瑞星卡卡安全论坛

感谢剑盟 hzqedison 斑竹的提示...
----------------------------------------------------------------
上面那个帖子没法写了..就再开帖子写...
今天增加俩个落雪系列木马专杀...分别出自..
第一个江民出的专杀..出处:http://www.jiangmin.com/News/jiangmin/index/important/2006810172130.htm第二个是今天刚拿到的 ..由幸福的狮子编写的..

以上俩个专杀..可以从我的网盘(http://free.ys168.com/?mopery)里下载...
江民那个专杀我的网盘里有..也可以自己去下载...
----------------------------------------------------------------
⒈江民专杀..
今天拿江民专杀来杀一杀..经过测试..发现这专杀对C:\WINDOWS\winlogon.exe与C:\WINDOWS\SMSS.EXE有一处注册表没修改..C:\WINDOWS\LSASS.EXE 可杀干净..
C:\WINDOWS\winlogon.exe与C:\WINDOWS\SMSS.EXE 没修改的注册表为..
HKEY_CLASSES_ROOT\winfiles\Shell\Open\Command
@="C:\\WINDOWS\\ExERoute.exe \"%1\" %*"
改为
@="\"%1\" %*"

图...

附件: 6323982006811173210.JPG

⒉ 由 幸福的狮子 编写的...
这个专杀可以完全杀除落雪系列木马..所有被注册表修改的注册表也都修复正常...

附件: 6323982006811173509.JPG

我知道了

收到

附件: 6814642006811214528.GIF

阅
以下载幸福的狮子的专杀。
谢谢

谢谢

这是从江民那里弄来的：
“落雪”木马专杀对比：江民 vs 瑞星

因样本与时间都有限，本文的测试仅做参考。测试并不完全，仅做最直观的表面测试用




样本信息：1.com  2.com  3.com  4.com
江民专杀与瑞星专杀信息:
江民=〉1.0.0.1  UPX加壳  56,320字节
瑞星=〉1.1 （1.1.0.2）  未加壳  389,236字节
KV2006与瑞星2006对样本的病毒命名：

此主题相关图片如下：


此主题相关图片如下：





测试前言：所谓的专杀，只是针对特定病毒做的一个清除工具。
专杀最基本的功能得有：
1、对特定病毒100%的清除
2、能够完全恢复病毒对系统的修改（这里主要指对注册表的修改）
3、扫描速度快




测试结果：
从江民下载的专杀没有更改扩展名，仍然以EXE为后缀。从瑞星下载的专杀已经将扩展名更改为COM。或许有人会说瑞星考虑周到，按照常理的确这样认为，不过错了。
病毒修改了EXE文件关联，再执行EXE文件的时候会自动激活病毒，但是并不代表EXE的无法执行，所有EXE文件仍然可以正常执行。



瑞星的专杀工具有提示用户到安全模式下操作，否则可能有异常现象发生。不过测试过程没发现什么异常现象。



所有样本均为运行并清除后再执行下一个样本的测试。
扫描速度：江民——相当快  瑞星——比较慢
病毒清除结果：江民和瑞星均可成功终止内存中已激活的病毒体，对所有样本均完全清除。
注册表修复结果：看似两个专杀都恢复了系统默认关联，不过我们还得简单测试一下。
对于EXE的关联问题江民和瑞星都将起恢复为系统默认，其他的呢？
“落雪”修改了相当多的程序关联，我没依依测试，就做了一个简单的就得到结果了...
建立一个a.htm的文件放在桌面，然后分别在两个专杀清除病毒后执行这个HTM文件，结果如图：

此主题相关图片如下：


此主题相关图片如下：

很显然，江民的专杀恢复了htm文件以默认的IE打开，而瑞星的专杀似乎错误的修复成了以记事本方式打开。
其他的关联测试没兴趣做了...




结语：无论你的系统是否受此木马的破坏，执行了江民的专杀工具并进行了扫描后，所有的关联问题（这里指病毒会修改的关联地方）都将会恢复为系统默认状态。
病毒只有在激活状态下江民的专杀才会发现病毒，江民的专杀从内存扫描开始，在内存中若没发现病毒的活动便会停止。

【回复“Gryan”的帖子】
瑞星的专杀只修复了 IE 那部分注册表..其他米修复..
至于江民 漏修复一个..

瑞星是扫全盘...
江民只扫是否有病毒..所以俩者当然差距非常大..

瑞星的木马专杀工具真的不行，好多木马iparmor可以杀出来，瑞星连找都找不到.......

我刚才用江民杀出了一个！现在瑞星监控可以自动打开了！
昨天我也用了瑞星的那个专杀！在安全模式下杀毒为什么什么
也没有查出来？？
我之前的反映就是监控在开机的时候先是打开的，然后自动关闭
一直要手动开关几次才能在次打开！请问这是那个什么病毒吗？
我是菜鸟请大家帮帮我！！

我中了Trojan.PSW.Lmir.kvg 这个病毒!

这是变种吗?还是新的?

我试着用橙色八月在安全模式下扫了一遍什么也没杀到，
现在回到正常模式下还是出现Trojan.PSW.Lmir.kvg 病毒!

我要怎么办呢?

进我的网盘下载幸福的狮子 写的专杀杀一次看看..

阅

呵呵,你也下了呀......
这工具我感觉不太好用.......
----------------------------------------------------

学习中！

引用:

【westbeck的贴子】谢谢 ………………

江民的专杀我用了，能查能杀，可就是不干净，系统一起动病毒还会在来!看介绍，病毒会在D盘建一个目录，我索性把D盘重新格式化了，不一会果然看见了再D盘里给我中下了2个文件，想删除却不让，还多了两个图标，一个是回收站的，另一个是黄五星收藏夹的，这两个也不让珊。瑞星和江民的情况一样，只是用专杀时间太长而且系统资源占用极多，我是赛扬2.7 256M内存，cpu使用率几乎是在100%，瑞星专杀一遍最少20分钟，江民专杀几十秒，效果一样都是杀不干净！
我又下了幸福的狮子制作的专杀，之前我用瑞星和江民的专杀差了一遍提示没有发现病毒，瑞星听诊器也提示没毒，用狮子的专杀查毒：提示内存发现病毒，已清理，c盘发现病毒已清理，注册表已修复。可是瑞星监控还是打不开，我在用baohe版主教的用记事本制作的Fix.reg文件恢复一下注册表重启后看看情况怎么样？
现在我的进程里始终有2个可疑的进程始终去不掉，
rundll32.exe new  和rundll32.exe SRSTEM
手动关掉一会还会启动。
唉!我和这个传奇终结者（Trojan.PSW.LMir）已经奋战了好几天了，还是拿他没办法，只要重启他就阴魂不散的跟着回来，他到底藏在哪呢？这个病毒是不是也随时在升级，拔下网线来杀毒有效果吗？

重启后的问题更严重了，瑞星监控根本就没有反应！以前是开机先打开然后在关闭，现在根本就打不开，杀毒软件倒是能打开，楼主看看这是怎么回事，还有我那两个进程倒底是什么东东？

值得研究....

继续学习中....

已下载“幸福狮子”写的专杀。多谢M！

呵呵，谢谢楼主啦

江民的不错！

靠，你空间里的LSASS专杀居然就是毒~
还敢相信你吗？

楼上的...是病毒的话..你就截个图上来...

如果不是毒 麻烦你立刻闪远远的....

------------------------------------------------------

补充一句..
我发的东西都是经过我自己测试的...

我下了江的    但是一打开  不到1秒就自动关闭了  怎么回事

mopery大哥~~~~我下不了啊!一点下载就说"当前安全设置不允许下载该文件".......麻烦可以传给我吗~先谢了!
我的QQ112686848

哦~~~不用了,我下了!是啊,我用两个专杀都杀不出病毒,但是我的瑞星的监控依然是红色的!那怎样解决?

幸福的狮子的好。
赞一个。。。

狮子的专杀.能杀得到.瑞星的反而杀不到.不错.支持狮子

木马够烦的，盗了我两次梦幻号了，用瑞星杀了但是还有，这个嘛不错呀