全手工清除落雪

### 全手工清除“落雪”木马病毒 #### 一、病毒简介 “落雪”木马，又称为“游戏大盗”（Trojan/PSW.GamePass, Trojan.PSW.Snow.a, Troj.LMir2.ky），是一种通过VB编程语言编写的恶意软件，经常采用北斗3.1加壳技术进行自我保护。该木马的特点是在受感染系统中释放大量的病毒文件，这些文件数量众多且伪装成正常系统文件，给清理工作带来了较大的难度。 #### 二、中毒症状 中了“落雪”木马的主要症状包括但不限于： 1. **系统运行速度明显变慢**：由于木马运行时占用大量系统资源，导致整体性能下降。 2. **安全软件及防火墙被禁用**：用户可能注意到任务栏中相关的图标消失，但实际上可以通过右键菜单等其他方式启动杀毒软件进行手动扫描。 3. **D盘无法双击打开**：木马会在D盘根目录下生成`autorun.inf`和`pagefile.com`两个文件，前者设置为隐藏属性。 4. **异常进程运行**：查看任务管理器时发现有名为`1.EXE`或`WINLOGON.EXE`（大写）的进程正在运行。 5. **注册表被篡改**： - `HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run`中出现不明条目。 - `HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon`下的`Shell`值被修改为包含额外内容，如`Shell=Explorer.exe 1`。 6. **无法打开可执行文件**：`.exe`格式的文件无法正常启动。 7. **启动时弹出错误提示**：系统启动时可能会出现关于找不到文件“1”的警告框。 #### 三、病毒复活机制 “落雪”木马具有较强的复活能力，一旦部分组件被清除，仍可通过以下方式重新激活： 1. **通过命令行激活**：在“开始”菜单的“运行”窗口中输入`msconfig`, `command`, `regedit`等命令，可以触发病毒复活。 2. **双击任何病毒文件**：即使部分文件被删除，双击残留的任何病毒文件也会使整个木马系统恢复运行。 3. **双击D盘**：由于D盘根目录下存在`autorun.inf`文件，双击D盘时会自动执行`pagefile.com`，从而复活木马。 #### 四、对系统的影响 该木马在感染过程中会对系统进行以下改动： - **向C盘释放病毒文件**：木马会生成多个伪装成正常系统文件的病毒文件，如`winlogon.exe`、`regedit.com`等，并将其放置于`C:\Windows`和`C:\Program Files`等目录下。 - **向D盘释放病毒文件**：木马还会在D盘根目录下生成`autorun.inf`和`pagefile.com`文件，确保即使C盘被清理后仍能复活。 - **修改注册表**：木马篡改系统注册表，使得用户在操作某些系统功能时会无意中启动木马。 #### 五、手工清除步骤 对于手工清除“落雪”木马的操作，建议按照以下步骤进行： 1. **备份重要数据**：在进行任何清理操作之前，请先备份好重要的个人文件和数据。 2. **安全模式启动**：重启计算机并以安全模式启动，以降低木马运行的机会。 3. **查找并删除病毒文件**：使用文件搜索功能找到所有与木马相关的文件，并逐一删除。 4. **清理注册表**：使用注册表编辑器（`regedit`）打开注册表，查找并删除所有与木马相关的键值。 5. **修复系统关联**：木马可能篡改了文件关联，需要通过修改注册表来恢复正常的文件关联。 6. **扫描磁盘**：使用磁盘扫描工具检查是否存在残留的病毒文件。 7. **更新系统补丁**：安装最新的操作系统补丁，提高系统的安全性。 8. **重置网络设置**：如果木马对网络设置进行了修改，需进行相应的重置操作。 通过以上步骤，可以有效地清除“落雪”木马及其留下的痕迹，恢复系统的正常运行状态。需要注意的是，由于“落雪”木马较为复杂，建议在专业人士指导下进行操作，避免误删系统关键文件而导致更严重的问题。