瑞星卡卡安全论坛

今天有几个朋友就问我..瑞星的"橙色八月专用提取清除工具"到底能否把落雪系列木马杀除..
http://forum.ikaka.com/topic.asp?board=28&artid=8137314里我也介绍了"橙色八月专用提取清除工具"..今天再次对此清除器做测试...
"橙色八月专用提取清除工具"
更新
⒏月⒎号 更新:将.exe改为.com
⒏月⒏号 更新:这次更新说实话我也不知道更新了什么..但是听说是对部分被病毒修改的注册表进行了修复..
昨天无邪就问我..到底这清除器可行么?能杀干净么?其实它⒏月⒏日更新后我就立刻进行了测试..但是没有具体看注册表只看了几处..都清不干净..
今天把结果具体说一下...
⒈C:\WINDOWS\winlogon.exe
http://forum.ikaka.com/topic.asp?board=28&artid=7678628(baohe斑竹的分析)
以下是中毒后被改的注册表:
HKEY_CLASSES_ROOT\.bfc\ShellNew
"Command"="%SystemRoot%\\system32\\rundll32.com %SystemRoot%\\system32\\syncui.dll,Briefcase_Create %2!d! %1"

HKEY_CLASSES_ROOT\.lnk\ShellNew
"Command"="rundll32.com appwiz.cpl,NewLinkHere %1"

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\""

HKEY_CLASSES_ROOT\cplfile\shell\cplopen\command
@="rundll32.com shell32.dll,Control_RunDLL \"%1\",%*"

HKEY_CLASSES_ROOT\Drive\shell\find\command
@="%SystemRoot%\\explorer.com"

HKEY_CLASSES_ROOT\dunfile\shell\open\command
@="%SystemRoot%\\system32\\rundll32.com NETSHELL.DLL,InvokeDunFile %1"

HKEY_CLASSES_ROOT\ftp\shell\open\command
@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\" %1"

HKEY_CLASSES_ROOT\htmlfile\shell\open\command
@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\" -nohome"

HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command
@="\"C:\\Program Files\\common~1\\iexplore.pif\" %1"

HKEY_CLASSES_ROOT\htmlfile\shell\print\command
@="rundll32.com %SystemRoot%\\system32\\mshtml.dll,PrintHTML \"%1\""

HKEY_CLASSES_ROOT\inffile\shell\Install\command
@="%SystemRoot%\\System32\\rundll32.com setupapi,InstallHinfSection DefaultInstall 132 %1"

HKEY_CLASSES_ROOT\InternetShortcut\shell\open\command
@="finder.com shdocvw.dll,OpenURL %l"

HKEY_CLASSES_ROOT\scrfile\shell\install\command
@="finder.com desk.cpl,InstallScreenSaver %l"

HKEY_CLASSES_ROOT\scriptletfile\Shell\Generate Typelib\command
@="\"C:\\WINDOWS\\system32\\finder.com\" C:\\WINDOWS\\system32\\scrobj.dll,GenerateTypeLib \"%1\""

HKEY_CLASSES_ROOT\telnet\shell\open\command
@="finder.com url.dll,TelnetProtocolHandler %l"

HKEY_CLASSES_ROOT\Unknown\shell\openas\command
@="%SystemRoot%\\system32\\finder.com %SystemRoot%\\system32\\shell32.dll,OpenAs_RunDLL %1"

HKEY_CLASSES_ROOT\winfiles\Shell\Open\Command
@="C:\\WINDOWS\\ExERoute.exe \"%1\" %*"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Torjan Program"="C:\\WINDOWS\\WINLOGON.EXE"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Shell"="Explorer.exe 1"

经过"橙色八月专用提取清除工具"处理..图..

附件: 632398200681063609.JPG

经过"橙色八月专用提取清除工具"处理后的注册表项:

HKEY_CLASSES_ROOT\.bfc\ShellNew
"Command"="%SystemRoot%\\system32\\rundll32.com %SystemRoot%\\system32

\\syncui.dll,Briefcase_Create %2!d! %1"

HKEY_CLASSES_ROOT\.lnk\ShellNew
"Command"="rundll32.com appwiz.cpl,NewLinkHere %1"

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command(改)
@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\""
专杀处理后 "C:\Program Files\Internet Explorer\iexplore.exe"
瑞星专杀处理后 %PROGRAMFILES%\Internet Explorer\iexplore.exe -nohome

HKEY_CLASSES_ROOT\cplfile\shell\cplopen\command
@="rundll32.com shell32.dll,Control_RunDLL \"%1\",%*"

HKEY_CLASSES_ROOT\Drive\shell\find\command
@="%SystemRoot%\\explorer.com"


HKEY_CLASSES_ROOT\dunfile\shell\open\command
@="%SystemRoot%\\system32\\rundll32.com NETSHELL.DLL,InvokeDunFile %1"

HKEY_CLASSES_ROOT\ftp\shell\open\command (改)
专杀处理后 "C:\Program Files\Internet Explorer\iexplore.exe" %1
瑞星专杀处理后 "C:\Program Files\Internet Explorer\iexplore.exe" -nohome

HKEY_CLASSES_ROOT\htmlfile\shell\open\command  (改)
@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" -nohome"
专杀处理后 "C:\Program Files\Internet Explorer\iexplore.exe" %1
瑞星专杀处理后 "C:\Program Files\Internet Explorer\iexplore.exe" -nohome

HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command(没项)

HKEY_CLASSES_ROOT\htmlfile\shell\print\command (改)
%SystemRoot%\Explorer.exe

HKEY_CLASSES_ROOT\inffile\shell\Install\command
@="%SystemRoot%\\System32\\rundll32.com setupapi,InstallHinfSection DefaultInstall 132 %1"

HKEY_CLASSES_ROOT\InternetShortcut\shell\open\command
@="finder.com shdocvw.dll,OpenURL %l"


HKEY_CLASSES_ROOT\scrfile\shell\install\command
@="finder.com desk.cpl,InstallScreenSaver %l"

HKEY_CLASSES_ROOT\scriptletfile\Shell\Generate Typelib\command
@="\"C:\\WINDOWS\\system32\\finder.com\" C:\\WINDOWS\\system32\\scrobj.dll,GenerateTypeLib \"%1\""

HKEY_CLASSES_ROOT\telnet\shell\open\command
@="finder.com url.dll,TelnetProtocolHandler %l"

HKEY_CLASSES_ROOT\Unknown\shell\openas\command
@="%SystemRoot%\\system32\\finder.com %SystemRoot%\\system32\\shell32.dll,OpenAs_RunDLL %1"

HKEY_CLASSES_ROOT\winfiles\Shell\Open\Command
@="C:\\WINDOWS\\ExERoute.exe \"%1\" %*"

19、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run(无)

20、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon(正常)

⒉C:\WINDOWS\LSASS.EXE
http://forum.ikaka.com/topic.asp?board=28&artid=7828861(baohe斑竹的分析)
以下是中毒后被改的注册表:
HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command
@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" %1"

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" %1"

HKEY_CLASSES_ROOT\ftp\shell\open\command
@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" %1"

HKEY_CLASSES_ROOT\htmlfile\shell\open\command
@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" -nohome"

HKEY_CLASSES_ROOT\.exe
删除WindowFiles

HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Microsoft Soft Debuger\Settings
删除"GUID"="{BI5AP8-6K55T9-8LJY6K-64M1EC-LTW624}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除Top

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
删除wextract_cleanup0

经过"橙色八月专用提取清除工具"处理..图..


附件: 632398200681064606.JPG

经过"橙色八月专用提取清除工具"处理后的注册表项(是专杀检测的数据)

Trojan.PSW.Misc专杀 2006-8-10 3:42:30
★★开始扫描★★

　　扫描病毒进程...
　　扫描病毒进程完成!发现 [0] 个可疑进程!

　　扫描病毒文件...
　　　　发现:C:\WINDOWS\Winsock32.DLL.SCF
　　扫描病毒文件完成!发现 [1] 个文件!

　　扫描注册表项...
　　　　发现:HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif\shell\open\command
　　　　　　此项目应被删除!

　　　　发现:HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif\shell\open
　　　　　　此项目应被删除!

　　　　发现:HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif\shell
　　　　　　此项目应被删除!

　　　　发现:HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif
　　　　　　此项目应被删除!

　　　　发现:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command=(空值)
　　　　　　此项目值应为:"C:\Program Files\Internet Explorer\iexplore.exe" %1

　　　　发现:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command=(空值)
　　　　　　此项目值应为:"C:\Program Files\Internet Explorer\iexplore.exe"

　　　　发现:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command="C:\Program Files\Internet Explorer\iexplore.exe" -nohome
　　　　　　此项目值应为:"C:\Program Files\Internet Explorer\iexplore.exe" %1

　　　　发现:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew\command=(空值)
　　　　　　此项目值应为:"C:\Program Files\Internet Explorer\iexplore.exe" %1

　　　　发现:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP\shell\open\command="C:\Program Files\common~1\INTEXPLORE.pif" -nohome
　　　　　　此项目值应为:"C:\Program Files\Internet Explorer\iexplore.exe" -nohome

　　　　发现:HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet=INTEXPLORE.pif
　　　　　　此项目值应为:IEXPLORE.EXE

　　扫描注册表完成!发现 [10] 处被修改!
　　★注册表说明:本次扫描是按照IE默认设置进行的,如果您使用其他浏览器作为默认浏览器,也会被视为恶意修改!

★★系统扫描完成!★★

C:\WINDOWS\SMSS.EXE 与 C:\WINDOWS\winlogon.exe 修改的注册表差不多所以也不用多测试了...

C:\WINDOWS\LSASS.EXE 我是在Xp1 中测试..
C:\WINDOWS\winlogon.exe 在Xp2 中测试..

在测试C:\WINDOWS\winlogon.exe 中..我发现..
Trojan.PSW.Misc.kbs 用清除器一点反映都没..
Trojan.PSW.LMir.jsv 清除器才有反映..

此清除器更新俩次...
现在的能否杀得干净..大家自然可以看出...
-----------------------------------------------------------
额外说句...我的泡面泡烂了...下次不这么认真了...
再额外一句...福建这"宝地"..不愧是台风地..又来了..晕死..

怎么没有人跟帖，我先顶一下。

应该可以吧?

引用:

【mopery的贴子】 额外说句...我的泡面泡烂了...下次不这么认真了... 再额外一句...福建这"宝地"..不愧是台风地..又来了..晕死.. ………………

不认真，还想我顶你在站务的贴子吗？

建议置顶

我是7月25号 中的落雪 传奇终结者的病毒
当时没搞清楚怎么杀 最后根据网上高手的帖子手动把木马删除了
但是没过一天 这个木马就变种成了 Trojan.PSW.LMir.atb
瑞星一直在不挺的杀 就是杀不完 最后才知道此病毒已经变种
而且修改了N项注册表 只要一开网就能发现病毒 最后没办法 只能
重新装系统 重装完了以后才可以正常使用 昨天我有个朋友说也中了 说最后用最新版本的 “木马杀客 ”5.3 1 绿色版能把这个彻底杀掉 大家去试一下吧 ！我朋友说杀了以后 就没问题了！

顶一下

引用:

【saizyor的贴子】我是7月25号 中的落雪 传奇终结者的病毒 当时没搞清楚怎么杀 最后根据网上高手的帖子手动把木马删除了 但是没过一天 这个木马就变种成了 Trojan.PSW.LMir.atb 瑞星一直在不挺的杀 就是杀不完 最后才知道此病毒已经变种 而且修改了N项注册表 只要一开网就能发现病毒 最后没办法 只能 重新装系统 重装完了以后才可以正常使用 昨天我有个朋友说也中了 说最后用最新版本的 “木马杀客 ”5.3 1 绿色版能把这个彻底杀掉 大家去试一下吧 ！我朋友说杀了以后 就没问题了！ ………………

我试了,不行,被篡改的注册项无法修复......