瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【讨论】关于瑞星"橙色八月专用提取清除工具"到底能否删除相应病毒..

12   1  /  2  页   跳转

【讨论】关于瑞星"橙色八月专用提取清除工具"到底能否删除相应病毒..

收藏
mopery
头像
卡卡技术团队
  • 帖子:17737
  • 注册: 2005-12-06
  • 来自:New York
卡卡名人堂论坛9周年纪念
发表于: 2006-08-10 06:44 | 只看楼主 短消息 资料
字号: 1楼

【讨论】关于瑞星"橙色八月专用提取清除工具"到底能否删除相应病毒..

今天有几个朋友就问我..瑞星的"橙色八月专用提取清除工具"到底能否把落雪系列木马杀除..
http://forum.ikaka.com/topic.asp?board=28&artid=8137314里我也介绍了"橙色八月专用提取清除工具"..今天再次对此清除器做测试...
"橙色八月专用提取清除工具"
更新
⒏月⒎号 更新:将.exe改为.com
⒏月⒏号 更新:这次更新说实话我也不知道更新了什么..但是听说是对部分被病毒修改的注册表进行了修复..
昨天无邪就问我..到底这清除器可行么?能杀干净么?其实它⒏月⒏日更新后我就立刻进行了测试..但是没有具体看注册表只看了几处..都清不干净..
今天把结果具体说一下...
⒈C:\WINDOWS\winlogon.exe
http://forum.ikaka.com/topic.asp?board=28&artid=7678628(baohe斑竹的分析)
以下是中毒后被改的注册表:
HKEY_CLASSES_ROOT\.bfc\ShellNew
"Command"="%SystemRoot%\\system32\\rundll32.com %SystemRoot%\\system32\\syncui.dll,Briefcase_Create %2!d! %1"

HKEY_CLASSES_ROOT\.lnk\ShellNew
"Command"="rundll32.com appwiz.cpl,NewLinkHere %1"

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\""

HKEY_CLASSES_ROOT\cplfile\shell\cplopen\command
@="rundll32.com shell32.dll,Control_RunDLL \"%1\",%*"

HKEY_CLASSES_ROOT\Drive\shell\find\command
@="%SystemRoot%\\explorer.com"

HKEY_CLASSES_ROOT\dunfile\shell\open\command
@="%SystemRoot%\\system32\\rundll32.com NETSHELL.DLL,InvokeDunFile %1"

HKEY_CLASSES_ROOT\ftp\shell\open\command
@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\" %1"

HKEY_CLASSES_ROOT\htmlfile\shell\open\command
@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\" -nohome"

HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command
@="\"C:\\Program Files\\common~1\\iexplore.pif\" %1"

HKEY_CLASSES_ROOT\htmlfile\shell\print\command
@="rundll32.com %SystemRoot%\\system32\\mshtml.dll,PrintHTML \"%1\""

HKEY_CLASSES_ROOT\inffile\shell\Install\command
@="%SystemRoot%\\System32\\rundll32.com setupapi,InstallHinfSection DefaultInstall 132 %1"

HKEY_CLASSES_ROOT\InternetShortcut\shell\open\command
@="finder.com shdocvw.dll,OpenURL %l"

HKEY_CLASSES_ROOT\scrfile\shell\install\command
@="finder.com desk.cpl,InstallScreenSaver %l"

HKEY_CLASSES_ROOT\scriptletfile\Shell\Generate Typelib\command
@="\"C:\\WINDOWS\\system32\\finder.com\" C:\\WINDOWS\\system32\\scrobj.dll,GenerateTypeLib \"%1\""

HKEY_CLASSES_ROOT\telnet\shell\open\command
@="finder.com url.dll,TelnetProtocolHandler %l"

HKEY_CLASSES_ROOT\Unknown\shell\openas\command
@="%SystemRoot%\\system32\\finder.com %SystemRoot%\\system32\\shell32.dll,OpenAs_RunDLL %1"

HKEY_CLASSES_ROOT\winfiles\Shell\Open\Command
@="C:\\WINDOWS\\ExERoute.exe \"%1\" %*"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Torjan Program"="C:\\WINDOWS\\WINLOGON.EXE"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Shell"="Explorer.exe 1"

经过"橙色八月专用提取清除工具"处理..图..

附件附件:

下载次数:741
文件类型:image/pjpeg
文件大小:
上传时间:2006-8-10 6:44:04
描述:



最后编辑2006-08-11 08:29:37.653000000
分享到:
gototop
 
mopery
头像
卡卡技术团队
  • 帖子:17737
  • 注册: 2005-12-06
  • 来自:New York
卡卡名人堂论坛9周年纪念
发表于: 2006-08-10 06:44 | 只看楼主 短消息 资料
字号: 2楼

经过"橙色八月专用提取清除工具"处理后的注册表项:

HKEY_CLASSES_ROOT\.bfc\ShellNew
"Command"="%SystemRoot%\\system32\\rundll32.com %SystemRoot%\\system32

\\syncui.dll,Briefcase_Create %2!d! %1"

HKEY_CLASSES_ROOT\.lnk\ShellNew
"Command"="rundll32.com appwiz.cpl,NewLinkHere %1"

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command(改)
@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\""
专杀处理后 "C:\Program Files\Internet Explorer\iexplore.exe"
瑞星专杀处理后 %PROGRAMFILES%\Internet Explorer\iexplore.exe -nohome

HKEY_CLASSES_ROOT\cplfile\shell\cplopen\command
@="rundll32.com shell32.dll,Control_RunDLL \"%1\",%*"

HKEY_CLASSES_ROOT\Drive\shell\find\command
@="%SystemRoot%\\explorer.com"


HKEY_CLASSES_ROOT\dunfile\shell\open\command
@="%SystemRoot%\\system32\\rundll32.com NETSHELL.DLL,InvokeDunFile %1"

HKEY_CLASSES_ROOT\ftp\shell\open\command (改)
专杀处理后 "C:\Program Files\Internet Explorer\iexplore.exe" %1
瑞星专杀处理后 "C:\Program Files\Internet Explorer\iexplore.exe" -nohome

HKEY_CLASSES_ROOT\htmlfile\shell\open\command  (改)
@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" -nohome"
专杀处理后 "C:\Program Files\Internet Explorer\iexplore.exe" %1
瑞星专杀处理后 "C:\Program Files\Internet Explorer\iexplore.exe" -nohome

HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command(没项)

HKEY_CLASSES_ROOT\htmlfile\shell\print\command (改)
%SystemRoot%\Explorer.exe

HKEY_CLASSES_ROOT\inffile\shell\Install\command
@="%SystemRoot%\\System32\\rundll32.com setupapi,InstallHinfSection DefaultInstall 132 %1"

HKEY_CLASSES_ROOT\InternetShortcut\shell\open\command
@="finder.com shdocvw.dll,OpenURL %l"


HKEY_CLASSES_ROOT\scrfile\shell\install\command
@="finder.com desk.cpl,InstallScreenSaver %l"

HKEY_CLASSES_ROOT\scriptletfile\Shell\Generate Typelib\command
@="\"C:\\WINDOWS\\system32\\finder.com\" C:\\WINDOWS\\system32\\scrobj.dll,GenerateTypeLib \"%1\""

HKEY_CLASSES_ROOT\telnet\shell\open\command
@="finder.com url.dll,TelnetProtocolHandler %l"

HKEY_CLASSES_ROOT\Unknown\shell\openas\command
@="%SystemRoot%\\system32\\finder.com %SystemRoot%\\system32\\shell32.dll,OpenAs_RunDLL %1"

HKEY_CLASSES_ROOT\winfiles\Shell\Open\Command
@="C:\\WINDOWS\\ExERoute.exe \"%1\" %*"

19、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run(无)

20、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon(正常)
gototop
 
mopery
头像
卡卡技术团队
  • 帖子:17737
  • 注册: 2005-12-06
  • 来自:New York
卡卡名人堂论坛9周年纪念
发表于: 2006-08-10 06:45 | 只看楼主 短消息 资料
字号: 3楼

⒉C:\WINDOWS\LSASS.EXE
http://forum.ikaka.com/topic.asp?board=28&artid=7828861(baohe斑竹的分析)
以下是中毒后被改的注册表:
HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command
@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" %1"

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" %1"

HKEY_CLASSES_ROOT\ftp\shell\open\command
@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" %1"

HKEY_CLASSES_ROOT\htmlfile\shell\open\command
@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" -nohome"

HKEY_CLASSES_ROOT\.exe
删除WindowFiles

HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Microsoft Soft Debuger\Settings
删除"GUID"="{BI5AP8-6K55T9-8LJY6K-64M1EC-LTW624}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除Top

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
删除wextract_cleanup0

经过"橙色八月专用提取清除工具"处理..图..

附件附件:

下载次数:599
文件类型:image/pjpeg
文件大小:
上传时间:2006-8-10 6:45:34
描述:
gototop
 
mopery
头像
卡卡技术团队
  • 帖子:17737
  • 注册: 2005-12-06
  • 来自:New York
卡卡名人堂论坛9周年纪念
发表于: 2006-08-10 06:45 | 只看楼主 短消息 资料
字号: 4楼

经过"橙色八月专用提取清除工具"处理后的注册表项(是专杀检测的数据)

Trojan.PSW.Misc专杀 2006-8-10 3:42:30
★★开始扫描★★

  扫描病毒进程...
  扫描病毒进程完成!发现 [0] 个可疑进程!

  扫描病毒文件...
    发现:C:\WINDOWS\Winsock32.DLL.SCF
  扫描病毒文件完成!发现 [1] 个文件!

  扫描注册表项...
    发现:HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif\shell\open\command
      此项目应被删除!

    发现:HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif\shell\open
      此项目应被删除!

    发现:HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif\shell
      此项目应被删除!

    发现:HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif
      此项目应被删除!

    发现:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command=(空值)
      此项目值应为:"C:\Program Files\Internet Explorer\iexplore.exe" %1

    发现:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command=(空值)
      此项目值应为:"C:\Program Files\Internet Explorer\iexplore.exe"

    发现:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command="C:\Program Files\Internet Explorer\iexplore.exe" -nohome
      此项目值应为:"C:\Program Files\Internet Explorer\iexplore.exe" %1

    发现:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew\command=(空值)
      此项目值应为:"C:\Program Files\Internet Explorer\iexplore.exe" %1

    发现:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP\shell\open\command="C:\Program Files\common~1\INTEXPLORE.pif" -nohome
      此项目值应为:"C:\Program Files\Internet Explorer\iexplore.exe" -nohome

    发现:HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet=INTEXPLORE.pif
      此项目值应为:IEXPLORE.EXE

  扫描注册表完成!发现 [10] 处被修改!
  ★注册表说明:本次扫描是按照IE默认设置进行的,如果您使用其他浏览器作为默认浏览器,也会被视为恶意修改!

★★系统扫描完成!★★
gototop
 
mopery
头像
卡卡技术团队
  • 帖子:17737
  • 注册: 2005-12-06
  • 来自:New York
卡卡名人堂论坛9周年纪念
发表于: 2006-08-10 06:46 | 只看楼主 短消息 资料
字号: 5楼

C:\WINDOWS\SMSS.EXE 与 C:\WINDOWS\winlogon.exe 修改的注册表差不多所以也不用多测试了...

C:\WINDOWS\LSASS.EXE 我是在Xp1 中测试..
C:\WINDOWS\winlogon.exe 在Xp2 中测试..

在测试C:\WINDOWS\winlogon.exe 中..我发现..
Trojan.PSW.Misc.kbs 用清除器一点反映都没..
Trojan.PSW.LMir.jsv 清除器才有反映..

此清除器更新俩次...
现在的能否杀得干净..大家自然可以看出...
-----------------------------------------------------------
额外说句...我的泡面泡烂了...下次不这么认真了...
再额外一句...福建这"宝地"..不愧是台风地..又来了..晕死..
gototop
 
我无邪
头像
高贵耄耋狮
  • 帖子:20720
  • 注册: 2004-06-10
  • 来自:广西玉林
发表于: 2006-08-10 22:17 | 短消息 资料
字号: 6楼

怎么没有人跟帖,我先顶一下。
gototop
 
SHANA
头像
初生襁褓狮
  • 帖子:1103
  • 注册: 2006-08-05
  • 来自:
发表于: 2006-08-10 22:26 | 短消息 资料
字号: 7楼

应该可以吧?
gototop
 
yanmings
头像
锋芒艾服狮
  • 帖子:1698
  • 注册: 2005-01-10
  • 来自:
发表于: 2006-08-10 22:41 | 短消息 资料
字号: 8楼

引用:
【mopery的贴子】
额外说句...我的泡面泡烂了...下次不这么认真了...
再额外一句...福建这"宝地"..不愧是台风地..又来了..晕死..
………………

不认真,还想我顶你在站务的贴子吗?
gototop
 
★蓝色羽毛★
头像
版主
  • 帖子:4322
  • 注册: 2004-02-22
  • 来自:
论坛8周年活动礼物幸运草论坛9周年纪念09欢乐圣诞10温馨圣诞
发表于: 2006-08-10 22:53 | 短消息 资料
字号: 9楼

建议置顶
gototop
 
saizyor
头像
拙长孩提狮
  • 帖子:94
  • 注册: 2006-07-23
  • 来自:
发表于: 2006-08-11 03:58 | 短消息 资料
字号: 10楼

我是7月25号 中的落雪 传奇终结者的病毒
当时没搞清楚怎么杀 最后根据网上高手的帖子手动把木马删除了
但是没过一天 这个木马就变种成了 Trojan.PSW.LMir.atb
瑞星一直在不挺的杀 就是杀不完 最后才知道此病毒已经变种
而且修改了N项注册表 只要一开网就能发现病毒 最后没办法 只能
重新装系统 重装完了以后才可以正常使用 昨天我有个朋友说也中了 说最后用最新版本的 “木马杀客 ”5.3 1 绿色版能把这个彻底杀掉 大家去试一下吧 !我朋友说杀了以后 就没问题了!
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT