瑞星卡卡安全论坛

今天杀毒把查出来的毒都杀光了，可是电脑还是有问题，杀毒软件也一直跳出有错误的字样，打开Ｄ盘，发现出现两个新的文件pagefile和autorun，autorun这个还时有时无，晕哦，上网搜了下，说这是病毒，但是查毒又查不出，不放心又去在线查，也没查出，这该怎么办呀，还有，我打开SREng，点启动项目，跳出来说注册表值ＳＨＥＬＬ被修改为非正常值，也叫我查毒，可是查不出诶，怎么办呀．．．．谁来帮帮我呀

看看这个吧！我21号就是这样子删除的！我试了下很管用的已经杀掉了 最好快点杀吧 我杀完这个 好象这病毒用变种成了
“Trojan.PSW.LMir.atb”在系统里面找不到 文件 用瑞星杀了N遍
杀完了 过一段时间又出来 现在搞的我自己也没办法 不过这个方法你先 试一下吧！先把这个：“落雪”的病毒杀掉！！！！！


正常的winlogon系统进程，其用户名为“SYSTEM” 程序名为小写winlogon.exe。
而伪装成该进程的木马程序其用户名为当前系统用户名，且程序名为大写的WINLOGON.exe。
进程查看方式 ctrl+alt+del 然后选择进程。正常情况下有且只有一个winlogon.exe进程，其用户名为“SYSTEM”。如果出现了两个winlogon.exe，且其中一个为大写，用户名为当前系统用户的话，表明可能存在木马。
这个木马非常厉害，能破坏掉木马克星，使其不能正常运行。目前我使用其他杀毒软件未能查出。
那个WINDOWS下的WINLOGON.EXE确实是病毒，但是，她不过是这个病毒中的小角色而已，大家打开D盘看看是否有一个pagefile的DOS指向文件和一个autorun.inf文件了，呵呵，当然都是隐藏的，删这几个没用的，因为她关联了 很多东西，甚至在安全模式都难搞，只要运行任何程序，或者双击打开D盘，她就会重新被安装了，呵呵，这段时间很多人被盗就是因为这个破解的传家宝了，而且杀毒软件查不出来，有人叫这个病毒为 ”落雪“ 是专门盗传奇传奇世界的木马，至于会不会盗其他帐号如QQ，网银 就看她高兴了，呵呵，估计也都是一并录制。不怕毒和要减少损失的最好开启防火墙阻止除了自己信任的几个常用任务出门，其他的全部阻挡，当然大家最好尽快备份，然后关门杀毒

解决“落雪”病毒的方法
症状：D盘双击打不开，里面有autorun.inf和pagefile.com文件
做这个病毒的人也太强了，在安全模式用Administrator一样解决不了！经过一个下午的奋战才算勉强解决。 我没用什么查杀木马的软件，全是手动一个一个把它揪出来把他删掉的。它所关联的文件如下，绝大多数文件都是显示为系统文件和隐藏的。 所以要在文件夹选项里打开显示隐藏文件。
D盘里就两个，搞得你无法双击打开D盘。里盘里的就多了！
D:\autorun.inf
D:\pagefile.com
C:\Program Files\Internet Explorer\iexplore.com
C:\Program Files\Common Files\iexplore.com
C:\WINDOWS\1.com
C:\WINDOWS\ iexplore.com 
C:\WINDOWS\finder.com
C:\WINDOWS\Exeroud.exe（忘了是不是这个名字了，红色图标有传奇世界图标的）
C:\WINDOWS\Debug\*** Programme.exe(也是上面那个图标，名字忘了-_- 好大好明显非隐藏的)
C:\Windows\system32\command.com 这个不要轻易删，看看是不是和下面几个日期不一样而和其他文件日期一样，如果和其他文件大部分系统文件日期一样就不能删，当然系统文件肯定不是这段时间的。
C:\Windows\system32\msconfig.com
C:\Windows\system32\regedit.com
C:\Windows\system32\dxdiag.com
C:\Windows\system32\rundll32.com
C:\Windows\system32\finder.com
C:\Windows\system32\a.exe

对了，看看这些文件的日期，看看其他地方还有没有相同时间的文件还是.COM结尾的可疑文件，小心不
要运行任何程序，要不就又启动了，包括双击磁盘
还有一个头号文件！WINLOGON.EXE！做了这么多工作目的就是要干掉她！！！
C:\Windows\WINLOGON.EXE
这个在进程里可以看得到，有两个，一个是真的，一个是假的。
真的是小写winlogon.exe，（不知你们的是不是），用户名是SYSTEM，
而假的是大写的WINLOGON.EXE，用户名是你自己的用户名。

这些都是要删掉的是不是?刚才我用木马杀客查出来13个,好象比你这里少,它是不是漏了呀?而且有的跟你写的一样,有的不一样,木马杀客没杀掉,隔离的病毒文件,我是不是也要删掉呢?

怎么办呀,用木马杀客完了以后,现在连EXE文件都打不开了,怎么办呀,5555555555555555555,哪位好心的哥哥帮帮我呀,为了这些病毒,我两天通宵了呢

5555555刚才我又试着打开EXE文件,居然又能打开了,我被这些病毒要玩死了,谁来救我......

用木马杀客杀掉一些,但是有四个每次杀都会出现,杀不掉,是怎么回事?
是C:\Windows\system32\msconfig.com
C:\Windows\system32\regedit.com 
C:\Windows\system32\dxdiag.com  这三个和
c:\windows\lsass.exe
最后这个它说是启动项目里的

你按照上面的 步骤来 上面的很详细
那个木马客星 只是隔离 但是还是要你手动去删除
按上面的  一步一步的来 还是别用 木马客星了
自己 慢慢 删吧 的确是很累 但是还是自己删吧
前面的 好象没发完 对不起了 现在补上 刚才我也在弄我自己的机子 不要意思
这个文件在进程里是中止不了的，说是关键进程无法中止，搞得跟真的一样！就连在安全模式下它都会
呆在你的进程里！ 我现在所知道的就这些，要是不放心，就最好看一下其中一个文件的修改日期，然后用“搜索”搜这天修改过的文件，相同时间的肯定会出来一大堆的， 连系统还原夹里都有！！ 这些文件会自己关联的，要是你删了一部分，不小心运行了一个，或在开始－运行里运行msocnfig，command，regedit这些命令，所有的这些文件全会自己补充回来！
知道了这些文件，首先关闭可以关闭的所有程序，打开程序附件里头的WINDOWS资源管理器，并在上面的工具里头的文件夹选项里头的查看里设置显示所有文件和文件假，取消隐藏受保护操作系统文件，然后打开开始菜单的运行，输入命令 regedit，进注册表，到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
里面，有一个Torjan pragramme，这个明摆着“我是木马”，删！！
然后注销！ 重新进入系统后，打开“任务管理器”，看看有没rundll32，有的话先中止了，不知这个是真还是假，小心为好。 到D盘（注意不要双击进入！否则又会激活这个病毒）右键，选“打开”，把autorun.inf和pagefile.com删掉，
然后再到C盘把上面所列出来的文件都删掉！中途注意不要双击到其中一个文件，否则所有步骤都要重新来过！ 然后再注销。
我在奋战过程中，把那些文件删掉后，所有的exe文件全都打不开了，运行cmd也不行。
然后，到C:\Windows\system32 里，把cmd.exe文件复制出来，比如到桌面，改名成cmd.com 嘿嘿 我也会用com文件，然后双击这个COM文件
然后行动可以进入到DOS下的命令提示符。
再打入以下的命令：
assoc .exe=exefile （assoc与.exe之间有空格）
ftype exefile="%1" %*
这样exe文件就可以运行了。 如果不会打命令，只要打开CMD.COM后复制上面的两行分两次粘贴上去执行就可以了。
但我在弄完这些之后，在开机的进入用户时会有些慢，并会跳出一个警告框，说文件"1"找不到。（应该是Windows下的1.com文件。）,最后用上网助手之类的软件全面修复IE设置
最后说一下怎么解决开机跳出找不到文件“1.com”的方法：
在运行程序中运行“regedit”，打开注册表，在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]中
把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"

引用:

【saizyor的贴子】看看这个吧！我21号就是这样子删除的！我试了下很管用的已经杀掉了 最好快点杀吧 我杀完这个 好象这病毒用变种成了 “Trojan.PSW.LMir.atb”在系统里面找不到 文件 用瑞星杀了N遍 杀完了 过一段时间又出来 现在搞的我自己也没办法 不过这个方法你先 试一下吧！先把这个：“落雪”的病毒杀掉！！！！！ 正常的winlogon系统进程，其用户名为“SYSTEM” 程序名为小写winlogon.exe。 而伪装成该进程的木马程序其用户名为当前系统用户名，且程序名为大写的WINLOGON.exe。 进程查看方式 ctrl+alt+del 然后选择进程。正常情况下有且只有一个winlogon.exe进程，其用户名为“SYSTEM”。如果出现了两个winlogon.exe，且其中一个为大写，用户名为当前系统用户的话，表明可能存在木马。 这个木马非常厉害，能破坏掉木马克星，使其不能正常运行。目前我使用其他杀毒软件未能查出。 那个WINDOWS下的WINLOGON.EXE确实是病毒，但是，她不过是这个病毒中的小角色而已，大家打开D盘看看是否有一个pagefile的DOS指向文件和一个autorun.inf文件了，呵呵，当然都是隐藏的，删这几个没用的，因为她关联了 很多东西，甚至在安全模式都难搞，只要运行任何程序，或者双击打开D盘，她就会重新被安装了，呵呵，这段时间很多人被盗就是因为这个破解的传家宝了，而且杀毒软件查不出来，有人叫这个病毒为 ”落雪“ 是专门盗传奇传奇世界的木马，至于会不会盗其他帐号如QQ，网银 就看她高兴了，呵呵，估计也都是一并录制。不怕毒和要减少损失的最好开启防火墙阻止除了自己信任的几个常用任务出门，其他的全部阻挡，当然大家最好尽快备份，然后关门杀毒 解决“落雪”病毒的方法 症状：D盘双击打不开，里面有autorun.inf和pagefile.com文件 做这个病毒的人也太强了，在安全模式用Administrator一样解决不了！经过一个下午的奋战才算勉强解决。 我没用什么查杀木马的软件，全是手动一个一个把它揪出来把他删掉的。它所关联的文件如下，绝大多数文件都是显示为系统文件和隐藏的。 所以要在文件夹选项里打开显示隐藏文件。 D盘里就两个，搞得你无法双击打开D盘。里盘里的就多了！ D:\autorun.inf D:\pagefile.com C:\Program Files\Internet Explorer\iexplore.com C:\Program Files\Common Files\iexplore.com C:\WINDOWS\1.com C:\WINDOWS\ iexplore.com  C:\WINDOWS\finder.com C:\WINDOWS\Exeroud.exe（忘了是不是这个名字了，红色图标有传奇世界图标的） C:\WINDOWS\Debug\*** Programme.exe(也是上面那个图标，名字忘了-_- 好大好明显非隐藏的) C:\Windows\system32\command.com 这个不要轻易删，看看是不是和下面几个日期不一样而和其他文件日期一样，如果和其他文件大部分系统文件日期一样就不能删，当然系统文件肯定不是这段时间的。 C:\Windows\system32\msconfig.com C:\Windows\system32\regedit.com C:\Windows\system32\dxdiag.com C:\Windows\system32\rundll32.com C:\Windows\system32\finder.com C:\Windows\system32\a.exe 对了，看看这些文件的日期，看看其他地方还有没有相同时间的文件还是.COM结尾的可疑文件，小心不 要运行任何程序，要不就又启动了，包括双击磁盘 还有一个头号文件！WINLOGON.EXE！做了这么多工作目的就是要干掉她！！！ C:\Windows\WINLOGON.EXE 这个在进程里可以看得到，有两个，一个是真的，一个是假的。 真的是小写winlogon.exe，（不知你们的是不是），用户名是SYSTEM， 而假的是大写的WINLOGON.EXE，用户名是你自己的用户名。 ...........................

这方法无效...

http://forum.ikaka.com/topic.asp?board=28&artid=8105899
下载HijackThis...把日志帖上来..

HijackThis_815汉化版扫描日志 V1.99.1
保存于      11:34:51, 日期 2006-7-23
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\winmer.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\VIA\RAID\raid_tool.exe
C:\Program Files\hxupdate\hxgame-update.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\alg.exe
E:\download\mmsk\mmsk.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\LSASS.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
E:\download\HijackThis1991zww.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: KOSIE HelperInternet Explorer Web Content Guard  - {1B2F92A1-CDAF-4511-9382-91E3F5CE0880} - C:\Program Files\KOS\KOSIEBar.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O3 - IE工具栏增项: 金山毒霸安全助手 - {EF72500A-C234-46C4-BF0A-9AA6913DDF34} - C:\Program Files\KOS\KOSIEBar.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - 启动项HKLM\\Run: [SoundMan] SOUNDMAN.EXE
O4 - 启动项HKLM\\Run: [RaidTool] C:\Program Files\VIA\RAID\raid_tool.exe
O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - 启动项HKLM\\Run: [nwiz] nwiz.exe /install
O4 - 启动项HKLM\\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - 启动项HKLM\\Run: [hxgame-update] C:\Program Files\hxupdate\hxgame-update.exe
O4 - 启动项HKLM\\Run: [ToP] C:\WINDOWS\LSASS.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - C:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - 浏览器额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - 浏览器额外的“工具”菜单项: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0CA54D3F-CEAE-48AF-9A2B-31909CB9515D} (Edit Class) - https://www.sz1.cmbchina.com/download/CMBEdit.cab
O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (CEditCtrl Object) - https://img.alipay.com/download/1007/aliedit.cab
O16 - DPF: {52DF16E3-6C4F-4B22-8BAF-09263E463B48} (金山毒霸在线产品升级) - http://zs.kingsoft.com/KOSInit.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{08F304A9-FF74-4656-B0E8-9A1527BB4936}: NameServer = 202.109.15.135 202.96.209.134
O17 - HKLM\System\CS1\Services\Tcpip\..\{08F304A9-FF74-4656-B0E8-9A1527BB4936}: NameServer = 202.109.15.135 202.96.209.134
O23 - NT 服务: Kingsoft Personal Firewall Service (KPfwSvc) - Unknown owner - E:\Program Files\KAV2006\KPfwSvc.EXE (file missing)
O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Unknown owner - e:\Program Files\Rising\Rav\CCenter.exe (file missing)

C:\WINDOWS\LSASS.exe
O4 - 启动项HKLM\\Run: [ToP] C:\WINDOWS\LSASS.exe

麻烦。这个比落雪还难搞。。。。

http://forum.ikaka.com/topic.asp?board=28&artid=7828861
参考这个贴子。。。。。

结束
C:\WINDOWS\system32\winmer.exe

删除
C:\WINDOWS\system32\winmer.exe

这样就可以了吗?而且我好象和这个帖子http://forum.ikaka.com/topic.asp?board=28&artid=7828861上有一点点不一样的地方,也能照他们的方法做吗?我装的也不是瑞星

修复
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

你的日志上应该是瑞星..

555555555怎么删winmer.exe呀，不会．．．目录里找不到．．．救命

怎么帖子沉得那么快呀~我以前装过瑞星,可是删掉了呀,现在是金山毒霸,怎么还说我是瑞星呢,谁来帮帮我呀......

脑子糊涂了,金山今天早上也给我卸载了,因为出问题了,现在是什么杀毒软件都没装啊

C:\WINDOWS\LSASS.exe
就是这样子，一个很难缠的病毒，你按着那个帖子来修复。
你有灵活应对，帖子所说的瑞星其它与它没有关系，这个主要是修复被修改的关联。
不可略过，一步步来。
你修复吧
如果实在解决不了
你可以考虑使用系统还原
如果你的系统从未关闭的话
你可以使用它来还原系统。
开始，程序，附件，系统工具，系统还原，把系统还原到最早的一个时间。
如果系统还原也不行
那就只能重装系统了
如果你真的重装了系统，除了直接删除D盘上可疑文件外。
你应该在你的系统在最好的状态下备份下来，以后出现问题可以很快的还原。
看以下的帖子
http://forum.ikaka.com/topic.asp?board=3&artid=8124643
祝你好运。