【推荐】关于落雪系列木马专杀..以及“橙色八月”专杀
【为了照顾某些网友阅读本帖,特意将帖子标题中的“瑞星”二字去掉。他们说:中毒后,凡是带“瑞星”“金山”字样的帖子均不能看。甚至导致IE自动关闭】汗!这一俩天..关于SMSSLSASSWINLOGON 求助越来越多...变种也越来越多...鉴于此病毒比较BT..难以清除...处理起来十分麻烦..此帖专门提供专杀(全是高手制作的并非任何杀毒公司的专杀..)帮助大家解决问题...本人还未经过允许转帖..但是也故不上那么多..
---------------------------------------------------------------------
此帖提供落雪系列木马专杀...分析瑞星"橙色八月"清除器...再发帖麻烦...就直接合二为一...此帖部分转帖..部分原创...未经允许严禁转帖...
---------------------------------------------------------------------
在此感谢 剑盟社区(
http://bbs.2dai.com/) hzqedison 斑竹..以及 动物园计算机安全咨询中心(
http://www.kingzoo.com/BBS/) 空指针 斑竹...
---------------------------------------------------------------------
⒈关于C:\WINDOWS\winlogon.exe 专杀...专杀见⒎楼....
详细的分析可参考:
http://forum.ikaka.com/topic.asp?board=28&artid=7495863(baohe)
http://forum.ikaka.com/topic.asp?board=28&artid=7678628(baohe)
【转帖】针对WINLOGON系列木马的批处理(D盘根目录下出现pagefile.pif或command.com)
这个系列的木马闹了好长时间了,可似乎还没有折腾够,变种很多,从开始的红底黑色龙头图案(据说是网游传世的图标)到后来的征途图标。显著的外在特征为:在D盘根目录下生成pagefile.pif文件或者command.com文件,删除了一会后再回来,启动项删除后会自动恢复。某典型变种的分析可看。由于修改了不少文件关联,在处理上有一定的难度,远程了几个,感觉很头疼,于是有了写个批处理的念头。设想起来简单,可实现起来远不是那么容易了。由于REG_EXPAND_SZ的数据类型要换算成2进制,增加了不少的工作量和一定的难度。因此,现在这个版本仅支持安装在C盘或D盘下的XP操作系统,谢谢风乱舞的帮忙以及他提供的系统优化程序,还有海色の月和艾玛。好了,不多说了,下面说下处理办法:
首先运行Procexp,结束WINLOGON进程(kill process),注意下图标,与系统进程不一样。图..(本人小修改..kill process也由本人换成汉化版本)
将进程结束后,运行WINLOGON.bat(需要事先下载下来,建议直接放在桌面上,以免打开我的电脑时再次激活病毒),按照提示操作即可。依次进行的是去掉文件s r h属性,删除文件,修复注册表信息。在后面提供了风乱舞的系统优化功能,可以根据个人喜好选择是否优化。
WINLOGON.bat 和Procexp在附件里提供了。(⒎楼..)
需要做以下几点说明:
1、该批处理只适用于安装在C盘或D盘下XP操作系统。
2、这不是杀毒软件,只是我个人针对该病毒及其系列变种采取应对措施,不能保证完无一失。因此,请做好系统备份,对此产生的后果我不负任何责任。(不过出事的几率好象不大^_^)
3、批处理同样适用用于杀软清除病毒后的注册表修复。
4、如果发现经过以上操作后某些变种还无法清除,请把病毒文件加密压缩后发到我邮箱(kongzhizhen@gmail.com),我会及时处理。
转自动物家园(
http://www.kingzoo.com/BBS/)