瑞星卡卡安全论坛

【为了照顾某些网友阅读本帖，特意将帖子标题中的“瑞星”二字去掉。他们说：中毒后，凡是带“瑞星”“金山”字样的帖子均不能看。甚至导致IE自动关闭】汗！

这一俩天..关于SMSSLSASSWINLOGON 求助越来越多...变种也越来越多...鉴于此病毒比较BT..难以清除...处理起来十分麻烦..此帖专门提供专杀(全是高手制作的并非任何杀毒公司的专杀..)帮助大家解决问题...本人还未经过允许转帖..但是也故不上那么多..
---------------------------------------------------------------------
此帖提供落雪系列木马专杀...分析瑞星"橙色八月"清除器...再发帖麻烦...就直接合二为一...此帖部分转帖..部分原创...未经允许严禁转帖...
---------------------------------------------------------------------
在此感谢 剑盟社区(http://bbs.2dai.com/) hzqedison 斑竹..以及 动物园计算机安全咨询中心(http://www.kingzoo.com/BBS/) 空指针 斑竹...
---------------------------------------------------------------------
⒈关于C:\WINDOWS\winlogon.exe 专杀...专杀见⒎楼....
详细的分析可参考:
http://forum.ikaka.com/topic.asp?board=28&artid=7495863(baohe)
http://forum.ikaka.com/topic.asp?board=28&artid=7678628(baohe)
【转帖】
针对WINLOGON系列木马的批处理（D盘根目录下出现pagefile.pif或command.com）

这个系列的木马闹了好长时间了，可似乎还没有折腾够，变种很多，从开始的红底黑色龙头图案（据说是网游传世的图标）到后来的征途图标。显著的外在特征为：在D盘根目录下生成pagefile.pif文件或者command.com文件，删除了一会后再回来，启动项删除后会自动恢复。某典型变种的分析可看。由于修改了不少文件关联，在处理上有一定的难度，远程了几个，感觉很头疼，于是有了写个批处理的念头。设想起来简单，可实现起来远不是那么容易了。由于REG_EXPAND_SZ的数据类型要换算成2进制，增加了不少的工作量和一定的难度。因此，现在这个版本仅支持安装在C盘或D盘下的XP操作系统，谢谢风乱舞的帮忙以及他提供的系统优化程序，还有海色の月和艾玛。好了，不多说了，下面说下处理办法：

首先运行Procexp，结束WINLOGON进程（kill process），注意下图标，与系统进程不一样。图..(本人小修改..kill process也由本人换成汉化版本)

将进程结束后，运行WINLOGON.bat（需要事先下载下来，建议直接放在桌面上，以免打开我的电脑时再次激活病毒），按照提示操作即可。依次进行的是去掉文件s  r  h属性，删除文件，修复注册表信息。在后面提供了风乱舞的系统优化功能，可以根据个人喜好选择是否优化。

WINLOGON.bat 和Procexp在附件里提供了。(⒎楼..)

需要做以下几点说明：
1、该批处理只适用于安装在C盘或D盘下XP操作系统。
2、这不是杀毒软件，只是我个人针对该病毒及其系列变种采取应对措施，不能保证完无一失。因此，请做好系统备份，对此产生的后果我不负任何责任。（不过出事的几率好象不大^_^）
3、批处理同样适用用于杀软清除病毒后的注册表修复。
4、如果发现经过以上操作后某些变种还无法清除，请把病毒文件加密压缩后发到我邮箱（kongzhizhen@gmail.com），我会及时处理。

转自动物家园(http://www.kingzoo.com/BBS/)

附件: 632398200687112724.gif

C:\WINDOWS\winlogon.exe 专杀图片...
图..

附件: 632398200687112740.JPG

这时候记住按⒈ 后...(系统盘在C盘..)回车...
或者按⒉后...(系统盘在D盘..)回车...
图...

附件: 632398200687112755.JPG

图...

附件: 632398200687112814.JPG

图...

附件: 632398200687112827.JPG

⒉关于C:\WINDOWS\LSASS.EXE 专杀..
详细分析可参考:http://forum.ikaka.com/topic.asp?board=28&artid=8046765(baohe)

专杀由 hzqedison 斑竹提供...专杀见⒎楼...
 
专杀出处:http://www.2dai.com/forum/viewthread.php?tid=323058&extra=page%3D6

对专杀操作进行说明:确认自己中了 C:\WINDOWS\LSASS.EXE 后..运行此专杀...点立即扫描...会列出结果...然后点清除病毒...重启...即可...

图...



附件: 632398200687112850.JPG

⒊关于C:\WINDOWS\SMSS.EXE 专杀....
详细分析可参考:http://forum.ikaka.com/topic.asp?board=28&artid=8046765(baohe)
SMSS.EXE 本人还没有找到专杀...但是其修改的注册表项与winlogon.exe 几乎相同...LSASS专杀也可修复被破坏的注册表项..所以可下载winlogon.exe或者LSASS.EXE 专杀修复注册表项...(修复前必须先结束掉 C:\WINDOWS\SMSS.EXE 进程..)修复完后立即修复杀软...(瑞星杀毒软件:开始-所有程序-瑞星杀毒软件-添加删除组件-修复)...修复杀软后...对 C D 俩个盘进行彻底查杀..杀除病毒文件即可...

也可用瑞星"橙色八月"清除器..在安全模式下清除...

注:如果某位网友有此病毒专杀程序...可联系本人..本人再修改..

⒋ 关于.exe文件无法打开...
http://forum.ikaka.com/topic.asp?board=28&artid=6979213四楼下载System Repair Engineer 下载完后..解压..把SREng.exe 重命名(改成) SREng.com 运行-系统修复-修复文件关联
如果不会修改..可到我的网盘内下载sreng2.rar那是修改好的...

⒈C:\WINDOWS\winlogon.exe(落雪木马)
专杀下载:http://free.ys168.com/?mopery(网盘内的专杀工具)
补充:用这专杀有个别可能会出现无法登入系统..(30楼说明.)无法进入系统几率非常小..除非你走运...

⒉C:\WINDOWS\LSASS.EXE(针对瑞星的木马)
专杀下载:http://free.ys168.com/?mopery(网盘内的专杀工具)

⒊C:\WINDOWS\SMSS.EXE(暂未发现)
如上面所讲述...用 LSASS.EXE 或者winlogon.exe 专杀..进行修复注册表...

-----------------------------------------------------------------
对专杀说明:C:\WINDOWS\winlogon.exe专杀..只能用在 Xp 操作系统..用在其他系统上出现问题...与任何人无关...
C:\WINDOWS\LSASS.EXE专杀..暂时只在 Xp 操作系统上测试过...采用VB编写...除 Xp 以外的系统暂时没测试..如果出现问题..也与任何人无关...

专杀处理完后..需要对杀软进行修复...
-----------------------------------------------------------------
再提供一个系列专杀..本人已经转帖到此..
参考:http://forum.ikaka.com/topic.asp?board=28&artid=8137885xp2 可完全使用此专杀...其他操作系统没测试过...

今天增加俩个系列专杀...可以在2000系统试试...
具体参考:http://forum.ikaka.com/topic.asp?board=28&artid=8141143

-----------------------------------------------------------------
注:因卡卡社区无法上传附件...专杀连接出自本人网盘()...如果发现无法下载..或者下载错误..或者出现其他问题...请与本人联系...进行修改...(由于一些因素大家访问我的网盘进里面下载...)
-----------------------------------------------------------------
再做个说明:这俩个专杀是较早前编写..对新变种可能清不干净...清完后请大家自己用杀软仔细检查...

下面是关于瑞星刚刚发布的"橙色八月"分析...
剧了解此清除器可提取:
trojan.psw.qqpass.pph
trojan.psw.lmir.atb
trojan.psw.lmir.att(蓝屏)
trojan.psw.lmir.atq
trojan.psw.misc.kbo
trojan.psw.misc.ixv
trojan.psw.misc

本人对此专杀进行了测试...
⒈ C:\WINDOWS\winlogon.exe

附件: 632398200687113150.JPG

⒉ C:\WINDOWS\SMSS.EXE

附件: 632398200687113203.JPG

⒊ C:\WINDOWS\LSASS.EXE

附件: 632398200687113317.JPG

⒋trojan.psw.qqpass
此病毒挂掉瑞星杀软...卡卡助手...中此病毒需要重装瑞星...卡卡助手..
感谢newcenturymoon提供样本...

附件: 632398200687140500.JPG

瑞星橙色八月专用提取清除工具...

实质上只清除了病毒文件...但是并为对病毒修改的注册表进行处理...

所以此清除器..只能用于清除病毒文件...使用此清除器必须在安全模式下...

由于许多"菜鸟"(暂时这么说吧..希望大家别见怪..)不会进安全模式..特此引用hzqedison 斑竹的一句话..
--------------------------------------------------------------------
Windows Xp 进入安全模式方法:
在计算机开启BIOS加载完之后,迅速按下F8键,在出现的WindowsXP高级选项菜单中回车按下[安全模式].
Windows 2000 进入安全模式方法:
启动Windows2000时,当看到白色箭头的进度条,按下F8键,出现Windows2000高级选项菜单中回车按下[安全模式].
Windows98/Me 进入安全模式方法:
启动Windows98/Me时,当出现[Starting Windows 98]的时候,迅速按下F8键,按下启动菜单中选择第三项[Safe Mode].
--------------------------------------------------------------------
"橙色八月"⒏月⒎号 更新:将.exe改为.com
"橙色八月"⒏月⒏号 更新:修复了部分被病毒修改的注册表...但是不干净...
"橙色八月"⒏月⒑号 更新:又增加了部分被病毒修改的注册表..

补充:我发现"橙色八月"清除器...有个特征...就是它能清的病毒全是能把瑞星挂掉的病毒...
--------------------------------------------------------------------
个人观点:瑞星这玩意..改来改去..又没办法彻底..改来改去也只改了IE那部分注册表..
完全没用..江民那玩意还好用..
--------------------------------------------------------------------
出处:http://it.rising.com.cn/Channels/Service/2006-08/1154786729d36873.shtml

学习



-------------------------
sorry,我一般是先回帖再看帖子的,没有看见第一句话,对不起啊...

引用:

【闪电风暴的贴子】学习 ------------------------- sorry,我一般是先回帖再看帖子的,没有看见第一句话,对不起啊... ………………

我啃你....等我修改...还有好多要修改..等会看吧....不过至少我全发完了...

全部修改完整...如果有什么地方不对..欢迎大家指点...

发完了是不?  我问你问题怎么不理我啊?~~~

我写这帖子那来时间回你....

我继续忙...继续补....你们先别回了吧...埋头ing.....

好的,收藏先...

无法下载。。
提示
此链接已经失效。请到空间下载。

已经进入你的空间下载了。

引用:

【清清风风的贴子】无法下载。。 提示 此链接已经失效。请到空间下载。 已经进入你的空间下载了。 ………………

谢谢指出...

现在看看能否下载..

OK.可以正常下载了。

学习~~~建议置顶

斑竹啊。!
偶上次用瑞星的橙色八月专杀杀完之后
    毒是杀出来不少
可是为什么重起之后偶所有的EXE文件  都打不开啊
  偶这次好象又中了那个什么SMSS的病毒,现在能用橙色八月杀吗??
  偶好怕又要重装啊!!!

引用:

【偶的天黑黑的贴子】斑竹啊。! 偶上次用瑞星的橙色八月专杀杀完之后     毒是杀出来不少 可是为什么重起之后偶所有的EXE文件  都打不开啊   偶这次好象又中了那个什么SMSS的病毒,现在能用橙色八月杀吗??   偶好怕又要重装啊!!! ………………

橙色八月 只清除病毒文件未对注册表..进行修改..

你可下载那俩个专杀的其中一个...
在安全模式下进行操作..先用橙色八月扫一次..然后用专杀修复注册表项...

斑竹啊!
刚刚用橙色八月杀拉N久啊!
  杀到后面就杀不下去拉。
前面杀的存有病毒的那几个文件也没杀出什么东西来啊!
  是不是橙色八月也没用拉啊?
  现在该怎么办啊??

引用:

【偶的天黑黑的贴子】斑竹啊! 刚刚用橙色八月杀拉N久啊!   杀到后面就杀不下去拉。 前面杀的存有病毒的那几个文件也没杀出什么东西来啊!   是不是橙色八月也没用拉啊?   现在该怎么办啊?? ………………

如果你中的是SMSS 下载 LSASS专杀..在安全模式下结合橙色八月 进行杀毒..

你在安全模式下用LSASS专杀清一次...然后用橙色八月 清一次 修复杀软..安全模式杀一次..ok..

楼主你好，你的专杀下不了呀：（

mopery兄弟——请把帖子里的错别字改改吧。挺好的一个帖子，别让人说咱没文化呀！

引用:

【baohe的贴子】mopery兄弟——请把帖子里的错别字改改吧。别让人说咱没文化呀！ ………………

我写了匆忙 ...都没改好...

还再加一些东西...尽量把所有专杀都搞齐 这东西这几天疯狂涨..我才打算写的..

引用:

【mopery的贴子】 我写了匆忙 ...都没改好... 还再加一些东西...尽量把所有专杀都搞齐 这东西这几天疯狂涨..我才打算写的.. ………………

辛苦！
谢谢！