杀毒手记--让网马滚出我的电脑--杀毒手记--让网马滚出我的电脑

这两天刚装完系统，就架着宽带上了IE，晕到，补丁忘补了，杀毒也不是最新的，搜索打开陌生网页不中奖才怪
javascript:resizepic(this) border=0>

javascript:resizepic(this) border=0>

javascript:resizepic(this) border=0>

断网，杀毒先，安全模式下，卡巴大叔查啊查，

时光飞快的流逝，终于查到一小马马，干掉...等过了1小时半左右，OK，查完...又连到网络，晕倒，不是没毒么，……%—*￥%我在脑海里把卡巴大叔的祖宗都问候了变，打开了D盘，

javascript:resizepic(this) border=0>



看来是病毒搞的鬼，删了先找出了我的查马工具，木马杀客和QQAV，刷刷刷，又费了我N多时间

打开D盘一看，还在..不爽中，看来得手动了

msconfig禁了相关项，又开了regedit删了关联值（不多），最后删了D盘的pagefile.pif

重新起动...

怒火中烧中，……%*—￥%（  我喝了杯水，为了熄灭心中的愤怒，洗了把脸，重新奋战，我就不信这个邪...

在F盘找出了"冰刃"，中文名是IceSword.

看到没，一个是WINLOGON.EXE相传奇的那个图标（我什么时候装过这个了） 一个是winlogon.exe

javascript:resizepic(this) border=0>


不用说，大写的那个肯定是冒牌的，而小写的那个是系统登入管理器，为系统进程

为了保险起见，避免不小心弄坏了系统文件，到baidu找相关程序去，本来想直接找个专杀算了，不过为了写这篇文章，那还是手动吧。“自己动手，丰衣足食” 哈哈

"落雪"：木马型病毒
        作用：传奇世界帐号盗取，还有扩充..
        特点：隐蔽性中等，能逃脱安全模式下查杀，以及木马杀客查杀..

要干掉毒就要干掉该毒的相关程序了

打开控制面版，把"隐藏受保护的操作系统文件"的勾去掉和"显示所有文件和文件夹"的勾打上.

javascript:resizepic(this) border=0>

好样的,原来还有一个是被隐藏了

javascript:resizepic(this) border=0>

autorun.inf里面写着

QUOTE:

难怪老是生成

断网,关掉不必要的程序

下面删除任务就开始了

D盘的pagefile.pif和autorun.inf

C盘相关联的有
C:\Program Files\Internet Explorer\iexplore.com

javascript:resizepic(this) border=0>

别删错了,一个是系统的文件,你可以看下属性里的日期,因为我是刚装的系统,那病毒就是今天中的了,显示日期为今天的,等下删除其他文件的时候也异地感要留神,不要一失足成千古恨(废话又多了-_-!!)

C:\Program Files\Common Files\iexplore.com

C:\WINDOWS\1.com

C:\WINDOWS\explore.com(我的是这个路径,你们看看是否在C:\WINDOWS\system32\explore.com)

C:\WINDOWS\finder.com

C:\WINDOWS\Exeroud.exe

C:\WINDOWS\Debug\WINLOGONProgramme.exe (和上面那个一样,都是传奇图标)

C:\Windows\system32\command.com

C:\Windows\system32\msconfig.com

C:\Windows\system32\regedit.com

C:\Windows\system32\dxdiag.com

C:\Windows\system32\rundll32.com

C:\Windows\system32\finder.com

再警告下,你删除的时候千万要看下日期,别把系统文件给删了

C:\Windows\system32\a.exe(这个我系统里是没找到,你们注意下)

还剩下一个WINLOGON.EXE主程序,现在还在资源管理器里呆着呢,关了它,嘿嘿,它不会让你关的..TNND

打开冰刃,我强制关了你,要是冰刃关不了你还叫冰刃么?哈哈,扯远了

javascript:resizepic(this) border=0>

把程序后面的路径记住,原因是因为这个程序不一定在system32下,我的就只在windows里,现在就到windows里把它删了
javascript:resizepic(this) border=0>

还有个要注意下,途中不要运行程序,也不要去动D盘

你可以到"运行"里去找路径,也能到资源管理器下操作

这个时候系统exe程序打开都成了快捷方式.很多朋友以前问要怎么解决,我以为是权限问题,现在想想,因该是系统什么关联随着病毒被删而被更改了.那就要到DOS下恢复了.

到C:\Windows\system32里,把command.exe复制到桌面去,运行后依次输入

assoc .exe=exefile

ftype exefile="%1" %*

然后把DOS关了

下面轮到解决注册表了(没做上面一步的话,你连注册表也打不开)

regedit下定位到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

把右边的Torjan pragramme给删了

重起下,在任务管理器里先把rundll32给弄掉,我可不赶保证有没加载

javascript:resizepic(this) border=0>

现在干净了

开机时会提示"找不到1...."

javascript:resizepic(this) border=0>

进入注册表

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon

把"Shell"="Explorer.exe 1"改为"Shell"="Explorer.exe"

最后载个超级兔子修复下IE吧

PS:写这手稿花了我2个多小时,跟病毒奋战又费了我N小时,郁闷中....昨天给系统装"一键恢复"，什么破完意,把我的系统文件给弄没了,害我怎么都进不了系统...罗嗦了.最后希望和我一样的菜菜们从中能学到点什么