【为了照顾某些网友阅读本帖，特意将帖子标题中的“瑞星”二字去掉。他们说：中毒后，凡是带“瑞星”“金山”字样的帖子均不能看。甚至导致IE自动关闭】汗！

这一俩天..关于SMSSLSASSWINLOGON 求助越来越多...变种也越来越多...鉴于此病毒比较BT..难以清除...处理起来十分麻烦..此帖专门提供专杀(全是高手制作的并非任何杀毒公司的专杀..)帮助大家解决问题...本人还未经过允许转帖..但是也故不上那么多..
---------------------------------------------------------------------
此帖提供落雪系列木马专杀...分析瑞星"橙色八月"清除器...再发帖麻烦...就直接合二为一...此帖部分转帖..部分原创...未经允许严禁转帖...
---------------------------------------------------------------------
在此感谢 剑盟社区(http://bbs.2dai.com/) hzqedison 斑竹..以及 动物园计算机安全咨询中心(http://www.kingzoo.com/BBS/) 空指针 斑竹...
---------------------------------------------------------------------
⒈关于C:\WINDOWS\winlogon.exe 专杀...专杀见⒎楼....
详细的分析可参考:
http://forum.ikaka.com/topic.asp?board=28&artid=7495863(baohe)
http://forum.ikaka.com/topic.asp?board=28&artid=7678628(baohe)
【转帖】
针对WINLOGON系列木马的批处理（D盘根目录下出现pagefile.pif或command.com）

这个系列的木马闹了好长时间了，可似乎还没有折腾够，变种很多，从开始的红底黑色龙头图案（据说是网游传世的图标）到后来的征途图标。显著的外在特征为：在D盘根目录下生成pagefile.pif文件或者command.com文件，删除了一会后再回来，启动项删除后会自动恢复。某典型变种的分析可看。由于修改了不少文件关联，在处理上有一定的难度，远程了几个，感觉很头疼，于是有了写个批处理的念头。设想起来简单，可实现起来远不是那么容易了。由于REG_EXPAND_SZ的数据类型要换算成2进制，增加了不少的工作量和一定的难度。因此，现在这个版本仅支持安装在C盘或D盘下的XP操作系统，谢谢风乱舞的帮忙以及他提供的系统优化程序，还有海色の月和艾玛。好了，不多说了，下面说下处理办法：

首先运行Procexp，结束WINLOGON进程（kill process），注意下图标，与系统进程不一样。图..(本人小修改..kill process也由本人换成汉化版本)

将进程结束后，运行WINLOGON.bat（需要事先下载下来，建议直接放在桌面上，以免打开我的电脑时再次激活病毒），按照提示操作即可。依次进行的是去掉文件s  r  h属性，删除文件，修复注册表信息。在后面提供了风乱舞的系统优化功能，可以根据个人喜好选择是否优化。

WINLOGON.bat 和Procexp在附件里提供了。(⒎楼..)

需要做以下几点说明：
1、该批处理只适用于安装在C盘或D盘下XP操作系统。
2、这不是杀毒软件，只是我个人针对该病毒及其系列变种采取应对措施，不能保证完无一失。因此，请做好系统备份，对此产生的后果我不负任何责任。（不过出事的几率好象不大^_^）
3、批处理同样适用用于杀软清除病毒后的注册表修复。
4、如果发现经过以上操作后某些变种还无法清除，请把病毒文件加密压缩后发到我邮箱（kongzhizhen@gmail.com），我会及时处理。

转自动物家园(http://www.kingzoo.com/BBS/)

C:\WINDOWS\winlogon.exe 专杀图片...
图..

这时候记住按⒈ 后...(系统盘在C盘..)回车...
或者按⒉后...(系统盘在D盘..)回车...
图...

图...

图...

⒉关于C:\WINDOWS\LSASS.EXE 专杀..
详细分析可参考:http://forum.ikaka.com/topic.asp?board=28&artid=8046765(baohe)

专杀由 hzqedison 斑竹提供...专杀见⒎楼...
 
专杀出处:http://www.2dai.com/forum/viewthread.php?tid=323058&extra=page%3D6

对专杀操作进行说明:确认自己中了 C:\WINDOWS\LSASS.EXE 后..运行此专杀...点立即扫描...会列出结果...然后点清除病毒...重启...即可...

图...

⒊关于C:\WINDOWS\SMSS.EXE 专杀....
详细分析可参考:http://forum.ikaka.com/topic.asp?board=28&artid=8046765(baohe)
SMSS.EXE 本人还没有找到专杀...但是其修改的注册表项与winlogon.exe 几乎相同...LSASS专杀也可修复被破坏的注册表项..所以可下载winlogon.exe或者LSASS.EXE 专杀修复注册表项...(修复前必须先结束掉 C:\WINDOWS\SMSS.EXE 进程..)修复完后立即修复杀软...(瑞星杀毒软件:开始-所有程序-瑞星杀毒软件-添加删除组件-修复)...修复杀软后...对 C D 俩个盘进行彻底查杀..杀除病毒文件即可...

也可用瑞星"橙色八月"清除器..在安全模式下清除...

注:如果某位网友有此病毒专杀程序...可联系本人..本人再修改..

⒋ 关于.exe文件无法打开...
http://forum.ikaka.com/topic.asp?board=28&artid=6979213四楼下载System Repair Engineer 下载完后..解压..把SREng.exe 重命名(改成) SREng.com 运行-系统修复-修复文件关联
如果不会修改..可到我的网盘内下载sreng2.rar那是修改好的...

⒈C:\WINDOWS\winlogon.exe(落雪木马)
专杀下载:http://free.ys168.com/?mopery(网盘内的专杀工具)
补充:用这专杀有个别可能会出现无法登入系统..(30楼说明.)无法进入系统几率非常小..除非你走运...

⒉C:\WINDOWS\LSASS.EXE(针对瑞星的木马)
专杀下载:http://free.ys168.com/?mopery(网盘内的专杀工具)

⒊C:\WINDOWS\SMSS.EXE(暂未发现)
如上面所讲述...用 LSASS.EXE 或者winlogon.exe 专杀..进行修复注册表...

-----------------------------------------------------------------
对专杀说明:C:\WINDOWS\winlogon.exe专杀..只能用在 Xp 操作系统..用在其他系统上出现问题...与任何人无关...
C:\WINDOWS\LSASS.EXE专杀..暂时只在 Xp 操作系统上测试过...采用VB编写...除 Xp 以外的系统暂时没测试..如果出现问题..也与任何人无关...

专杀处理完后..需要对杀软进行修复...
-----------------------------------------------------------------
再提供一个系列专杀..本人已经转帖到此..
参考:http://forum.ikaka.com/topic.asp?board=28&artid=8137885xp2 可完全使用此专杀...其他操作系统没测试过...

今天增加俩个系列专杀...可以在2000系统试试...
具体参考:http://forum.ikaka.com/topic.asp?board=28&artid=8141143

-----------------------------------------------------------------
注:因卡卡社区无法上传附件...专杀连接出自本人网盘()...如果发现无法下载..或者下载错误..或者出现其他问题...请与本人联系...进行修改...(由于一些因素大家访问我的网盘进里面下载...)
-----------------------------------------------------------------
再做个说明:这俩个专杀是较早前编写..对新变种可能清不干净...清完后请大家自己用杀软仔细检查...

下面是关于瑞星刚刚发布的"橙色八月"分析...
剧了解此清除器可提取:
trojan.psw.qqpass.pph
trojan.psw.lmir.atb
trojan.psw.lmir.att(蓝屏)
trojan.psw.lmir.atq
trojan.psw.misc.kbo
trojan.psw.misc.ixv
trojan.psw.misc

本人对此专杀进行了测试...
⒈ C:\WINDOWS\winlogon.exe

⒉ C:\WINDOWS\SMSS.EXE