进程中多了WINLOGON
这好病毒叫~落雪~~名字好听~~其实O一样很可恶的~~用手工删除最彻底的了~~
手工删除:
一、 结束病毒进程
鼠标右键点击"任务栏",选择"任务管理器"。点击菜单"查看"->"选择列",在弹出的对话框中选择"PID(进程标识符)",并点击"确定"。
找到映象名称为"WINLOGON.EXE",并且用户名不是"SYSTEM"的一项,记住其PID号。
点击"开始"-》"运行",输入"CMD",点击"确定"打开命令行控制台。输入"ntsd -c q -p (PID)",比如我的计算机上就输入"ntsd -c q -p 1464"。 1464即为PID号。
这一步切忌小心!!!一定不能弄错记住是“用户名不是"SYSTEM"的一项”错了会导致系统崩溃,
那天我在同学家就是搞错了弄得系统重装。当然也可以下载解释进程的软件,但是我觉得这样简单。
二、 删除病毒文件
打开"我的电脑",选择文件夹选项,设置显示所有的隐藏文件、系统文件并显示文件扩展名。删除如下几个文件:
C:\WINDOWS\1.com
C:\WINDOWS\iexplore.com
C:\WINDOWS\finder.com
C:\WINDOWS\Exeroud.exe(忘了是不是这个名字了,红色图标有传奇世界图标的)
C:\WINDOWS\WINLOGON.EXE(红色图标有传奇世界图标的)
C:\WINDOWS\Debug\*** Programme.exe(也是上面那个图标,名字忘了-_- 好大好明显非隐藏的)
C:\Windows\system32\command.com 这个不要轻易删,看看是不是和下面几个日期不一样而和其他文件日期一样,如果和其他文件大部分系统文件日期一样就不能删,当然系统文件肯定不是这段时间的。
C:\Windows\system32\msconfig.com
C:\Windows\system32\regedit.com
C:\Windows\system32\dxdiag.com
C:\Windows\system32\rundll32.com
C:\Windows\system32\finder.com
C:\Windows\system32\a.exe
C:\WINDOWS\severs.exe
如果硬盘有其他分区,一般为D盘,则在其他分区(D盘)上点击鼠标右键,选择"打开"。删除掉该分区根目录下的"D:\autorun.inf"和"D:\pagefile.com"文件。
三、删除注册表中的其他垃圾信息
这个病毒该写的注册表位置相当多,如果不进行修复将会有一些系统功能发生异常。
因为实在太多了,所以希望大家这样做,比较快捷。
网上只告诉你键值要你自己改,我改的太痛苦了,所以这样快些:
首先删除这个必须一个一个删,
将Windows目录下的"regedit.exe"改名为"regedit.com"并运行,删除以下项目:
HKEY_CLASSES_ROOT\WindowFiles、
HKEY_CURRENT_USER\Software\VB and VBA Program Settings、
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main下面的 Check_Associations项、
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif、
接下来是修改注册表,不用一个个去找啦,复制以下文件(不含横线),然后新建一个文本文档,不以下内容粘贴进去,然后另存为“任意文件名”.reg(不含引号)。随便在哪建都行,然后双击这个文件,选择是。好了,完成!
如果你懒得做这些,没关系,我已经把弄好的导入文件上传到了网上,大家分享吧!
/winlogon杀毒注册表修改.rar
--------------------------------------------------------------------
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\ftp\shell\open\command]
@="\"\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" %1\""
[HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command]
@="\"\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" %1\" "
[HKEY_CLASSES_ROOT\htmlfile\shell\open\command]
@="\"\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" -nohome\""
[HKEY_CLASSES_ROOT\.exe]
@="exefile"
"Content Type"="application/x-msdownload"
[HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command]
@="\"\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" %1\""
[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
@="\"C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE\" "
[HKEY_CLASSES_ROOT\HTTP\shell\open\command]
@="\"\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" -nohome\""
[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet]
@="IEXPLORE.EXE"
--------------------------------------------------------------------------------------
至此病毒已经全部杀光了,重启就不会再有病毒啦:)
说实话我满佩服这个做病毒的,杀毒软件都没用,哈哈确实不错,网上说这个家伙是河南的,满强的,但是太黑了,弄得大家这么累,真他妈挨千刀.