本文目录一览:
落雪病毒有什么危害,知道的说下
启动时占用大量系统资源,造成系统运行缓慢,有变种会根据触发原因来启动木马等后台程序,破坏exe后缀的文件 补充: 落雪木马 2006年最难对付的 木马病毒 之一。 病毒症状 进程里面有2个lsass.exe进程,一个是system的,一个是当前用户名的(该进程为病毒).双击D:盘打不开,只能通过右击选择打开来打开.用kaspersky扫描可以扫描出来,并且可以杀掉.但是重启后又有两个lsass.exe进程.该病毒是一个木马程序,中毒后会在D 盘根 目录下产生command.com和autorun.inf两个文件,同时侵入 注册表 破坏 系统文件 关联.该病毒 修改注册表 启动RUN 键值 ,指向LSASS.exe,修改HKEY_CLASSES_ROOT下的.exe,exefile键值,并新建windowfile键值.将exe文件打开链接关联到其生成的病毒程序%SYSTEM\EXERT.exe上. 落雪木马"专门针对 网络游戏 的“落雪”新木马发作后,会在电脑中生成14个名称各异的病毒文件,并反复发起攻击。这款罕见的多文件木马病毒能轻易盗取网络游戏账号和密码,让玩家伤透了脑筋。 经过分析玩家上报的可疑文件样本, 江民 反病毒中心的专家确认“作案者”为一款名为“落雪”的新木马病毒, 《魔兽世界》 《传奇世界》 《梦幻西游》 等常见网络游戏都是它的攻击对象,危害极大。据专家介绍,“落雪”也称“游戏大盗”,通常伪装成网络游戏登录器来迷惑玩家。一旦发作,它会在电脑中生成14个病毒文件,很难彻底查杀。狡诈的施毒者为病毒起的文件名与正常系统文件极为相似,以此引诱玩家上当点击激活病毒。施毒者还修改了注册表的 文件关联 ,这样每当用户点击HTML类型文件时,病毒都会运行。“落雪”难以查杀的另一个原因是,它运行后会在电脑D盘下生成一个自动运行 批处理文件 ,即使C盘中的病毒文件被清除,但只要用户打开D盘,病毒仍然可以被激活 追问: 落雪”也称“游戏大盗”,通常伪装成 网络游戏 登录器来迷惑玩家。一旦发作,它会在电脑中生成14个病毒文件,很难彻底查杀。狡诈的 施毒 者为病毒起的文件名与正常 系统文件 极为相似,以此引诱玩家上当点击激活病毒。施毒者还修改了 注册表 的 文件关联 ,这样每当用户点击HTML类型文件时,病毒都会运行。“落雪”难以查杀的另一个原因是,它运行后会在电脑D盘下生成一个自动运行 批处理文件 ,即使C盘中的病毒文件被清除,但只要用户打开D盘,病毒仍然可以被激活...这个回答还好的
希望采纳
winlogon.exe病毒介绍以及清楚查杀方法
winlogon.exe正常进程信息:
进程文件: winlogon or winlogon.exe
进程名称: Microsoft Windows Logon Process
描述:
WinLogon.exe是Windows NT登陆管理器。它用于处理你系统的登陆和登陆过程。该进程在你系统的作用是非常重要的。
出品者: Microsoft Corp.
属于: Microsoft Windows Operating System
系统进程: 是
后台程序: 是
使用网络: 否
硬件相关: 否
常见错误: 未知N/A
内存使用: 未知N/A
安全等级 (0-5): 0
间谍软件: 否
Adware: 否
病毒: 否
木马: 否
感染后的winlogon.exe病毒进程:
winlogon.exe也可能是W32.Netsky.D@mm蠕虫病毒。该病毒通过Email邮件传播,当你打开病毒发送的附件时,即会被感染。该病毒会创建SMTP引擎在受害者的计算机上,群发邮件进行传播。该病毒允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议删除。
如果你发现你的系统程序里面有一个大写的WINLOGON.EXE,一个小写winlogon.exe,那么恭喜你,你中了“落雪”病毒.大写的 WINLOGON.EXE就是病毒文件,“落雪”木马也叫“游戏大盗”(Trojan/PSW.GamePass),由VB程序语言编写,通过 nSPack3.1加壳处理(即通常所说的“北斗壳”NorthStar),该木马文件图标一般是红色的图案,伪装成网络游戏的登陆器。
winlogon.exe病毒感染情况分析:
落雪病毒运行后,在C盘programfile以及windows目录下生成
C:windowswinlogon.exe
C:WINDOWS.com
C:WINDOWSExERoute.exe
C:WINDOWSiexplore.com
C:WINDOWSfinder.com
C:WINDOWSsystem32command.pif
C:Windowssystem32command.com
C:WINDOWSsystem32dxdiag.com
C:WINDOWSsystem32finder.com
C:WINDOWSsystem32MSCONFIG.COM
C:WINDOWSsystem32regedit.com
C:WINDOWSsystem32rundll32.com
C:WindowsWINLOGON.EXE
C:WINDOWSservices.exe
C:WINDOWSDebugDebugProgramme.exe
等多个病毒文件,病毒文件之多比较少见,,事实上这14个不同文件名的病毒文件系同一种文件,“落雪”之名亦可能由此而来。病毒文件名被模拟成正常的系统工具名称,但是文件扩展名变成了.com。这是病毒利用了Windows 操作系统 执行.com文件的优先级比EXE文件高的特性,这样,当用户调用系统配置文件Msconfig.exe的时候,一般习惯上输入Msconfig,而这是执行的并不是微软的Msconfig.exe程序,而是病毒文件 Msconfig.com,落雪病毒作者的“良苦用心”由此可见。病毒另一狡诈之处还有,病毒还创建一名为winlogon.exe的进程,并把 winlogon.exe的路径指向c:windowsWINLOGON.EXE,而正常的系统进程路径是 C:WINDOWSsystem32winlogon.exe,以此达到迷惑用户的目的。
除了在C盘下生成很多病毒文件外,病毒还修改注册表文件关联,每当用户点击html文件时,都会运行病毒。此外,病毒还在其他盘下生成一个 autorun.inf和一个pagefile.com的文件自动运行批处理文件,这样即使C盘目录下的病毒文件被清除,当用户打开D盘时,病毒仍然被激活运行。这也是许多用户反映病毒屡杀不绝的原因。
winlogon.exe病毒手动查杀方案:
WINLOGON.EXE病毒,近来在网络很流行,许多朋友都中了,许多杀毒软件能查到,但是无论如何都无法清除。
不知道什么原因,这个病毒的中文译名叫做“落雪”,又叫“飘雪”,很美吧?
我检查了一下,发现进程里多出一个大写的WINLOGON,是在winnt或windows目录下的,而正常情况下,这个进程应该是在winnt或 windows/system32目录下的,此进程不言而知。注册表下的启动项,里面有个Torjan pragramme的启动项目,不能彻底删除。
以下是删除的 方法 :
这个进程WINLOGON.EXE的用户名是用户自己,因此不可能是正常的系统进程,正常的winlogon系统进程,其用户名为“SYSTEM” 程序名为小写winlogon.exe。而伪装成该进程的木马程序其用户名为当前系统用户名,且程序名为大写的WINLOGON.exe。进程查看方式 ctrl+alt+del 然后选择进程。正常情况下有且只有一个winlogon.exe进程,其用户名为“SYSTEM”。如果出现了两个winlogon.exe,且其中一个为大写,用户名为当前系统用户的话,表明可能存在木马。
这个木马非常厉害,能破坏掉木马克星等许多著名的杀毒软件,使其不能正常运行,就算能正常运行,也会错误杀毒或查毒。目前使用其他杀毒软件未能杀死。但是很明显,人工也可以看出,那个WINDOWS下的WINLOGON.EXE确实是病毒,但是,她不过是这个病毒中的小角色而已,大家用鼠标右键【打开】,打开D盘看看是否有一个pagefile的DOS指向文件和一个autorun.inf文件了,这些当然都是隐藏的,删这几个没用的,因为她关联了很多东西,甚至在安全模式都不能删死,只要运行任何程序,或者双击打开D盘,她就会重新被安装了。而且这段时间很多人的帐号被盗就是因为这个解除的传家宝了。
我分析了一下这个木马的资料,连接是通向河南和天津的某一地区,看来是国内的。而且她很有趣,如果你机子上有传奇等游戏,必然惹来她的亲吻,那么说QQ之类的帐号密码会不会被泄漏,这个不清楚,但起码我有些朋友已经被盗了。
解决“落雪”病毒的方法
症状:D盘双击打不开,而且里面有autorun.inf和pagefile.com文件
此病毒的制作者很了解系统的运作,因此此两个文件难以删除,在安全模式用Administrator一样解决不了!经过一个下午的奋战才算勉强解决。 我没用什么查杀木马的软件,全是手动一个一个把它揪出来把他删掉的。它所关联的文件如下,绝大多数文件都是显示为系统文件和隐藏的。 所以要在文件夹选项里打开显示隐藏文件。
D盘里就两个,搞得你无法双击打开D盘。C盘很多相关文件程序
D:autorun.inf
D:pagefile.com
C:Program FilesInternet Exploreriexplore.com
C:Program FilesCommon Filesiexplore.com
C:WINDOWS.com
C:WINDOWSiexplore.com
C:WINDOWSfinder.com
C:WINDOWSExeroud.exe(传奇的图标,很漂亮)
C:WINDOWSDebug*** Programme.exe(也是上面那个图标,名字每台机子都不同,但是明显是非隐藏的)
C:Windowssystem32command.com 这个不要轻易删,看看是不是和下面几个日期不一样而和其他文件日期一样,如果和其他文件大部分系统文件日期一样就不能删,当然系统文件肯定不是这段时间的。
C:Windowssystem32msconfig.com
C:Windowssystem32regedit.com
C:Windowssystem32dxdiag.com
C:Windowssystem32rundll32.com
C:Windowssystem32finder.com
C:Windowssystem32a.exe
值得注意的是:看看这些文件的日期,看看其他地方还有没有相同时间的文件还是.COM结尾的可疑文件,小心不要运行任何程序,要不就又启动了,包括双击磁盘,还有一个头号文件!WINLOGON.EXE!做了这么多工作目的就是要离开她的亲吻!
C:WindowsWINLOGON.EXE
这个在进程里明显可以看得到,有两个,一个是真的,一个是假的。
真的是小写winlogon.exe,(不知你们的是不是),用户名是SYSTEM,
而假的是大写的WINLOGON.EXE,用户名是你自己的用户名。
这个文件在进程里是中止不了的,说是关键进程无法中止,搞得跟真的一样!就连在安全模式下它都会
呆在你的进程里! 我现在所知道的就这些,要是不放心,就最好看一下其中一个文件的修改日期,然后用“搜索”搜这天修改过的文件,相同时间的肯定会出来一大堆的, 连系统还原夹里都有!! 这些文件会自己关联的,要是你删了一部分,不小心运行了一个,或在开始-运行里运行msocnfig,command,regedit这些命令,所有的这些文件全会自己补充回来!
知道了这些文件,首先关闭可以关闭的所有程序,打开程序附件里头的WINDOWS资源管理器,并在上面的工具里头的文件夹选项里头的查看里设置显示所有文件和文件假,取消隐藏受保护操作系统文件,然后打开开始菜单的运行,输入命令 regedit,进注册表,到
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
里面,有一个Torjan pragramme,这个明摆着“我是木马”,删!!
然后注销! 重新进入系统后,打开“任务管理器”,看看有没rundll32,有的话先中止了,不知这个是真还是假,小心为好。 到D盘(注意不要双击进入!否则又会激活这个病毒)右键,选【打开】,把autorun.inf和pagefile.com删掉,
然后再到C盘把上面所列出来的文件都删掉!中途注意不要双击到其中一个文件,否则所有步骤都要重新来过! 然后再注销。
我在奋战过程中,把那些文件删掉后,所有的exe文件全都打不开了,运行cmd也不行。
打开我的电脑点工具==文件夹选项==文件类型==新建exe扩展名,点高级选应用程序。
即可运行
但我在弄完这些之后,在开机的进入用户时会有些慢,并会跳出一个警告框,说文件"1"找不到。(应该是Windows下的1.com文件。),最后用System Repair Engineer看情况 修理 一下系统的启动项、系统关联等。
最后说一下怎么解决开机提示找不到文件“1.com”的方法:
在运行程序中运行“regedit”,打开注册表,在[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]中
把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe" 当然这也是启动项罢了。
杀毒软件查杀winlogon.exe病毒方法:
请更新你的杀毒软件病毒库到最新版本进行查杀
病毒危险等级排名
1, 病毒名称:Worm/Viking
变种数量: 520
累计感染计算机: 446450
累计感染文件: 36728393
病毒中文名:“威金蠕虫”
病毒类型:蠕虫
危险级别:★★★☆
影响平台:Win2003/XP/2000/NT/9x/ME
描述:威金蠕虫感染Windows可执行文件,并会查找局域网中所有的共享计算机,尝试猜解它们的密码,试图感染这些计算机。该病毒还会自动在后台下载并窃取网络游戏玩家的账号和密码,并发送给黑客。同时,该病毒还会下载一个QQ病毒,自动向用户的QQ好友发送内容为“看看啊。我最近的照片~才扫描到QQ相册上的!”的消息并附带一个网址,其他用户点击消息中的网址就可能被病毒感染。
2,病毒名称: Backdoor/Huigezi
变种数: 13379
累计感染计算机: 897592
累计上报次数: 6392600
病毒中文名:“灰鸽子后门”
病毒类型:后门
危险级别:★☆
影响平台: Win 9X/ME/NT/2000/XP/2003
描述:Backdoor/Huigezi.2006.ekr“灰鸽子2006”变种ekr是一个未经授权远程访问用户计算机的后门。“灰鸽子2006”变种ekr运行后,自我复制到系统目录下。修改注册表,实现开机自启。侦听黑客指令,记录键击,盗取用户机密信息(例如,拨号上网密码,URL密码,共享密码)。另外,“灰鸽子2006”变种ekr还可以下载并执行特定文件,开启或关闭CD-ROM等。
3,病毒名称:Adware/QQHelper
变种数:1983
累计感染计算机: 1582345
累计上报次数: 4483989
病毒中文名:“多多QQ表情”
病毒类型:间谍软件
危险级别:★★★☆
影响平台: Win 9X/ME/NT/2000/XP
描述:“QQ多表情”变种是一个间谍广告软件,由VC .NET工具编写,随着QQ多表情软件安装到用户电脑中,生成文件:C:\Windows\system32\res.exe该程序采用RootKit 技术隐藏自身进程,会干扰IE的正常运行,使系统的的运行速度变慢。
4, 病毒名称:Trojan/PSW.QQPass
变种数: 1414
累计感染计算机: 615901
累计上报次数: 4580158
病毒中文名:“QQ盗号木马”
病毒类型:木马
危险级别:★
影响平台:Win9X/2000/XP/NT/Me
描述: Trojan/QQPass.ak是用Delphi编写并经UPX压缩的木马,用来窃取游戏"传奇"信息。
传播过程及特征:
1.创建下列文件:
%System%\winsocks.dll, 91136字节
%Windir%\intren0t.exe, 91136字节
2.修改注册表:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Intren0t" = %Windir%\intren0t.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Intren0t" = %Windir%\intren0t.exe
这样,在Windows启动时,病毒就可以自动执行。
注:%Windir%为变量,一般为C:\Windows 或 C:\Winnt;
%System%为变量,一般为C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP)。
5, 病毒名称: Trojan/PSW.LMir
变种数: 1896
累计感染计算机: 739169
累计上报次数: 4033649
病毒中文名:“传奇窃贼”
病毒类型:木马
危险级别:★
影响平台: Win 9x/2000/XP/NT/Me
描述:传奇窃贼是专门窃取网络游戏“传奇2”登录帐号密码的木马程序。该木马运行后,主程序文件自己复制到系统目录下。修改注册表,实现开机自启。终止某些防火墙、杀毒软件进程。病毒进程被终止后,会自动重启。窃取“传奇2”帐号密码,并将盗取的信息发送给黑客。
6, 病毒名称:Adware/Adload (埃得罗)
变种数量: 535
累计感染计算机: 433920
累计上报次数: 1288152
病毒中文名:“埃得罗”
病毒类型:木马
危险级别:★☆
影响平台:Win2003/XP/2000/NT/9x/ME
描述:这是一个广告程序,该病毒在目标系统中生成病毒文件。%System%inituser.exe运行时将资源段中的代码注入explorer.exe。该病毒尝试下载其他文件,并会收集客户机的信息。
7, 病毒名称:Trojan/PSW.GamePass
变种数量: 510
累计感染计算机: 157846
累计上报次数: 1095735
病毒中文名:“落雪木马”
病毒类型:木马
危险级别:★☆
影响平台:Win2003/XP/2000/NT/9x/ME
描述:“落雪”木马也叫“游戏大盗”,由VB 程序语言编写,通过 nSPack 3.1 加壳处理(即通常所说的“北斗壳”North Star),该木马文件图标一般是红色的图案,伪装成网络游戏的登陆器。病毒运行后,在C盘program file以及windows目录下生成winlogon.exe、regedit.com等14个病毒文件,病毒文件之多比较少见,,事实上这14个不同文件名的病毒文件系同一种文件。病毒文件名被模拟成正常的系统工具名称,但是文件扩展名变成了 .com。这是病毒利用了Windows操作系统执行.com文件的优先级比EXE文件高的特性,这样,当用户调用系统配置文件Msconfig.exe的时候,一般习惯上输入 Msconfig,而这是执行的并不是微软的Msconfig.exe程序,而是病毒文件 Msconfig.com ,病毒作者的“良苦用心”由此可见。病毒另一狡诈之处还有,病毒还创建一名为winlogon.exe的进程,并把 winlogon.exe 的路径指向c:\windows\winlogon.exe,而正常的系统进程路径是C:\WINDOWS\system32\ winlogon.exe,以此达到迷惑用户的目的。除了在C盘下生成很多病毒文件外,病毒还修改注册表文件关联,每当用户点击html文件时,都会运行病毒。此外,病毒还在D盘下生成一个自动运行批处理文件,这样即使C盘目录下的病毒文件被清除,当用户打开D盘时,病毒仍然被激活运行。
8,病毒名称: TrojanSpy.Banker
变种数: 210
累计感染计算机: 42838
累计上报次数: 864276
病毒中文名:“工行钓鱼木马”
病毒类型:木马
危险级别:★★★
影响平台:Windows 98/ME/NT/2000/XP/2003
描述:这是一个十分狡猾的盗取网上银行密码的木马病毒。病毒运行后,在系统目录下生成svchost.exe文件,然后修改注册表启动项以使病毒文件随操作系统同时运行。 病毒运行后,会监视微软IE浏览器正在访问的网页,如果发现用户在工行网上银行个人银行登录页面上输入了帐号、密码,并进行了提交,就会弹出伪造的IE窗,内容如下: “为了给您提供更加优良的电子银行服务,6月25日我行对电子银行系统进行了升级。请您务必修改以上信息!”病毒以此诱骗用户重新输入密码,并将窃取到的密码通过邮件发送到一个指定的163信箱。该病毒同时还会下载灰鸽子后门病毒,感染灰鸽子的用户系统将被黑客远程完全控制。
9, 病毒名称:Backdoor/HookSSDT
变种数量: 35
累计感染计算机: 123404
累计上报次数: 196468
病毒中文名:“隐形门”
病毒类型:后门
危险级别:★★
影响平台:Win2003/XP/2000/NT/9x/ME
描述:Backdoor/HookSSDT.b“隐形门”可开启用户计算机的后门,篡改Windows系统文件,导致任务管理器等一些程序显示错误信息。利用rootkit隐藏自我,防止被查杀。
10,病毒名称: I-Worm/Warezov
变种数量: 633
累计感染计算机: 20351
累计上报次数: 227240
病毒中文名:“龌龊虫”
病毒类型:蠕虫
危险级别:★★
影响平台:win 9x/me/nt/2000/xp/2003
描述:i-worm/warezov.ja“龌龊虫”变种ja是一个利用群发带毒邮件进行传播的网络蠕虫。“龌龊虫”变种ja运行后,自我复制到系统目录下,文件名由10个任意字母组成,后缀是.exe。弹出虚假升级成功信息框。修改注册表,实现开机自启。在Windows目录下释放病毒文件。强行篡改ie浏览器设置,连接指定站点,下载病毒文件。从被感染计算机上搜索有效邮箱地址,群发带毒邮件。
我的电脑和移动硬盘被染上一个叫落雪木马的病毒,怎么杀啊
给你几种方法:
1.下载个“360急救箱”原名:“360顽固木马专杀”,急救系统!
2。用“360安全卫士”的“扫描插件”,然后再“清理插件”,把它删除!
3。再用“360杀毒双引擎版”,“全盘扫描”,病毒木马,再点删除!
4。重启电脑后,来到“隔离区”,点“彻底删除”!