中科新闻网m3f战队:SOS!电脑中了木马病毒!
来源:百度文库 编辑:中科新闻网 时间:2024/04/29 03:21:11
这个选项。C和E盘都很正常!(进入D盘后会发现多了一个Pagefile文件)
在Windows资源管理器中发现有两个WINLOGON.EXE!(一个用户名为use一个
为system.)
我在网上查了,好多人也有类似情况。说是什么“落雪木马病毒”。不过我和她们的不太一样。她们有的说在D盘会出现两个隐藏的文件一个是Pagefile但我的不是隐藏的,是真接出现的就这么一个文件。她们有的还说资源管理器中的一个大写一个小写的WINLOGON.EXE,但我的都是大写的。不过在安全模式下就会变成一个大写一个小写了。
请明白的朋友给些指点。网上可以用的方法我都试了,不是不通就是出现情况不一样。所以请不要粘别人的方法过来了,说一些现实可行的方法吧!多谢了!
楼上误解!不是ROSE病毒 我刚中过
昨晚找一个比较稀有的软件,觅遍互联网,在一个名不经传的小站找到,下下来安装,装完后就感觉有问题。
果然,那个畜生居然在里面插了木马,还是smss.exe的Tprogram木马,狠毒啊,无耻哪……
进程文件:smss或者smss.exe
进程名称:SessionManagerSubsystem
描述:
smss.exe是微软Windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个程序对你系统的正常运行是非常重要的。注意:smss.exe也可能是Win32.Ladex.a木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。
我中招后的症状是所有文件都无法打开,包括exe/txt等所有文件。 然后点击右键打开方式会提示“拒绝访问”。
然后把我的symantec给屏蔽掉,不让启动。够狠吧。
进程里有为Tprogram的c:\windows\smss.exe 文件
smss.exe 是c:\windows\system32下的,so,这个windows\下的smss.exe进程肯定是木马了。
进run删除启动项,或者用优化大师等删除开机启动项。然后删除c:\windows\smss.exe 文件。
然后推荐用我以前发的ewido木马查杀软件查杀。
重新启动,它又出现了,这么容易干掉就不是木马了。
上网一搜,说D盘还有文件,一看,果然有 autorun.inf 和 command.com 两个文件,看来这家伙会自己复制,很坏啊
不过呢,用这个软件就可以了,强力木马移除程式
下载地址:http://www.wenkai.com/down/powerrmv.zip
是绿色安装,直接解压就可以运行,选中c:\windows\smss.exe(如果他隐藏了 你就直接选定c:\windows\smss.exe这个路径) 文件,把下面的“抑制复制”勾上,确定就可以了,然后自己把D盘下的2个文件删除,去掉启动项里的c:\winnt\smss.exe。
另外 c:\windows\目录下还有几个文件.exe和1.com文件,也是木马文件,不过在smss.exe被干掉后,你可以直接删除,文件名忘了,不过没有了smss.exe后删不删已经没关系了。不过你可以看建立时间来确定他们,大概个文件(只记得有lsass.exe),是中毒的时候同时建立的。
重新启动,再看看进程,一切OK了.
另外,如果你需要进程管理工具,请下载Process Explorer
http://www.ysye.com/soft/389.html
玫瑰病毒
专杀ROSE病毒的工具http://ccb.afdream.com/article.asp?id=21
我刚处理此问题,呵呵 采取了最有效的办法 系统还原,你去试试吧,很管用啊。
ewido ,最棒的木马杀毒