新微赢技术网

标题: 解决（落雪）木马清除的后遗症 [打印本页]

作者: 城市之肺 时间: 2009-7-16 03:00
标题: 解决（落雪）木马清除的后遗症
解决（落雪）木马清除的后遗症
“落雪”木马是一种异常猖狂的盗号程序，在启动组中加载程序名称为“Torjan pragramme",程序位置为C:\windows\winlogon.exe，图标为传奇世界图标的程序。此木马可关闭目前市场上各种杀毒软件避免被查杀，并写入大量注册表项，生成大量互动程序，增加查杀难度。
对这款木马进行手工杀有一定的难度，正常情况都是通过更新后的杀毒软件在DOS下进行查杀，特别要注意查杀D盘，因为它在D盘下有俩个隐藏文件：autorun.inf和pagefile的DOS指向文件，也是木马程序的一部分。
但是笔者发现，在杀毒完后，系统就会落下病根：所有.exe可执行文件都不能运行，只能运行.com的文件；桌面上的Internet Explorer无法运行；每次启动都会跳出一个警告框，说文件“1”找不到。
解决办法：
1.如果是Windows 2000或Windows xp以上的系统，将C:\Windwos\system32里的cmd.exe文件复制同来，改名成cmd.com，然后双击cmd.com。此时进入DOS命令提示状态，输入以下的命令：

assoc.exe=exefile（assoc与.exe之间有空格）
ftype exefile="%1"%*
这样EXE文件就可以运行了。
2.在运行程序中运行"regedit"，打开注册表，查找所有的"Iexplore.com"，查到后将com改为exe。
3.打开注册表，在[HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\WindowsNT\CurrentVersion\Winlogon]中把“Shell”=“Explorer.exe 1”中的1删除即可。

欢迎光临新微赢技术网 (http://bbs.weiying.cn/)