瑞星卡卡安全论坛

本人不会看注册表
msconfig打不开
病毒是在C:\Windows\system32\Com\下 但我看不到
然后D:\下有pagefile文件
怎么不用格式化硬盘解决它？
rising和360全打不开

http://forum.ikaka.com/topic.asp?board=28&artid=8407547
http://forum.ikaka.com/topic.asp?board=28&artid=8407597
http://forum.ikaka.com/topic.asp?board=28&artid=8408099

这是猫版的三个贴，耐心看完。

就可以搞定了。

谢谢

避免大家还要转页
在下将三网页内容转载过来

]【baohe的贴子】在Thinkpad T60p本本上搞了搞，终于能运行你的样本了。

此毒运行后，我U盘中保存的唯一可执行文件explorer.exe由995K变为1156K；图标变花（图）。用SSM禁止病毒程序LSASS.EXE和SMSS.EXE运行后，U盘中的染毒文件以及autorun.inf、pagefile.pif均可直接删除。

由于我的本本只有一个分区，其它分区的文件感染情况无法观察。估计pagefile.pif同样会感染系统分区以外的.exe文件。

此外，此毒释放下列文件（可用XDELBOX删除）：
C:\windows\system32\com\LSASS.EXE
C:\windows\system32\com\SMSS.EXE
C:\windows\system32\com\netcfg.000
C:\windows\system32\com\netcfg.dll
注：多分区硬盘，可能还会有：
C:\autorun.inf
C:\pagefile.pif
D:\autorun.inf
D:\pagefile.pif
E:\autorun.inf
E:\pagefile.pif
F:\autorun.inf
F:\pagefile.pif
.
.
.
.
这个毒有点儿意思。运行后，IceSword、SRENG等常用工具基本报废（虽然能运行这些工具，但不能执行任何实际操作。）
用SSM禁止C:\windows\system32\com\LSASS.EXE和C:\windows\system32\com\SMSS.EXE运行后，上述工具才能正常使用。

SRENG日志所见异常如下：
==================================
正在运行的进程

[PID: 2856 / baohelin][C:\windows\system32\com\LSASS.EXE]  [N/A, ]
    [C:\windows\system32\PROCHLP.DLL]  [Lenovo Group Limited, 2, 0, 6, 0]
    [C:\Program Files\Lenovo\Client Security Solution\tvtpwm_windows_hook.dll]  [Lenovo Group Limited, 2.0.0]

[PID: 2116 / baohelin][C:\windows\system32\com\SMSS.EXE]  [N/A, ]
    [C:\windows\system32\PROCHLP.DLL]  [Lenovo Group Limited, 2, 0, 6, 0]
    [C:\Program Files\Lenovo\Client Security Solution\tvtpwm_windows_hook.dll]  [Lenovo Group Limited, 2.0.0]

==================================
Autorun.inf
N/A
==================================
进程特权扫描

特殊特权被允许： SeLoadDriverPrivilege [PID = 2856, C:\WINDOWS\SYSTEM32\COM\LSASS.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 2116, C:\WINDOWS\SYSTEM32\COM\SMSS.EXE]

==================================

病毒篡改的注册表内容如下：
HKEY_CLASSES_ROOT\CLSID\  添加了{D9901239-34A2-448D-A000-3705544ECE9D}
HKEY_CLASSES_ROOT\CLSID\    添加了{C50EC9C4-0F7F-407F-B084-D1147FE9DDCC}
HKEY_CLASSES_ROOT\Component Categories\    添加了{7DD95801-9882-11CF-9FA9-00AA006C42C4}
HKEY_CLASSES_ROOT\Component Categories\    添加了{7DD95802-9882-11CF-9FA9-00AA006C42C4}
HKEY_CLASSES_ROOT\    添加了IFOBJ.IfObjCtrl.1
HKEY_CLASSES_ROOT\Interface\    添加了{2D96C4BF-8DCA-4A97-A24A-896FF841AE2D}
HKEY_CLASSES_ROOT\Interface\    添加了{AAC17985-187F-4457-A841-E60BAE6359C2}
HKEY_CLASSES_ROOT\TypeLib\      添加了{814293BA-8708-42E9-A6B7-1BD3172B9DDF}


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\    删除了IMAIL
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\    删除了MAPI
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\    删除了MSFS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\      删除了{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\      删除了{4D36E967-E325-11CE-BFC1-08002BE10318}



[用户系统信息]Opera/9.22 (Windows NT 5.1; U; zh-cn)

………………