瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 传奇“龙”木马的查杀
baohe - 2006-1-13 23:13:00
老马一只。最近出现的变种加了新壳子,躲避杀软查杀。

这个马比较BT,破坏多种文件关联。删除木马文件后,所有可执行文件无法运行(exe文件关联被破坏)。

手工杀毒操作较烦。查杀方法如下:

1、结束WINLOGON.EXE进程。
2、删除木马文件(见附图)
3、将RegFix.exe(一个注册表修复工具)的后缀改为.com,运行RegFix.com,修复主要文件关联。
4、这时,.exe文件已能正常运行。请打开注册表编辑器,自己动手修复注册表下列内容:

传奇龙木马修改的注册表键值(RegFix或SREng不能修复的部分)


HKEY_CLASSES_ROOT\.bfc\ShellNew
"Command"="%SystemRoot%\\system32\\syncui.dll,Briefcase_Create %2!d! %1"
被改成了:
"Command"="%SystemRoot%\\system32\\rundll32.com %SystemRoot%\\system32\\syncui.dll,Briefcase_Create %2!d! %1"

HKEY_CLASSES_ROOT\.lnk\ShellNew

"Command"="appwiz.cpl,NewLinkHere %1"
被改成了:
"Command"="rundll32.com appwiz.cpl,NewLinkHere %1"

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command

@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\""
被改成了:
@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\""

HKEY_CLASSES_ROOT\cplfile\shell\cplopen\command

@="shell32.dll,Control_RunDLL \"%1\",%*"
被改成了:
@="rundll32.com shell32.dll,Control_RunDLL \"%1\",%*"

HKEY_CLASSES_ROOT\Drive\shell\find\command

@="%SystemRoot%\\explorer.exe"

被改成了:
@="%SystemRoot%\\explorer.com"


HKEY_CLASSES_ROOT\dunfile\shell\open\command

@="%SystemRoot%\\system32\\rundll32.exe NETSHELL.DLL,InvokeDunFile %1"

被改成了:
@="%SystemRoot%\\system32\\rundll32.com NETSHELL.DLL,InvokeDunFile %1"

HKEY_CLASSES_ROOT\ftp\shell\open\command

@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" %1"
被改成了:
@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\" %1"

HKEY_CLASSES_ROOT\htmlfile\shell\open\command

@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" -nohome"

被改成了:
@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\" -nohome"

HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command

@="\"C:\\Program Files\\common~1\\iexplore.exe\" %1"

被改成了:
@="\"C:\\Program Files\\common~1\\iexplore.pif\" %1"

HKEY_CLASSES_ROOT\htmlfile\shell\print\command

@="%SystemRoot%\\system32\\mshtml.dll,PrintHTML \"%1\""
被改成了:
@="rundll32.com %SystemRoot%\\system32\\mshtml.dll,PrintHTML \"%1\""

HKEY_CLASSES_ROOT\inffile\shell\Install\command

@="%SystemRoot%\\System32\\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1"
被改成了:
@="%SystemRoot%\\System32\\rundll32.com setupapi,InstallHinfSection DefaultInstall 132 %1"

HKEY_CLASSES_ROOT\InternetShortcut\shell\open\command

@="shdocvw.dll,OpenURL %l"

被改成了:

@="finder.com shdocvw.dll,OpenURL %l"


HKEY_CLASSES_ROOT\scrfile\shell\install\command
@="desk.cpl,InstallScreenSaver %l"

被改成了:
@="finder.com desk.cpl,InstallScreenSaver %l"

HKEY_CLASSES_ROOT\scriptletfile\Shell\Generate Typelib\command

@=" C:\\WINDOWS\\system32\\scrobj.dll,GenerateTypeLib \"%1\""
被改成了:
@="\"C:\\WINDOWS\\system32\\finder.com\" C:\\WINDOWS\\system32\\scrobj.dll,GenerateTypeLib \"%1\""

HKEY_CLASSES_ROOT\telnet\shell\open\command

@="url.dll,TelnetProtocolHandler %l"
被改成了:
@="finder.com url.dll,TelnetProtocolHandler %l"

HKEY_CLASSES_ROOT\Unknown\shell\openas\command

@="%SystemRoot%\\system32\\shell32.dll,OpenAs_RunDLL %1"
被改成了:
@="%SystemRoot%\\system32\\finder.com %SystemRoot%\\system32\\shell32.dll,OpenAs_RunDLL %1"

HKEY_CLASSES_ROOT\winfiles\Shell\Open\Command

@="\"%1\" %*"

被改成了:
@="C:\\WINDOWS\\ExERoute.exe \"%1\" %*"



附件: 1558472006113231305.jpg
卧龙传说 - 2006-1-13 23:15:00
现在病毒愈来厉害了,我还在学习TPF
baohe - 2006-1-13 23:21:00
【回复“卧龙传说”的帖子】
慢慢熟悉它吧。是个好东西。
thomas2004 - 2006-1-13 23:46:00
可能我的机子本来问题重重

没发现有那么多键值被改动

反黑精英分离出来的注册表保护器只提示到有3处被改动

而且exefiles 关联我查看过,真的没改动

就算再改一次,也是运行不了.

而且以前右键点击程序文件,弹出的菜单有打开,ollydbg等

但是中毒后,删除所有病毒后,右键点击,只剩下一个 打开方式
RavMonD - 2006-1-14 14:10:00
请教一下版主TPF是什么啊?
baohe - 2006-1-14 14:12:00
【回复“RavMonD”的帖子】
一个国外的防火墙。设置比较复杂。不建议新手使用。
raistlin - 2006-1-14 14:31:00
请问下baohe:
这个马瑞星能报吗?
病毒名是虾米呢?
baohe - 2006-1-14 14:35:00
引用:
【raistlin的贴子】请问下baohe:
这个马瑞星能报吗?
病毒名是虾米呢?
...........................

昨天,别人求救时,据说瑞星还不能杀(我不用瑞星,不知道是不是确实如此)。
今天,瑞星是否能杀它——我不清楚。你可以升级病毒库,杀一下看看。
影子110 - 2006-1-14 15:46:00
一般杀软查杀时点击 杀毒 时,是不是只删除病毒文件,还是对更改过的注册表项也一并修复了~?
baohe - 2006-1-14 16:06:00
引用:
【影子110的贴子】一般杀软查杀时点击 杀毒 时,是不是只删除病毒文件,还是对更改过的注册表项也一并修复了~?
...........................

杀软杀毒,注册表修复不全.

我是呵呵后 - 2006-1-14 18:50:00
现在病毒越来越厉害

我下了个36K大小的东西,双点它它就不见了不知道是不是病毒,
现在经常看看防火强经常报告有程序要访问特定的IP地址
嚣张是我本姓 - 2006-1-14 19:00:00
收藏,慢慢学习
mmtt - 2006-1-14 20:29:00
恩,,,,学习一下!~~~~~好帖,,,顶~~~~~~~~~~
神风之梦 - 2006-1-14 20:38:00
现在病毒这么多,究竟还上不上网好呢?
心言 - 2006-1-14 20:45:00
比较BT
天天泡泡 - 2006-1-14 22:04:00
还是那个BT的东东
闪电风暴 - 2006-1-15 9:30:00
学习
一簔烟雨 - 2006-1-15 11:00:00
学习一下,谢谢!
liuyun7500 - 2006-1-19 22:28:00
好铁,顶
ヘ网络农民ヘ - 2006-1-19 22:35:00
值得学习学习。..
友好人士 - 2006-3-22 21:52:00
问个小问题:用瑞星注册表修复工具代替RegFix.exe可否?
iamsue1020 - 2006-5-8 18:21:00
他说无法结束进程啊?怎么办?
baohe - 2006-5-8 19:41:00
引用:
【iamsue1020的贴子】他说无法结束进程啊?怎么办?
...........................

http://forum.ikaka.com/topic.asp?board=28&artid=7168178
可怜的病毒受害者 - 2006-7-7 21:45:00
请问RegFix.exe在哪里?
反黑小明 - 2006-7-26 11:31:00
我是菜鸟啊,看得头都大了,给能搞个程序自动修复啊!跪下了~~~
反黑小明 - 2006-7-26 11:38:00
我是菜鸟啊,看得头都大了,给能搞个程序自动修复啊!跪下了~~~
hippogeo - 2006-7-27 12:44:00
用IceSword结束WINLOGON.EXE进程,马上就重新启动了,两次都这样,怎么回事
乱云居 - 2006-7-31 9:00:00
顶了,按上述方法清毒成功。

有个地方要楼主解释一下:

修的注册表里的信息时,你上面给的字符串感觉有点不对,比如:


HKEY_CLASSES_ROOT\htmlfile\shell\open\command
@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" -nohome"

怎么字符串里有"\"c:\\program files 几个引号?

如果\是转义字符,那么请教,上面这句话转义以后,最终的字符串是什么?

在实际填写时,是否要填最外的引号?
拔剑茫然 - 2006-8-5 3:25:00
娘啊,这个病毒害死人,最近难道又变种了?

感染症状----瑞星自动监控无法启动

最新版查毒无法查出

手工查杀后-----设备管理器中无任何设备,无法上网。。。。。。。

查了一下叫“落雪”???

娘啊,我是菜鸟,杀软都木有办法,我束手无策,只好格C盘,结果发现问题依旧。

后来发现在D盘下它还装的有东西,没办法,只好重新分区。。。。。

这个木马真TMD变态,瑞星就没办法对付吗?
炫Oo逍遥oO - 2006-8-5 3:54:00
这病毒  那是相当的厉害``` 我重装了系统都没用  5555`5```
12
查看完整版本: 传奇“龙”木马的查杀
© 2000 - 2026 Rising Corp. Ltd.