计算机类--教你查杀木马trojan.psw.qq病毒

发布时间:2010-07-14 阅读数:23042

查杀落雪(WINLOGON.EXE)病毒
落雪病毒症状:D盘双击打不开,里面有autorun.inf和pagefile.com文件
做这个病毒的人也太强了,在安全模式用Administrator一样解决不了!
方法一:专杀工具查杀!(附件)
此工具基本可以查杀掉大部份落雪病毒变种!并可修复注册表关联!但今天又发现一变种,在C:\Program Files\Internet Explorer\目录下多了一个sys1.exe 文件(红色传奇图标),这个文件可能会让你双击IE又再次感染此木马!所以用专杀杀完还要检查一下是否还有可疑文件或其他病毒防二次感染!
上传的附件
  抱歉,您所在的组无权下载附件,请注册或登陆.
 
方法二:手工查杀说明!
就以偶今天远程一网友的情况来说明

(1)用冰刃结束 C:\WINDOWS\WINLOGON.EXE 进程!(或者开始-程序-附件-系统工具,打开系统信息-软件环境-正在运行的任务,记下进程 C:\WINDOWS\WINLOGON.EXE 的PID号(就是处理ID),然后开始-运行-CMD,打开命令行,输入“ntsd PID -c q -p 来结束进程)

(2)打开我的电脑-工具文件夹选项-查看,去掉“隐藏受保护的系统文件[推荐]”和“隐藏已知文件类型的扩展名”前面的钩,并选中“显示所有文件和文件夹”按确定,“删除以下文件:
C:\Program Files\Internet Explorer\iexplore.com
C:\Program Files\Common Files\iexplore.com
C:\Program Files\Internet Explorer\sys1.exe(传奇红色图标)
C:\WINDOWS\1.com
C:\WINDOWS\iexplore.com
C:\WINDOWS\finder.com
C:\WINDOWS\Exeroud.exe (传奇红色图标)
C:\WINDOWS\Debug\DebugProgramme.exe(传奇红色图标)
C:\Windows\system32\command.com
C:\Windows\system32\msconfig.com
C:\Windows\system32\regedit.com
C:\Windows\system32\dxdiag.com
C:\Windows\system32\rundll32.com
C:\Windows\system32\finder.com
C:\Windows\system32\a.exe
C:\Windows\WINLOGON.EXE
D:\autorun.inf
D:\pagefile.com 
注意:D盘不能双击进入,不然以上就白做了!右键点击D盘,然后选择打开进入!

(3)到C:\Windows\system32 里,把cmd.exe文件复制出来,比如到桌面,改名成cmd.com 双击运行
 打入以下的命令:
assoc .exe=exefile (assoc与.exe之间有空格)
ftype exefile="%1" %*

(4)打开开始菜单的运行,输入命令regedit,进注册表,到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run里面,有一个"Torjan pragramme"="C:\Windows\WINLOGON.EXE",右击删除!!

(5)打开注册表,在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]中 把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"
 然后查找“iexplore.com ”把找到值中的“iexplore.com”改为“iexplore.exe”

(6)重启机子看看怎么样,是不是很自豪啊!过了一把反病毒的瘾