最近在xpsp1的测试中：刚开始几天可以没什么异常现象，但是今天突然出现开机瑞星监控不自启动。。。要手动 ，版本19。07好几次都这样 ，而且wingdows反映极慢 几乎是死机的样子。。打开什么菜单都是黑。。。。乌鸦好不容易传上这个。。。 

这说明什么：1、是不是07还欠稳定。。。在以前05/06的版本我没发现有这样的
            2、系统兼容性不好
            3、应该不是病毒的问题因为。。。。没有

  建议瑞星软件2007版集：杀毒软件2007、人防火墙2007、反垃圾邮件2007、漏洞扫描2007、反间谍及木马软件2007（原卡卡上网安全助手）于一体以“瑞星总控制调度中心”的主程序，既方便于用户进行操作，而且也会受到更多人的喜欢，瑞星一定会跑在其他杀软的前列。
X`¬†­¬ÚG±6bbs.ikaka.com]“¤ Ô@šé¥

我早就说了没反应啊....
支持下┬┴┬／￣＼＿／￣＼
──┬┴┬┴▏　　▏▔▔▔▔＼
──┴┬┴／＼　／　　　　　　﹨ 我来了,踩7哈
───┬┴∕　　　　　　　／　　　）
──┴┬▏　　　　　　　　●　　▏
──┬┴▏　　　　　　　　　　　▔█
──┴◢██◣　　　　　　／＼＿＿／
──┬█████◣　　　　　　　／☆☆☆☆☆☆☆☆☆mё（ωó）X`¬†­¬ÚG±6bbs.ikaka.com]“¤ Ô@šé¥

支持下┬┴┬／￣＼＿／￣＼
──┬┴┬┴▏　　▏▔▔▔▔＼
──┴┬┴／＼　／　　　　　　﹨
──┬┴∕　　　　　　　／　　　）
──┴┬▏　　　　　　　　●　　▏
──┬┴▏　　　　　　　　　　　▔█
──┴◢██◣　　　　　　／＼＿＿／
──┬█████◣　　　　　　　／☆☆☆☆☆☆☆☆☆mё（ωó）

X`¬†­¬ÚG±6bbs.ikaka.com]“¤ Ô@šé¥

【CISRT2006036】Messenger.exe RTraveler.dll Maxthonz.dll 7b.com.cn 解决方案

档案编号：CISRT2006036
病毒名称：not-a-virus:AdWare.Win32.Delf.k（Kaspersky）
病毒别名：
病毒大小：92,160 字节
加壳方式：UPX
样本MD5：8cc23791a96c204bb0e6591066e7c249
样本SHA1：35fc21cd56663ec5185301ac9e5437be105a7934
发现时间：2006.09.04
更新时间：2006.09.04
关联病毒：
传播方式：通过恶意网站传播，通过其它病毒/木马下载


技术分析
==========

相关文件：
C:\Program Files\Tencent\QQ\Messenger.exe
C:\Program Files\Tencent\QQ\RTraveler.dll
%System%\Maxthonz.dll

是之前Realplayer.exe的变种，通过恶意网站传播，运行后复制自身到C:\Program Files\Tencent\QQ\Messenger.exe，在相同目录下释放RTraveler.dll，尝试插入Explorer.exe进程。

另释放Maxthonz.dll到系统目录，使用regsvr32命令：


CODE:[Copy to clipboard]regsvr32.exe %System%\Maxthonz.dll /s
注册Maxthonz.dll，创建PROTOCOLS\Filter，当用户打开IE时会自动打开恶意网站http://7b.com.cn/：


CODE:[Copy to clipboard][HKEY_CLASSES_ROOT\CLSID\{0EB00690-8FA1-11D3-96C7-829E3EA50C29}\InprocServer32]
@="%System%\Maxthonz.dll"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html]
@="Microsoft/IE MimeFilter 1.0"
"CLSID"="{0EB00690-8FA1-11D3-96C7-829E3EA50C29}"
Messenger.exe还会复制自身到系统目录和临时目录：
%Windows%\v20060903.rar
%temp%\v20060903.rar

在%Windows%目录生成bat批处理删除自身原文件：


CODE:[Copy to clipboard]:try
del "原文件"
if exist "原文件" goto try
del %0
创建启动项：


CODE:[Copy to clipboard][HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Messenger.exe"="C:\Program Files\Tencent\QQ\Messenger.exe"
"Realplayer.exe"="C:\Program Files\Tencent\QQ\Messenger.exe"
"Messager.exe"="C:\Program Files\Tencent\QQ\Messenger.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Messenger.exe"="C:\Program Files\Tencent\QQ\Messenger.exe"
"Realplayer.exe"="C:\Program Files\Tencent\QQ\Messenger.exe"
"Messager.exe"="C:\Program Files\Tencent\QQ\Messenger.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT\Windows\CurrentVersion\Winlogon]
"Shell"="Explorer.exe C:\Program Files\Tencent\QQ\Messenger.exe"
更改IE主页：


CODE:[Copy to clipboard][HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://7b.com.cn/"
修改“显示所有文件和文件夹”选项，使用户无法顺利查看隐藏文件：


CODE:[Copy to clipboard][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000
以上注册表信息会被不停地恢复。

此外，它还会关闭一些进程和窗口：
uihost.exe
360safe.exe
360shell.exe
AVP窗口


清除步骤
X`¬†­¬ÚG±6bbs.ikaka.com]“¤ Ô@šé¥

┬┴┬／￣＼＿
┴┬┴▏　　▏▔▔＼
┬┴／＼　／　　　  ﹨
┴∕　　　　　／　  ）
┬▏＼　　　　　 ●  ▏
┴▏　　　　　　　　　 ▔█
◢██◣　　　　／＼＿＿／
┬█████◣　 ＼
X`¬†­¬ÚG±6bbs.ikaka.com]“¤ Ô@šé¥

顶 呐 哟X`¬†­¬ÚG±6bbs.ikaka.com]“¤ Ô@šé¥

我在想如果把查杀木马从瑞星主程序分离出来可能会效果好些...便于操作哦.....X`¬†­¬ÚG±6bbs.ikaka.com]“¤ Ô@šé¥

卡卡v3.0瑞星“碎甲”技术通过对Windows驱动程序加载点进行拦截，当发现Rootkits时自动使其保护功能失效，就象穿甲弹击碎盔甲一样。目前，此技术可以有效对付600余种Rootkits，并且当有新的Rootkits出现时能够迅速地进行处理。说明瑞星已经采取了流氓\木马的查杀可喜


X`¬†­¬ÚG±6bbs.ikaka.com]“¤ Ô@šé¥