傳奇盜號木馬清除手記。
作者: rubil 發表日期: 2006-06-27 16:19 文章屬性: 原創 複製鏈結
http://big5.ccidnet.com:89/gate/big5/rubil.blog.cc...showone/tid_51187.html 最近同事由於玩傳奇時使用了外挂,導致電腦被無聲的安裝了木馬,經詳細檢查各系統目錄下之文件,終於找出病毒文件。均為47K左右大小,且為系統、隱藏屬性,常規方式查看不到。將其一一刪除,病毒清除成功。下面為具體的操作方法,僅供參考:
有用破解脫機外挂挂傳奇或傳奇世界的同胞們注意了,請儘快暫停使用51PYWG破解和方新修改的外挂,特別是傳家寶。要不中毒了損失就超大了. 急迫!!!請使用51破解寶寶的人注意!!
現在使用51破解版傳家寶會生產一個WINLOGON.EXE進程正常的winlogon系統進程,其用戶名為“SYSTEM” 程式名為小寫winlogon.exe。
而偽裝成該進程的木馬程式其用戶名為當前系統用戶名,且程式名為大寫的WINLOGON.exe。
進程查看方式 ctrl+alt+del ,然後選擇進程。正常情況下有且只有一個winlogon.exe進程,其用戶名為“SYSTEM”。如果出現了兩個winlogon.exe,且其中一個為大寫,用戶名為當前系統用戶的話,表明可能存在木馬。
這個木馬非常厲害,能破壞掉木馬剋星,使其不能正常運行。目前我使用其他殺毒軟體未能查出。
那個WINDOWS下的WINLOGON.EXE確實是病毒,但是,她不過是這個病毒中的小角色而已,大家打開D盤看看是否有一個pagefile的DOS指向文件和一個autorun.inf文件了,呵呵,當然都是隱藏的,刪這幾個沒用的,因為她關聯了很多東西,甚至在安全模式都難搞,只要運行任何程式,或者雙擊打開D盤,她就會重新被安裝了,呵呵,這段時間很多人被盜就是因為這個破解的傳家寶了,而且殺毒軟體查不出來,有人叫這個病毒為 ”落雪“ 是專門盜傳奇傳奇世界的木馬,至於會不會盜其他帳號如QQ,網銀就看她高興了,呵呵,估計也都是一併錄製。不怕毒和要減少損失的最好開啟防火牆阻止除了自己信任的幾個常用任務出門,其他的全部阻擋,當然大家最好儘快備份,然後關門殺毒
包括方新等修改過的51pywg傳家寶,和他們破解的其他一切外挂,這次嫌疑最大的是51PYWG,至於其他合作網站估計也逃不了關係,特別是方新網站,已經被證實過多次在網站放木馬,雖然他解釋是被黑了,但是不能排除其他可能,特別小心那些啟動後連接網站的外挂,不排除啟動器本身就有毒,反正一句話,這種啟動就連接某網站的破解軟體最容易放毒,至於什麼時候放,怎麼放,比如一天放幾個小時,都要看他怎麼爽,用也儘量用那種完全本地破解驗證版的,雖然挂盟現在好像還沒發現被放馬或者自己放,但是千萬小心,,最近傳奇世界傳奇N多人被盜號,目標直指這些網站,以下是最近特別毒的WINLOGON.EXE盜號病毒清除方法,注意這個假的WINLOGON.EXE是在WINDOWS下,進程裏頭表現為當前用戶或ADMINISTRATOR.另外一個SYSTEM的winlogon.exe是正常的,那個千萬不要亂刪,看清楚了,前面一個是大寫,後面一個是小寫,而且經部分網友證實,此文件連接目的地為河南。
解決“落雪”病毒的方法
症狀:D盤雙擊打不開,裏面有autorun.inf和pagefile.com文件
做這個病毒的人也太強了,在安全模式用Administrator一樣解決不了!經過一個下午的奮戰才算勉強解決。
我沒用什麼查殺木馬的軟體,全是手動一個一個把它揪出來把他刪掉的。它所關聯的文件如下,絕大多數文件都是顯示為系統文件和隱藏的。
所以要在文件夾選項裏打開顯示隱藏文件。
D盤裏就兩個,搞得你無法雙擊打開D盤。C盤裏的就多了!
D:\autorun.inf
D:\pagefile.com
C:\Program Files\Internet Explorer\iexplore.com
C:\Program Files\Common Files\iexplore.com
C:\WINDOWS\1.com
C:\WINDOWS\iexplore.com
C:\WINDOWS\finder.com
C:\WINDOWS\Exeroud.exe
C:\WINDOWS\Debug\*** Programme.exe(也是上面那個圖標,名字忘了-_- 好大好明顯非隱藏的)
C:\Windows\system32\command.com
這個不要輕易刪,看看是不是和下面幾個日期不一樣而和其他文件日期一樣,如果和其他文件大部分系統文件日期一樣就不能刪,當然系統文件肯定不是這段時間的。
C:\Windows\system32\msconfig.com
C:\Windows\system32\regedit.com
C:\Windows\system32\dxdiag.com
C:\Windows\system32\rundll32.com
C:\Windows\system32\finder.com
C:\Windows\system32\a.exe
對了,看看這些文件的日期,看看其他地方還有沒有相同時間的文件還是.COM結尾的可疑文件,小心不要運行任何程式,要不就又啟動了,包括雙擊磁片
還有一個頭號文件!WINLOGON.EXE!做了這麼多工作目的就是要幹掉她!!!
C:\Windows\WINLOGON.EXE
這個在進程裏可以看得到,有兩個,一個是真的,一個是假的。
真的是小寫winlogon.exe,(不知你們的是不是),用戶名是SYSTEM,
而假的是大寫的WINLOGON.EXE,用戶名是你自己的用戶名。
這個文件在進程裏是中止不了的,說是關鍵進程無法中止,搞得跟真的一樣!就連在安全模式下它都會呆在你的進程裏!
我現在所知道的就這些,要是不放心,就最好看一下其中一個文件的修改日期,然後用“搜索”搜這天修改過的文件,相同時間的肯定會出來一大堆的,連系統還原夾裏都有!!
這些文件會自己關聯的,要是你刪了一部分,不小心運行了一個,或在開始-運行裏運行msconfig,command,regedit這些命令,所有的這些文件全會自己補充回來!
知道了這些文件,首先關閉可以關閉的所有程式,打開程式附件裏頭的WINDOWS資源管理器,並在上面的工具裏頭的文件夾選項裏頭的查看裏設置顯示所有文件和文件夾,取消隱藏受保護作業系統文件,然後打開開始功能表的運行,輸入命令regedit,進註冊表,到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run裏面,有一個Torjan pragramme,這個明擺著“我是木馬”,刪!!
然後登出! 重新進入系統後,打開“任務管理器”,看看有沒rundll32,有的話先中止了,不知這個是真還是假,小心為好。
到D盤(注意不要雙擊進入!否則又會激活這個病毒)右鍵,選“打開”,把autorun.inf和pagefile.com刪掉,然後再到C盤把上面所列出來的文件都刪掉!中途注意不要雙擊到其中一個文件,否則所有步驟都要重新來過! 然後再登出。
我在奮戰過程中,把那些文件刪掉後,所有的exe文件全都打不開了,運行cmd也不行。
然後,到C:\Windows\system32 裏,把cmd.exe文件複製出來,比如到桌面,改名成cmd.com 嘿嘿
我也會用com文件,然後雙擊這個COM文件,然後行動可以進入到DOS下的命令提示符。
再打入以下的命令:
assoc .exe=exefile (assoc與.exe之間有空格)
ftype exefile="%1" %*
這樣exe文件就可以運行了。 如果不會打命令,只要打開CMD.COM後複製上面的兩行分兩次粘貼上去執行就可以了。
但我在弄完這些之後,在開機的進入用戶時會有些慢,並會跳出一個警告框,說文件"1"找不到。(應該是Windows下的1.com文件。),最後用上網助手之類的軟體全面修復IE設置
最後說一下怎麼解決開機跳出找不到文件“1.com”的方法:
在運行程式中運行“regedit”,打開註冊表,在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]中
把"Shell"="Explorer.exe 1"恢復為"Shell"="Explorer.exe"
大功告成!
