关于落雪病毒据说落雪病毒伪装成winl
我也遇到这个病毒,能帮你的就是这些了,建议你还是重装系统。
我是点激一张龙的图片感染的。
也可以参考这个上面的,原来是偷传奇密码的家伙,我说为什么显示的图表是龙呢,我开始在启动项中发现的。祝你好运!
一、结束WINLOGON。 EXE进程。
二、下载RegFix(一个注册表修复工具)。将Regfix。exe的后缀改为scr,按确定。双击 r,自动修复注册表主要文件关联项。
三、找到并删除下列文件(见附图)。
四、修改被木马篡改的注册表项:
1、HKEY_CLASSES_ROOT\。 lnk\ShellNew
"Command"=" appwiz。cpl,NewLinkHere %1"...全部
我也遇到这个病毒,能帮你的就是这些了,建议你还是重装系统。
我是点激一张龙的图片感染的。
也可以参考这个上面的,原来是偷传奇密码的家伙,我说为什么显示的图表是龙呢,我开始在启动项中发现的。祝你好运!
一、结束WINLOGON。
EXE进程。
二、下载RegFix(一个注册表修复工具)。将Regfix。exe的后缀改为scr,按确定。双击 r,自动修复注册表主要文件关联项。
三、找到并删除下列文件(见附图)。
四、修改被木马篡改的注册表项:
1、HKEY_CLASSES_ROOT\。
lnk\ShellNew
"Command"=" appwiz。cpl,NewLinkHere %1"
删除"Command"="
2、HKEY_CLASSES_ROOT\。bfc\ShellNew
"Command"="%SystemRoot%\\system32\\ %SystemRoot%\\system32\\syncui。
dll,Briefcase_Create %2!d! %1"
将"Command"="%SystemRoot%\\system32\\ 改为"Command"="%SystemRoot%\\system32\\rundll32。
exe
3、HKEY_CLASSES_ROOT\Applications\iexplore。exe\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\ \" %1"改为@="\"C:\\Program Files\\Internet Explorer\\iexplore。
exe\" %1"
4、HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
将@="\"C:\\Program Files\\Internet Explorer\\ \""改为@="\"C:\\Program Files\\Internet Explorer\\iexplore。
exe\""
5、HKEY_CLASSES_ROOT\cplfile\shell\cplopen\command
@=" shell32。dll,Control_RunDLL \"%1\",%*"
删除@="
6、HKEY_CLASSES_ROOT\Drive\shell\find\command
将@="%SystemRoot%\\ "改为@="%SystemRoot%\\explorer。
exe"
7、HKEY_CLASSES_ROOT\dunfile\shell\open\command
将@="%SystemRoot%\\system32\\ NETSHELL。DLL,InvokeDunFile %1"改为@="%SystemRoot%\\system32\\rundll32。
exe NETSHELL。DLL,InvokeDunFile %1"
8、HKEY_CLASSES_ROOT\ftp\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\ \" %1"改为@="\"C:\\Program Files\\Internet Explorer\\iexplore。
exe\" %1"
9、HKEY_CLASSES_ROOT\htmlfile\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\ \" -nohome"改为@="\"C:\\Program Files\\Internet Explorer\\iexplore。
exe\" -nohome"
10、HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command
删除@="\"C:\\Program Files\\common~1\\iexplore。
pif\" %1"
11、HKEY_CLASSES_ROOT\htmlfile\shell\print\command
删除@=
12、HKEY_CLASSES_ROOT\inffile\shell\Install\command
删除@="%SystemRoot%\\System32\\
13、HKEY_CLASSES_ROOT\InternetShortcut\shell\open\command
删除@="
14、HKEY_CLASSES_ROOT\scrfile\shell\install\command
删除@="
15、HKEY_CLASSES_ROOT\scriptletfile\Shell\Generate Typelib\command
删除@="\"C:\\WINDOWS\\system32\\ \"
16、HKEY_CLASSES_ROOT\telnet\shell\open\command
删除@="
17、HKEY_CLASSES_ROOT\Unknown\shell\openas\command
删除@="%SystemRoot%\\system32\\
18、HKEY_CLASSES_ROOT\winfiles\Shell\Open\Command
删除@="C:\\WINDOWS\\ExERoute。
exe \"%1\" %*"
19、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除"Torjan Program"="C:\\WINDOWS\\WINLOGON。
EXE"
20、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
将"Shell"="Explorer。
exe 1"改为"Shell"="Explorer。exe" 。收起