“落雪木马”的意思、由来-中文百科全书

简介

2006年最难对付的木马病毒之一。

这个进程是不是一个传奇世界程序的图标使用51破解版传家宝会生产一个WINLOGON.EXE进程

正常的winlogon系统进程，其用户名为“SYSTEM” 程序名为小写winlogon.exe。

而伪装成该进程的木马程序其用户名为当前系统用户名，且程序名为大写的WINLOGON.exe。

进程查看方式 ctrl+alt+del 然后选择进程。正常情况下有且只有一个winlogon.exe进程，其用户名为“SYSTEM”。如果出现了两个winlogon.exe，且其中一个为大写，用户名为当前系统用户的话，表明可能存在木马。

这个木马非常厉害，能破坏掉木马克星，使其不能正常运行。目前我使用其他杀毒软件未能查出。

那个WINDOWS下的WINLOGON.EXE确实是病毒，但是，她不过是这个病毒中的小角色而已，大家打开D盘看看是否有一个pagefile的DOS指向文件和一个autorun.inf文件了，呵呵，当然都是隐藏的，删这几个没用的，因为她关联了很多东西，甚至在安全模式都难搞，只要运行任何程序，或者双击打开D盘，她就会重新被安装了，呵呵，这段时间很多人被盗就是因为这个破解的传家宝了，而且杀毒软件查不出来，有人叫这个病毒为 ”落雪“ 是专门盗传奇传奇世界的木马，至于会不会盗其他帐号如QQ，网银就看她高兴了，呵呵，估计也都是一并录制。不怕毒和要减少损失的最好开启防火墙阻止除了自己信任的几个常用任务出门，其他的全部阻挡，当然大家最好尽快备份，然后关门杀毒

包括方新等修改过的传家宝，和他们破解的其他一切外挂，这次嫌疑最大的是51PYWG，至于其他合作网站估计也逃不了关系，特别是方新网站，已经被证实过多次在网站放木马，虽然他解释是被黑了，但是不能排除其他可能，特别小心那些启动后连接网站的外挂，不排除启动器本身就有毒，反正一句话，这种启动就连接某网站的破解软件最容易放毒，至于什么时候放，怎么方，比如一天放几个小时，都要看他怎么爽，用也尽量用那种完全本地破解验证版的，虽然挂盟现在好像还没发现被放马或者自己放，但是千万小心，，最近传奇世界传奇N多人被盗号，目标直指这些网站，以下是最近特别毒的WINLOGON.EXE盗号病毒清除方法，注意这个假的WINLOGON.EXE是在WINDOWS下，进程里头表现为当前用户或ADMINISTRATOR.另外一个 SYSTEM的winlogon.exe是正常的，那个千万不要乱删，看清楚了，前面一个是大写，后面一个是小写，而且经部分网友证实，此文件连接目的地为河南。

病毒症状

进程里面有2个lsass.exe进程,一个是system的,一个是当前用户名的(该进程为病毒).双击D:盘打不开,只能通过右击选择打开来打开.用kaspersky扫描可以扫描出来,并且可以杀掉.但是重启后又有两个lsass.exe进程.该病毒是一个木马程序,中毒后会在D盘根目录下产生command.com和autorun.inf两个文件，同时侵入注册表破坏系统文件关联.该病毒修改注册表启动RUN键值,指向LSASS.exe，修改HKEY_CLASSES_ROOT下的.exe，exefile键值，并新建windowfile键值.将exe文件打开链接关联到其生成的病毒程序%SYSTEM\\EXERT.exe上.

该病毒新建如下文件：

c:\\program files\\common files\\INTEXPLORE.pif

c:\\program files\\internet explorer\\INTEXPLORE.com

%SYSTEM\\debug\\debugprogram.exe

%SYSTEM\\system32\\Anskya0.exe

%SYSTEM\\system32\\dxdiag.com

%SYSTEM\\system32\\MSCONFIG.com

%SYSTEM\\system32\\regedit.com

%SYSTEM\\LSASS.exe

%SYSTEM\\EXERT.exe

解决方法

1.结束进程

调出windows务管理器(Ctrl+Alt+Del),发现通过简单的右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;鼠标右键点击"任务栏"，选择"任务管理器"。点击菜单"查看(V)"－>"选择列(S)..."，在弹出的对话框中选择"PID（进程标识符）"，并点击"确定"。找到映象名称为"LSASS.exe"，并且用户名不是"SYSTEM"的一项，记住其PID号.点击"开始"－》“运行”，输入"CMD"，点击"确定"打开命令行控制台。输入"ntsd –c q -p (PID)"，比如我的计算机上就输入"ntsd –c q -p 1064".

2.删除病毒文件

以下要删除的文件大多是隐藏文件所以要首先设置显示所有的隐藏文件、系统文件并显示文件扩展名;我的电脑-->工具(T)-->文件夹选项(O)...-->查看-->选择"显示所有文件和文件夹",并把隐藏受保护的操作系统文件(推荐)前的勾去掉,这时会弹出一个警告,选择是.至此就显示了所有的隐藏文件了.

删除如下几个文件：

C:\\Program Files\\Common Files\\INTEXPLORE.pif

C:\\Program Files\\Internet Explorer\\INTEXPLORE.com

C:\\WINDOWS\\EXERT.exe

C:\\WINDOWS\\IO.SYS.BAK

C:\\WINDOWS\\LSASS.exe

C:\\WINDOWS\\Debug\\DebugProgram.exe

C:\\WINDOWS\\system32\\dxdiag.com

C:\\WINDOWS\\system32\\MSCONFIG.COM

C:\\WINDOWS\\system32\\regedit.com

在D:盘上点击鼠标右键，选择“打开”。删除掉该分区根目录下的"Autorun.inf"和"command.com"文件.

3.删除注册表中的其他垃圾信息

这个病毒该写的注册表位置相当多，如果不进行修复将会有一些系统功能发生异常。

将Windows目录下的"regedit.exe"改名为"regedit.com"并运行，删除以下项目：

HKEY_CLASSES_ROOT\\WindowFiles

HKEY_CURRENT_USER\\Software\\VB and VBA Program Settings

HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main

下面的 Check_Associations项

HKEY_LOCAL_MACHINE\\SOFTWARE\\Clients\\StartMenuInternet\\INTEXPLORE.pif

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

下面的ToP项

将HKEY_CLASSES_ROOT\\.exe的默认值修改为

"exefile"(原来是windowsfile)

将HKEY_CLASSES_ROOT\\Applications\\iexplore.exe\\shell\\open\\command

的默认值修改为

"C:\\Program Files\\Internet Explorer\\iexplore.exe" %1"

(原来是intexplore.com)

将HKEY_CLASSES_ROOT\\CLSID\\

\\shell\\OpenHomePage\\Command 的默认值修改为

"C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE"(原来是INTEXPLORE.com)

将HKEY_CLASSES_ROOT \\ftp\\shell\\open\\command

和HKEY_CLASSES_ROOT\\htmlfile\\shell\\opennew\\command

的默认值修改为"C:\\Program Files\\Internet Explorer\\iexplore.exe" %1"

(原来的值分别是INTEXPLORE.com和INTEXPLORE.pif)

将HKEY_CLASSES_ROOT \\htmlfile\\shell\\open\\command

HKEY_CLASSES_ROOT\\HTTP\\shell\\open\\command的默认值修改为

"C:\\Program Files\\Internet Explorer\\iexplore.exe" –nohome”

将HKEY_LOCAL_MACHINE\\SOFTWARE\\Clients\\StartMenuInternet

的默认值修改为"IEXPLORE.EXE".(原来是INTEXPLORE.pif)

重新将Windows目录下的regedit扩展名改回exe，至此病毒清除成功，注册表修复完毕.Enjoy It .

网友见解

目前，落雪出现了很多的变种，统计了一下有 Lsass.exe/Smss.exe/Winlogon.exe 等，手动清除十分的困难。

还好，现在无论是杀毒软件厂商还是民间，都有了比较成熟的专杀工具。如果你用专杀都干不掉，在排除了新的变种的同时，只能证明你中的不仅仅只有“落雪”木马。

词条	落雪木马
释义	2006年最难对付的木马病毒之一。“落雪”木马也叫“游戏大盗”（ Trojan/PSW.GamePass），由VB 程序语言编写，通过 nSPack 3.1 加壳处理（即通常所说的“北斗壳”North Star），该木马文件图标一般是红色的图案，伪装成网络游戏的登陆器。简介病毒症状解决方法(1.结束进程 2.删除病毒文件 3.删除注册表中的其他垃圾信息) 网友见解简介 2006年最难对付的木马病毒之一。这个进程是不是一个传奇世界程序的图标使用51破解版传家宝会生产一个WINLOGON.EXE进程正常的winlogon系统进程，其用户名为“SYSTEM” 程序名为小写winlogon.exe。而伪装成该进程的木马程序其用户名为当前系统用户名，且程序名为大写的WINLOGON.exe。进程查看方式 ctrl+alt+del 然后选择进程。正常情况下有且只有一个winlogon.exe进程，其用户名为“SYSTEM”。如果出现了两个winlogon.exe，且其中一个为大写，用户名为当前系统用户的话，表明可能存在木马。这个木马非常厉害，能破坏掉木马克星，使其不能正常运行。目前我使用其他杀毒软件未能查出。那个WINDOWS下的WINLOGON.EXE确实是病毒，但是，她不过是这个病毒中的小角色而已，大家打开D盘看看是否有一个pagefile的DOS指向文件和一个autorun.inf文件了，呵呵，当然都是隐藏的，删这几个没用的，因为她关联了很多东西，甚至在安全模式都难搞，只要运行任何程序，或者双击打开D盘，她就会重新被安装了，呵呵，这段时间很多人被盗就是因为这个破解的传家宝了，而且杀毒软件查不出来，有人叫这个病毒为 ”落雪“ 是专门盗传奇传奇世界的木马，至于会不会盗其他帐号如QQ，网银就看她高兴了，呵呵，估计也都是一并录制。不怕毒和要减少损失的最好开启防火墙阻止除了自己信任的几个常用任务出门，其他的全部阻挡，当然大家最好尽快备份，然后关门杀毒包括方新等修改过的传家宝，和他们破解的其他一切外挂，这次嫌疑最大的是51PYWG，至于其他合作网站估计也逃不了关系，特别是方新网站，已经被证实过多次在网站放木马，虽然他解释是被黑了，但是不能排除其他可能，特别小心那些启动后连接网站的外挂，不排除启动器本身就有毒，反正一句话，这种启动就连接某网站的破解软件最容易放毒，至于什么时候放，怎么方，比如一天放几个小时，都要看他怎么爽，用也尽量用那种完全本地破解验证版的，虽然挂盟现在好像还没发现被放马或者自己放，但是千万小心，，最近传奇世界传奇N多人被盗号，目标直指这些网站，以下是最近特别毒的WINLOGON.EXE盗号病毒清除方法，注意这个假的WINLOGON.EXE是在WINDOWS下，进程里头表现为当前用户或ADMINISTRATOR.另外一个 SYSTEM的winlogon.exe是正常的，那个千万不要乱删，看清楚了，前面一个是大写，后面一个是小写，而且经部分网友证实，此文件连接目的地为河南。病毒症状进程里面有2个lsass.exe进程,一个是system的,一个是当前用户名的(该进程为病毒).双击D:盘打不开,只能通过右击选择打开来打开.用kaspersky扫描可以扫描出来,并且可以杀掉.但是重启后又有两个lsass.exe进程.该病毒是一个木马程序,中毒后会在D盘根目录下产生command.com和autorun.inf两个文件，同时侵入注册表破坏系统文件关联.该病毒修改注册表启动RUN键值,指向LSASS.exe，修改HKEY_CLASSES_ROOT下的.exe，exefile键值，并新建windowfile键值.将exe文件打开链接关联到其生成的病毒程序%SYSTEM\\EXERT.exe上. 该病毒新建如下文件： c:\\program files\\common files\\INTEXPLORE.pif c:\\program files\\internet explorer\\INTEXPLORE.com %SYSTEM\\debug\\debugprogram.exe %SYSTEM\\system32\\Anskya0.exe %SYSTEM\\system32\\dxdiag.com %SYSTEM\\system32\\MSCONFIG.com %SYSTEM\\system32\\regedit.com %SYSTEM\\LSASS.exe %SYSTEM\\EXERT.exe 解决方法 1.结束进程调出windows务管理器(Ctrl+Alt+Del),发现通过简单的右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;鼠标右键点击"任务栏"，选择"任务管理器"。点击菜单"查看(V)"－>"选择列(S)..."，在弹出的对话框中选择"PID（进程标识符）"，并点击"确定"。找到映象名称为"LSASS.exe"，并且用户名不是"SYSTEM"的一项，记住其PID号.点击"开始"－》“运行”，输入"CMD"，点击"确定"打开命令行控制台。输入"ntsd –c q -p (PID)"，比如我的计算机上就输入"ntsd –c q -p 1064". 2.删除病毒文件以下要删除的文件大多是隐藏文件所以要首先设置显示所有的隐藏文件、系统文件并显示文件扩展名;我的电脑-->工具(T)-->文件夹选项(O)...-->查看-->选择"显示所有文件和文件夹",并把隐藏受保护的操作系统文件(推荐)前的勾去掉,这时会弹出一个警告,选择是.至此就显示了所有的隐藏文件了. 删除如下几个文件： C:\\Program Files\\Common Files\\INTEXPLORE.pif C:\\Program Files\\Internet Explorer\\INTEXPLORE.com C:\\WINDOWS\\EXERT.exe C:\\WINDOWS\\IO.SYS.BAK C:\\WINDOWS\\LSASS.exe C:\\WINDOWS\\Debug\\DebugProgram.exe C:\\WINDOWS\\system32\\dxdiag.com C:\\WINDOWS\\system32\\MSCONFIG.COM C:\\WINDOWS\\system32\\regedit.com 在D:盘上点击鼠标右键，选择“打开”。删除掉该分区根目录下的"Autorun.inf"和"command.com"文件. 3.删除注册表中的其他垃圾信息这个病毒该写的注册表位置相当多，如果不进行修复将会有一些系统功能发生异常。将Windows目录下的"regedit.exe"改名为"regedit.com"并运行，删除以下项目： HKEY_CLASSES_ROOT\\WindowFiles HKEY_CURRENT_USER\\Software\\VB and VBA Program Settings HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main 下面的 Check_Associations项 HKEY_LOCAL_MACHINE\\SOFTWARE\\Clients\\StartMenuInternet\\INTEXPLORE.pif HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 下面的ToP项将HKEY_CLASSES_ROOT\\.exe的默认值修改为 "exefile"(原来是windowsfile) 将HKEY_CLASSES_ROOT\\Applications\\iexplore.exe\\shell\\open\\command 的默认值修改为 "C:\\Program Files\\Internet Explorer\\iexplore.exe" %1" (原来是intexplore.com) 将HKEY_CLASSES_ROOT\\CLSID\\ \\shell\\OpenHomePage\\Command 的默认值修改为 "C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE"(原来是INTEXPLORE.com) 将HKEY_CLASSES_ROOT \\ftp\\shell\\open\\command 和HKEY_CLASSES_ROOT\\htmlfile\\shell\\opennew\\command 的默认值修改为"C:\\Program Files\\Internet Explorer\\iexplore.exe" %1" (原来的值分别是INTEXPLORE.com和INTEXPLORE.pif) 将HKEY_CLASSES_ROOT \\htmlfile\\shell\\open\\command HKEY_CLASSES_ROOT\\HTTP\\shell\\open\\command的默认值修改为 "C:\\Program Files\\Internet Explorer\\iexplore.exe" –nohome” 将HKEY_LOCAL_MACHINE\\SOFTWARE\\Clients\\StartMenuInternet 的默认值修改为"IEXPLORE.EXE".(原来是INTEXPLORE.pif) 重新将Windows目录下的regedit扩展名改回exe，至此病毒清除成功，注册表修复完毕.Enjoy It . 网友见解目前，落雪出现了很多的变种，统计了一下有 Lsass.exe/Smss.exe/Winlogon.exe 等，手动清除十分的困难。还好，现在无论是杀毒软件厂商还是民间，都有了比较成熟的专杀工具。如果你用专杀都干不掉，在排除了新的变种的同时，只能证明你中的不仅仅只有“落雪”木马。
随便看	有一种选择叫放弃有一种眼泪叫感动有一种永远是永不再见有一种忧伤穿过我的情感有一种职业叫妈妈有一种智慧叫包容大全集有一种智慧叫包容与感恩有一种智慧叫等待有一种智慧叫低调有一种智慧叫低头有一种智慧叫反省有一种智慧叫忍耐有一种智慧叫与狼为伍有一种智慧叫做忍有一种智慧叫禅悟有一种资本叫乐观有一种资源叫人脉有一种资源是"人脉" 有一种罪行叫饥饿有一种做人智慧叫低调有一种做事叫做人有易有易网有意搁浅有意忽视