改为“"C:\Program Files\Internet Explorer\iexplore.exe" %1”
将HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command的默认值修改为“C:\Program Files\Internet Explorer\IEXPLORE.EXE”
将HKEY_CLASSES_ROOT\ftp\shell\open\command和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command的默认值修改为“"C:\Program Files\Internet Explorer\iexplore.exe" %1”
将HKEY_CLASSES_ROOT\htmlfile\shell\open\command和HKEY_CLASSES_ROOT\HTTP\shell\open\command的默认值修改为“"C:\Program Files\Internet Explorer\iexplore.exe" –nohome”
将HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet的默认值修改为“IEXPLORE.EXE”。

重新将Windows目录下的regedit扩展名改回exe，至此病毒清除成功，注册表修复完毕。




//////////////////////////////////////////////////////

清除一下最近大家遇到较多的CSRSS.EXE（龍字传奇图标）木马病毒
这是个变种，之前一个在上上周的综述里有讲到过。这个的变化好像是一个病毒文件名改了，从上次的%Windows%\services.exe变成这次的%Windows%\csrss.exe。
病毒释放以下文件：
C:\autorun.inf
%Programfiles%\Internet Explorer\iexplore.com
%Programfiles%\Common Files\iexplore.pif
%Windows%\1.com
%Windows%\csrss.exe
%Windows%\ExERoute.exe
%Windows%\explorer1.com
%Windows%\finder.com
%Windows%\MSWINSCK.OCX（VB库文件，可以不删除）
%Windows%\Debug\DebugProgram.exe
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\msconfig.com
%System%\regedit.com
%System%\rundll32.com
“开始”>>“程序”\安全测试.lnk
“开始”>>“程序”\计算机安全中心.lnk
“开始”>>“程序”\系统信息管理器.ink
创建启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\CSRSS.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Torjan Program"="%Windows%\CSRSS.exe"
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
修改原来的"Shell"="Explorer.exe"为"Shell"="Explorer.exe 1"
修改EXE文件关联：
[HKEY_CLASSES_ROOT\.exe]
@="winfiles"
并修改诸如其它关联信息。
建议清除步骤：
首先，准备工作，下载Procexp.exe、SREng.exe，并改名为Procexp.com和SREng.com
然后，运行Procexp.com，结束病毒进程%Windows%\csrss.exe（不是%Windows%\System32\csrss.exe）
再然后，运行SREng.com，恢复EXE文件关联
再再然后，直接从“我的电脑”或“资源管理器”中找到以下病毒文件，或者通过“搜索”找到它们，删除它们：
C:\autorun.inf
%Programfiles%\Internet Explorer\iexplore.com
%Programfiles%\Common Files\iexplore.pif
%Windows%\1.com
%Windows%\csrss.exe
%Windows%\ExERoute.exe
%Windows%\explorer1.com
%Windows%\finder.com
%Windows%\MSWINSCK.OCX（VB库文件，可以不删除）
%Windows%\Debug\DebugProgram.exe
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\msconfig.com
%System%\regedit.com
%System%\rundll32.com
“开始”>>“程序”\安全测试.lnk
“开始”>>“程序”\计算机安全中心.lnk
“开始”>>“程序”\系统信息管理器.ink
接下来，运行REGEDIT.EXE，打开注册表编辑器，分别查找以下内容并修改为相应的内容：
(1)分别查找“finder.com”、“rundll32.com”、“command.pif”的信息，把找到值中的“finder.com”、“rundll32.com”、“command.pif”改为“rundll32.exe”
(2)查找“iexplore.com”的信息，把找到值中的“iexplore.com”改为“iexplore.exe”；查找“iexplore.pif”的信息，把找到值中类似“%ProgramFiles%\Common Files\iexplore.pif”的信息改为类似“%ProgramFiles%\Internet Explorer\iexplore.exe”
(3)查找“explorer1.com”的信息，把找到值中的“explorer1.com”改为“explorer.exe”
最后删除病毒启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\CSRSS.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Torjan Program"="%Windows%\CSRSS.exe"
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"
删除[HKEY_CLASSES_ROOT\Applications\iexplore.com]项和[HKEY_CLASSES_ROOT\winfiles]项

//////////////////////////////////////////////////////////////


     2、“密码大盗变种em”(troj.lmir.em)    威胁级别：★
  
    据金山毒霸反病毒工程师介绍，这是一个从特定网站上大量下载盗号病毒的木马病毒。该病毒在受感染系统中生成以下文件：
%systemroot%\1.com
%systemroot%\exeroute.exe
%systemroot%\winlogon.exe
%systemroot%\finder.com
%systemroot%\explorer.com等；且该病毒修改系统exe文件关联、http协议缺省启动程序、ftp协议缺省启动程序等，该病毒会盗取传奇、魔兽等游戏帐号及qq密码。

Alay

之前我机子中的就是这个....杀不掉....

重装机子也没办法....后来一怒之下把硬盘全格了....

之后打好补丁...呵呵...就没碰到了

粉丝

呵呵,我不怕``

Alay

忘了说了...落雪专杀工具我有发

http://beewind.com/viewthread.php?tid=33086&extra=page%3D2

锋囝

我也不怕.........中了也没办法只能重装了。..哈

gainover

楼上没看见小A说

重装的话  你 不 明白病毒原理  重装 也没用

病毒又会活的

酷瞎子

Windows补丁一定要升级 那样就没有漏洞 黑客也不会乘机进入你的系统

溡緔╅嗨爺

中了病毒我就重装系统咯