老马一只。最近出现的变种加了新壳子，躲避杀软查杀。

这个马比较BT，破坏多种文件关联。删除木马文件后，所有可执行文件无法运行（exe文件关联被破坏）。

手工杀毒操作较烦。查杀方法如下：

1、结束WINLOGON.EXE进程。
2、删除木马文件（见附图）
3、将RegFix.exe（一个注册表修复工具）的后缀改为.com，运行RegFix.com，修复主要文件关联。
4、这时，.exe文件已能正常运行。请打开注册表编辑器，自己动手修复注册表下列内容：

传奇龙木马修改的注册表键值（RegFix或SREng不能修复的部分）：


HKEY_CLASSES_ROOT\.bfc\ShellNew
"Command"="%SystemRoot%\\system32\\syncui.dll,Briefcase_Create %2!d! %1"
被改成了：
"Command"="%SystemRoot%\\system32\\rundll32.com %SystemRoot%\\system32\\syncui.dll,Briefcase_Create %2!d! %1"

HKEY_CLASSES_ROOT\.lnk\ShellNew

"Command"="appwiz.cpl,NewLinkHere %1"
被改成了：
"Command"="rundll32.com appwiz.cpl,NewLinkHere %1"

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command

@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\""
被改成了：
@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\""

HKEY_CLASSES_ROOT\cplfile\shell\cplopen\command

@="shell32.dll,Control_RunDLL \"%1\",%*"
被改成了：
@="rundll32.com shell32.dll,Control_RunDLL \"%1\",%*"

HKEY_CLASSES_ROOT\Drive\shell\find\command

@="%SystemRoot%\\explorer.exe"

被改成了：
@="%SystemRoot%\\explorer.com"


HKEY_CLASSES_ROOT\dunfile\shell\open\command

@="%SystemRoot%\\system32\\rundll32.exe NETSHELL.DLL,InvokeDunFile %1"

被改成了：
@="%SystemRoot%\\system32\\rundll32.com NETSHELL.DLL,InvokeDunFile %1"

HKEY_CLASSES_ROOT\ftp\shell\open\command

@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" %1"
被改成了：
@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\" %1"

HKEY_CLASSES_ROOT\htmlfile\shell\open\command

@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" -nohome"

被改成了：
@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\" -nohome"

HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command

@="\"C:\\Program Files\\common~1\\iexplore.exe\" %1"

被改成了：
@="\"C:\\Program Files\\common~1\\iexplore.pif\" %1"

HKEY_CLASSES_ROOT\htmlfile\shell\print\command

@="%SystemRoot%\\system32\\mshtml.dll,PrintHTML \"%1\""
被改成了：
@="rundll32.com %SystemRoot%\\system32\\mshtml.dll,PrintHTML \"%1\""

HKEY_CLASSES_ROOT\inffile\shell\Install\command

@="%SystemRoot%\\System32\\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1"
被改成了：
@="%SystemRoot%\\System32\\rundll32.com setupapi,InstallHinfSection DefaultInstall 132 %1"

HKEY_CLASSES_ROOT\InternetShortcut\shell\open\command

@="shdocvw.dll,OpenURL %l"

被改成了：

@="finder.com shdocvw.dll,OpenURL %l"


HKEY_CLASSES_ROOT\scrfile\shell\install\command
@="desk.cpl,InstallScreenSaver %l"

被改成了：
@="finder.com desk.cpl,InstallScreenSaver %l"

HKEY_CLASSES_ROOT\scriptletfile\Shell\Generate Typelib\command

@=" C:\\WINDOWS\\system32\\scrobj.dll,GenerateTypeLib \"%1\""
被改成了：
@="\"C:\\WINDOWS\\system32\\finder.com\" C:\\WINDOWS\\system32\\scrobj.dll,GenerateTypeLib \"%1\""

HKEY_CLASSES_ROOT\telnet\shell\open\command

@="url.dll,TelnetProtocolHandler %l"
被改成了：
@="finder.com url.dll,TelnetProtocolHandler %l"

HKEY_CLASSES_ROOT\Unknown\shell\openas\command

@="%SystemRoot%\\system32\\shell32.dll,OpenAs_RunDLL %1"
被改成了：
@="%SystemRoot%\\system32\\finder.com %SystemRoot%\\system32\\shell32.dll,OpenAs_RunDLL %1"

HKEY_CLASSES_ROOT\winfiles\Shell\Open\Command

@="\"%1\" %*"

被改成了：
@="C:\\WINDOWS\\ExERoute.exe \"%1\" %*"

【回复“卧龙传说”的帖子】
慢慢熟悉它吧。是个好东西。

【回复“RavMonD”的帖子】
一个国外的防火墙。设置比较复杂。不建议新手使用。

引用:

【raistlin的贴子】请问下baohe： 这个马瑞星能报吗？ 病毒名是虾米呢？ ...........................

昨天，别人求救时，据说瑞星还不能杀（我不用瑞星，不知道是不是确实如此）。
今天，瑞星是否能杀它——我不清楚。你可以升级病毒库，杀一下看看。

引用:

【影子110的贴子】一般杀软查杀时点击 杀毒 时，是不是只删除病毒文件，还是对更改过的注册表项也一并修复了~？ ...........................

杀软杀毒,注册表修复不全.

引用:

【iamsue1020的贴子】他说无法结束进程啊？怎么办？ ...........................

http://forum.ikaka.com/topic.asp?board=28&artid=7168178

汗！有人考古！
估计你没仔细看帖子。

1、这个帖子说的病毒进程WINLOGON.EXE的路径是：C:\WINDOWS\WINLOGON.EXE

2、正常系统核心进程WINLOGON.EXE的路径是：C:\WINDOWS\SYSTEM32\WINLOGON.EXE。此进程不能结束。如强行结束系统核心进程WINLOGON.EXE，系统立即崩溃、重启。

明白？