电脑中了"落雪"病毒怎么办?
落雪 很久以前的病毒了吧 现在还有、结束rose.exe进程,然后删掉以下文件:各个盘符下的autorun.inf和rose.exe文件(包括自己的U盘等),c:windowssystem32
un.reg,c:windowssystem32systemdate.ini(里面记录着删掉NTDETECT.COM文件的时间),d:文件;最后将注册表中HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下面的dll键值删掉,然后重启即可。
如果需要专杀地址 就问 本来想给的 看别人答了那么多 都没采纳....
落雪变种木马如何彻底清除?
江民杀毒已经于10号发布了专杀,目前我就看到这个,地址是
/download/TrojanKiller.exe
直接下的
手动:
解决“落雪”病毒的方法
症状:D盘双击打不开,里面有autorun.inf和文件
它所关联的文件如下,绝大多数文件都是显示为系统文件和隐藏的。
所以要在文件夹选项里打开显示隐藏文件。
D:autorun.inf
D:
C:Program Files Explorer
C:Program FilesCommon Files
C:WINDOWS
C:WINDOWS
C:WINDOWS
C:WINDOWSExeroud.exe(忘了是不是这个名字了,红色图标有传奇世界图标的)
C:WINDOWSDebug*** Programme.exe(也是上面那个图标,名字忘了)
C:Windows 这个不要轻易删,看看是不是和下面几个日期不一样而和其他文件日期一样,如果和其他文件大部分系统文件日期一样就不能删,当然系统文件肯定不是这段时间的。
C:Windowssystem32
C:Windowssystem32
C:Windowssystem32
C:Windowssystem32
C:Windowssystem32
C:Windowssystem32a.exe
看看这些文件的日期,看看其他地方还有没有相同时间的文件还是.COM结尾的可疑文件,小心不
要运行任何程序,要不就又启动了,包括双击磁盘
还有一个头号文件!WINLOGON.EXE!做了这么多工作目的就是要干掉她!!!
C:WindowsWINLOGON.EXE
这个在进程里可以看得到,有两个,一个是真的,一个是假的。
真的是小写winlogon.exe,(不知你们的是不是),用户名是SYSTEM,
而假的是大写的WINLOGON.EXE,用户名是你自己的用户名。
这个文件在进程里是中止不了的,说是关键进程无法中止,搞得跟真的一样!就连在安全模式下它都会
呆在你的进程里! 我现在所知道的就这些,要是不放心,就最好看一下其中一个文件的修改日期,然后用“搜索”搜这天修改过的文件,相同时间的肯定会出来一大堆的, 连系统还原夹里都有!! 这些文件会自己关联的,要是你删了一部分,不小心运行了一个,或在开始-运行里运行mand,regedit这些命令,所有的这些文件全会自己补充回来!
知道了这些文件,首先关闭可以关闭的所有程序,打开程序附件里头的WINDOWS资源管理器,并在上面的工具里头的文件夹选项里头的查看里设置显示所有文件和文件假,取消隐藏受保护操作系统文件,然后打开开始菜单的运行,输入命令 regedit,进注册表,到
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
里面,有一个Torjan pragramme,这个明摆着“我是木马”,删!!
然后注销! 重新进入系统后,打开“任务管理器”,看看有没rundll32,有的话先中止了,不知这个是真还是假,小心为好。
到D盘(注意不要双击进入!否则又会激活这个病毒)右键,选“打开”,把autorun.inf和删掉,
然后再到C盘把上面所列出来的文件都删掉!中途注意不要双击到其中一个文件,否则所有步骤都要重新来过! 然后再注销。
我在奋战过程中,把那些文件删掉后,所有的exe文件全都打不开了,运行cmd也不行。
然后,到C:Windowssystem32 里,把cmd.exe文件复制出来,比如到桌面,改名成 嘿嘿 我也会文件,然后双击这个COM文件
然后行动可以进入到DOS下的命令提示符。
再打入以下的命令:
assoc .exe=exefile (assoc与.exe之间有空格)
ftype exefile="%1" %*
这样exe文件就可以运行了。
如果不会打命令,只要打开CMD.COM后复制上面的两行分两次粘贴上去执行就可以了。
但我在弄完这些之后,在开机的进入用户时会有些慢,并会跳出一个警告框,说文件"1"找不到。
(应该是Windows下的文件。
),最后用上网助手之类的软件全面修复IE设置
最后说一下怎么解决开机跳出找不到文件“”的方法:
在运行程序中运行“regedit”,打开注册表,在[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]中
把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"
解决~~
怎么杀死落雪病毒?
中了rose病毒:,或“落雪”病毒
症状:双击盘符无法打开,只能通过右键打开;几天之后删除系统NTDETECT.COM文件,系统无法启动。
传播途径:U盘、MP3、移动硬盘
检查方法:将文件夹选项--查看中的"隐藏受保护的操作系统文件(推荐)"前的勾去掉,并在此项下面选择“显示所有文件和文件夹”。
然后打开任一盘符,如果发现有“rose.exe”和“AUTORUN.INF”文件,则已中毒。
解决方法:
手动:
结束rose.exe进程,然后删掉以下文件:各个盘符下的autorun.inf和rose.exe文件(包括自己的U盘等),c:windowssystem32
un.reg,c:windowssystem32systemdate.ini(里面记录着删掉NTDETECT.COM文件的时间),d:文件;最后将注册表中HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下面的dll键值删掉,然后重启即可。
自动:
清除工具下载地址: /UploadFiles/2006-5/56357941.rar
然后重启即可。
电脑中了 落雪 病毒怎么办啊?
中毒了
可能就是中了rose.exe这种病毒(我们宿舍有一次拷贝照片被感染,八台电脑中了六台,好在处理及时,没有造成什么严重危害)。
该病毒主要通过U盘等移动存储设备传播中毒症状就是所有分区的右健菜单第一项都被改成了“自动播放”而不是“打开”,一旦习惯性的
双击盘符就运行了该病毒而不是进入磁盘目录。
携有病毒的U盘一旦连接上电脑,就会感染电脑的所有分区,在每一个分区里创建两个文
件,分别是autorun.inf和rose.exe,另外在系统文件夹下面可能还会有。
伪装成系统文件,属性隐藏,因此一般情况下看不到这两个文件,
在我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉,同时选中“显示所有文件和文
件夹”,这样就可以看到那两个文件了用记事本打开autorun.inf可以看到其指向就是rose.exe,这个文件也就是添加“自动播放”的根源。
据我所知目前为止除了国内的三大杀毒软件和国外的驱逐舰能够查杀以外,其它国外常见的杀毒软件都无法查杀,根本没动静(卡巴,nod
32都不行),因此只能进行手动查杀:
1、按照上面所说的,把“隐藏受保护的系统文件”的勾去掉,同时选中“显示所有文件和文件夹”。
2、打开任务管理器,结束所有rose.exe进程(该过程如有必要的话,可在后续步骤中反复执行)。
3、删除所有分区下的autorun.inf和rose.exe这两个文件,进系统文件夹下查找有没有,有则删掉。
最好使用系统搜索查找,在查找的时候
选中“所有文件和文件夹”再点击“更多高级选项”,确保选中“搜索系统文件夹”,“搜索隐藏的文件和文件夹”和“搜索子文件夹”
这三项。
搜索rose.exe,所有搜索到的都删除,若无法删除则查看进程,有则结束相关其进程。
4、在运行中输入"regedit",搜索rose.exe相关键值并删除,对于新手来说,操作注册表容易出问题,建议使用优化大师,其“注册信息清
理”有一项“指定目标”,点击之后输入“rose"搜索,搜到的都删除。
5、重启电脑,这样就OK了,磁盘右键的自动播放也消失了(杀毒软件只能杀掉rose.exe ,但autorun.inf还残留着,这样磁盘右键的“自
动播放”并未清除掉。
该病毒主要在学校机房,移动存储设备使用颁繁等一些公用电脑上传播,其危害就是在系统中占用大量cpu资源,严重者可能会引起部分操
作系统崩溃,具体表现就是开机自检后直接并反复重启,无法进入系统,即便格式化C盘,重新安装系统之后,也只不过是清除了C盘的病
毒文件,但在其它盘下仍然存在,且会再次发作。
解决方法:是Autorun.inf这个文件有问题,将属性去除掉后删除,然后在注册表中查找autorun.inf所指向的文件,查到后将shell这个子项删除,即可打开D盘。
开始--运行输入"regedit"(注册表) ,用"Ctrl+F"键
出现查找对话框输入"autorun.inf" 就可以看见 shell 子项
然后右键--删除
或者参考以下方法
1、如果各分区下带autorun.inf一类的隐藏文件,删除后最好重新启动电脑。
2、在文件类型中重新设置打开方式(以XP为例)
打开我的电脑--工具--文件夹选项--文件类型,找到“驱动器”或“文件夹”(具体选哪个根据你所遇问题,若属于双击打不开驱动器则选择“驱动器”,打不开文件夹则选择“文件夹”)。
点下方的“高级”,在“编辑文件类型”对话框里的“新建”,操作里填写“open”(这个可随意填写,如果有“open”且指向的是其他陌生的.exe文件则有可能指向的是木马,则选择“编辑”),用于执行操作的应用程序里填写explorer.exe,确定。
随后返回到“编辑文件类型”窗口,选中“open”,设为默认值,确定。
现在再打开分区或文件夹看下,是不是已恢复正常?
3、注册表法:
a、对于分区不能双击打开者
开始--运行--输入regedit,找到[HKEY_CLASSES_ROOTDriveshell]将shell下的全部删除,然后关闭注册表,按键盘F5刷新,双击分区再看。
b、对于文件夹不能双击打开者
开始--运行--输入regedit,找到[HKEY_CLASSES_ROOTDirectoryshell]将shell下的全部删除,然后关闭注册表,按键盘F5刷新,双击分区再看
查杀“落雪”木马病毒?
经专家分析,导致网络游戏玩家账号被盗的原因是电脑感染了一名为“落雪”的木马病毒。
专门针对网络游戏的“落雪”新木马发作后,竟然会在电脑中生成14个名称各异的病毒文件,并反复发起攻击。
该木马文件图标一般是红色的图案,伪装成网络游戏的登陆器。
“落雪”木马可以盗取包括《魔兽世界》、《传奇世界》、《征途》、《梦幻西游》、《边锋游戏》在内的多款网络游戏的账号和密码,对网络游戏玩家的游戏装备构成了极大的威胁。
针对“落雪”病毒,用户只需升级江民病毒库到最新状态、开启病毒实时监控即可有效防杀该病毒。
没有安装杀毒软件的用户,也可以下载使用江民“落雪”木马专杀工具进行杀毒,以免遭“落雪”病毒侵害
中了落雪病毒木马,该怎么做才能彻底杀除?
落雪木马病毒专杀工具(江民的专杀工具)
/Soft/gjrj/200701/46.html
说明:“落雪”GamePass木马病毒专杀工具
使用方法:下载文件至本机,解压后双击运行即可
如果落雪木马病毒专杀工具无法完全清除,建议您结合木马杀客或者超级巡警一起查杀,肯定能够完全清除
木马杀客 2007 Final 绿色特别版+最新病毒库01.06
/Soft/gjrj/200701/47.html
超级巡警(Anti-Spyware toolkit) 2.7.0
/Soft/rjxz/200701/72.html
手动删除“落雪”病毒方法(经测试可用)
这个方法适合用“落雪”专杀软件出现蓝屏的朋友们
首先我中了落雪,而且系统被破坏了,不能用专杀方法,所以只能手动了,用了版主的手动方法,没有效果,只能到网上去寻找,并结合多种办法,结果,我成功了!
有些是结合网上多个版本后,我尝试了10次以上后的步骤,比较详细!
前期准备:下载冰刃软件,落雪专杀软件,并全部解压缩到桌面。
把落雪专杀程序改名为“落雪专杀.COM”
并打开“我的电脑”点“工具”“文件夹选项”“查看”把“不显示系统文件和隐藏的”和"隐藏以知文件的扩展名",把前面的对勾去掉,并把"隐藏受保护的系统文件前的勾取消"。
请务必先操作这些步骤!
我先重新启动机器,按F8到安全模式下,之后登陆Administrator,然后打开开始菜单的运行,输入命令 regedit,进注册表,到
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
里面,有一个Torjan pragramme,右击删除,之后再按WIN+E健打开文件夹管理器,在c:/windows/下有WINLOGON.exe文件,删除即可(我其实不能删除这个,显示磁盘保护,别急,我是用冰刃结束进程WINLOGON。
EXE的,记住,在打开冰刃之前,全部用右击打开你要打开的文件夹。
)
删除了WINLOGON。
EXE后开始删除带病毒的文件。
有哪些呢:D:autorun.inf
D:
C:Program Files Explorer
C:Program FilesCommon Files
C:WINDOWS
C:WINDOWS
C:WINDOWS
C:WINDOWSExerote.exe
C:WINDOWSDebugDEProgramme.exe 这个是红色的那个很大图标。
C:Windowssystem32
C:Windowssystem32
C:Windowssystem32
C:Windowssystem32
C:Windowssystem32
建议不要查找,直接到目录下删除。
记住打开文件夹用右击打开,不要双击任何东西,特别是程序。
还要删除C:Windowsmand.PIF,也是隐藏文件,很明显的一个。
这些文件肯定有,一定要全部删除。
建议用SHIFT+DELETE完全删除,不会留在垃圾箱里。
大功基本完成了。
全部删除后 注销。
这时你进入自己用户名的,会出现:说文件"1"找不到。
什么的,不要急。
还是右击我的电脑,到C:Windowssystem32 里,把cmd.exe文件复制出来,比如到桌面,改名成
右击打开,输入:assoc .exe=exefile 回车
再输入:ftype exefile="%1" %* 回车,请先记下这2个命令在纸上吧
这个是为了能打开程序,你之后“开始”“运行”REGEDIT“回车,如果显示不能打开的话,用事先在桌面上准备的”落雪专杀。
COM“来吧
右击打开,点”修复“,唯一能打开的就是这个点,之后点“完全自动修复”这样就OK了。
解决”开机跳出找不到文件“”的方法:在运行程序中运行“regedit”,打开注册表,在[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]中
把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"
补充,可能你会不能打开IE,没关系,我把原有的IE图表删除,点”开始“在开始菜单里有IE图释,右击,发送到桌面快捷方式,就OK了。
OK,重新启动吧,病毒应该完全没有了。
我用木马杀客不在显示有落雪了,哈哈!
以上是我的经历,可能和你的有出入,开心就好!