手工查杀“落雪”病毒的方法(WINLOGON.EXE EXEROUTE.EXE)

很久没中这么BT的东西!

赶上我也菜..哈..也上不了网.....

这BT的木马折腾了我一天一夜了，

我试过手杀，

诺顿，卡巴，瑞星,macfee效果都不好。还原了也不成..

真不知道你说这东东要是给些小朋友啊..老奶奶他们遇到该怎么办呢?

只能是全盘格式化~~可恨哦~~

此病毒后经上网查证得知名为"落雪"也有叫龙字传奇的~

主要功能应该是盗号吧?

貌似这个 

据说是一个变种，从上次的%Windows%\services.exe变成这次的%Windows%\csrss.exe。

这次又是%Windows%\winlogon.EXE 

先烦的直接下工具整理吧!

利用第三方工具了，如去下载瑞星的注册表修复器：http://download.rising.com.cn/zsgj/RegClean.com，利用它来修复一下文件关联。 

Exe文件修复 
http://www.dougknox.com/xp/fileassoc/xp_exe_fix.zip 
（测试可下，打开Zip包，双击文件导入） 

System Repair Engineer 1.0.0.262 下载：http://www.517d.com/Software/Catalog75/1030.html 
一款全新的、强有力的、可扩充的用于调整和修复你系统的免费工具，在这个工具的帮助下，你可以察觉你的系统故障并能够很容易的修复他们。本工具的前身是RegFix注册表关键值修复工具。
_______________________________

-__-下面说下这次手杀的经过吧!

关键词尾 exeroute，NtDhcp 的病毒---

这个后门共产生14个文件＋3个快捷图标＋2个文件夹。
注册表部分，
除了1个Run和System.ini，比较有特点是，非普通地利用了EXE文件关联，先修改了.exe的默认值，改.exe从默认的 exefile更改为winfiles，然后再创建winfiles键值，使EXE文件关联与木马挂钩。
附图即为中毒后，任意一个EXE文件的属性，留意黄圈部分，“应用程序”变成“EXE文件”

此病毒所关联的文件如下，绝大多数文件都是显示为系统文件和隐藏的。 
所以要在文件夹选项里打开显示隐藏文件，然后逐个删除，注意不要双击以免运行它。

C:\Program Files\Internet Explorer\iexplore.com 
C:\Program Files\Common Files\iexplore.com 
C:\WINDOWS\1.com 
C:\WINDOWS\iexplore.com 
C:\WINDOWS\finder.com 
C:\WINDOWS\exeroute.exe（带有红色图标有传奇世界图标的） 
C:\WINDOWS\Debug\*** Program.exe(也是上面那个图标，名字忘了-_- 好大好明显非隐藏的) 
C:\Windows\system32\command.com 这个不要轻易删，看看是不是和下面几个日期不一样而和其他文件日期一样，如果和其他文件大部分系统文件日期一样就不能删，当然系统文件肯定不是这段时间的。 
C:\Windows\system32\msconfig.com 
C:\Windows\system32\regedit.com 
C:\Windows\system32\dxdiag.com 
C:\Windows\system32\rundll32.com 
C:\Windows\system32\finder.com 
C:\Windows\system32\a.exe 
D:\autorun.inf 
D:\pagefile.com 

另外还发现一个可疑文件：setup.exe： AntiVir报为Dropper/DMSec.A dropper

第一次尝试清除时删除..

这里要感谢一名为酷儿哥哥汉化的木马探测器 V3 

还有一个头号文件WINLOGON.EXE，一定得删除它！
C:\Windows\WINLOGON.EXE 

这个在进程里可以看得到，有两个，一个是真的，一个是假的。 
真的是小写winlogon.exe，（不知你们的是不是），用户名是SYSTEM，
而假的是大写的WINLOGON.EXE，用户名是你自己的用户名。这个文件在进程里是中止不了的，说是关键进程无法中止，搞得跟真的一样！就连在安全模式下它都会呆在你的进程里。可以用光盘启动进入DOS模式，把它的属性去掉然后删除它！

把那些文件删掉后，所有的exe文件全都打不开了，运行cmd也不行。
到C:\Windows\system32 里，把cmd.exe文件复制出来，比如到桌面，改名成cmd.com，然后运行可以进入到DOS下的命令提示符。

这里还有个要说的就是

ps:由于.com文件的运行优先级比.exe高，即当我们输入命令: msconfig时，系统运行的是病毒程序msconfig.com，则不是系统配置程序msconfig.exe！
而此马生成文件居多为.com的.为其再次存活增加不少本钱~
看来以后运行系统内置命令还得指明扩展名。

  另外，还得备以EXE文件关联修复程序备用。一般杀毒软件在启动时会检查并修复EXE文件关联。但在线查杀病毒是否也有这个功能还是未知数

再打入以下的命令： 
assoc .exe=exefile （assoc与.exe之间有空格） 
ftype exefile="%1" %* 
这样exe文件就可以运行了。 

运行regedit，进注册表，到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
里面，有一个Torjan pragramme，这个明摆着“我是木马”，删！！

开机进入系统时会跳出一个警告框，说文件"1"找不到。再运行“regedit”，打开注册表，在
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
中把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe" 

大家也可以用RegFix恢复下~~