【转贴】WINLOGON,LSASS,SMSS系列木马专杀工具 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【转贴】WINLOGON,LSASS,SMSS系列木马专杀工具

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

【转贴】WINLOGON,LSASS,SMSS系列木马专杀工具

mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	发表于： 2006-08-07 22:49 \| 显示全部短消息资料字号：小中大 1楼【转贴】WINLOGON,LSASS,SMSS系列木马专杀工具感谢FF的tkabc授权以下是tk的分析及专杀有关WINLOGON,LSASS,SMSS这系列的木马 Dr.Web: Trojan.PWS.Wow KAV: Trojan-PSW.Win32.Wow/Lmir Symantec: Infostealer.Wowcraft 启动项(其中之一): TProgram ToP Torjan Program 进程(其中之一): %WinDir%\WINLOGON.exe %WinDir%\SMSS.exe %WinDir%\LSASS.exe 档案(包括不同的变种,不同的变种可能有不同): %WinDir%\1.com %WinDir%\SMSS.exe %WinDir%\SERVICES.exe %WinDir%\LSASS.exe %WinDir%\WINLOGON.exe %WinDir%\ExERoute.exe %WinDir%\EXPLORER.com %WinDir%\FINDER.com %WinDir%\EXERT.exe %WinDir%\IO.SYS.BAK %WinDir%\Debug\DebugProgram.exe %WinDir%\Shell.sys %WinDir%\Winsock32.DLL.SCF %System%\Anskya0.exe %System%\Anskya1.exe %System%\rundll32.com %System%\finder.com %System%\msconfig.com %System%\dxdiag.com %System%\regedit.com %System%\command.pif %System%\i.com %CommonProgramFiles%\intexplore.pif %CommonProgramFiles%\inexplore.pif %CommonProgramFiles%\iexplore.pif %ProgramFiles%\Internet Explorer\Intexplore.com %ProgramFiles%\Internet Explorer\Inexplore.com %ProgramFiles%\Internet Explorer\iexplore.com %SystemDrive%\bootconf.exe %SystemDrive%\command.com %SystemDrive%\command.exe %SystemDrive%\pagefile.pif D:\command.com D:\pagefile.pif PS: -%WinDir%是环境变数,一般Windows XP(Windows),2000(WINNT) -%System%是环境变数,一般Windows XP,2000为System32 -%CommonProgramFiles%是环境变数,一般Windows都是Common Files(在%ProgramFiles%内) -%ProgramFiles%是环境变数,一般Windows都是Program Files -%SystemDrive%是环境变数,哪个Drive有%WinDir%,一般都是System Drive(eg. C:\) 修改注册表: -修改档案关联 -修改Shell = Explorer.exe 1 -修改Protocol (HTTP,FTP,telnet) 还有很多很多...... 解决方法: 使用由本人写的Trojan.PWS.Wow Removal Tool (此专杀在本人网盘..http://free.ys168.com/?mopery) 已测试过的平台: Windows XP SP2 使用方法: -必须已装上Microsoft .NET Framework 2.0 or Higher http://www.microsoft.com/downloa ... d-8edd-aab15c5e04f5 -建议先用 Do a quick scan and save a logfile 生成报告给帮助人员看看 %SystemDrive%\Search_WOW.log -用 Destroy 就可以进行清除和修复档案关联,清除后会有报告生成出来 %SystemDrive%\Remove_WOW.log 十分感谢xbs,cyberarmy,我其他朋友进行测试! 虽然已经经过其他人测试,证明没有问题, 但使用后如有任何问题,本人不会负责如发现任何Exception error,可跟本人联络 v0.2 Build 0717 MD5: 29149565c72c20701352745678af6ce3 ---------------------------------------------------------------------- 做点补充.. 我测试过此专杀..WINLOGON,LSASS,SMSS全部都能轻易杀除...但是好象是能用在 Xp⒉ 上...Xp⒈ 我测试过无法使用... ---------------------------------------------------------------------- 在此感谢魔法学徒...帖子出处:http://www.kingzoo.com/BBS/viewthread.php?tid=4426&extra=page%3D1 2006-08-07 22:49:16.763000000
mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	分享到：

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT