发表于: 2006-07-31 16:28 | 只看楼主 短消息 资料
字号: 1楼

这个病毒貌似我也中了,瑞星怎么查不出?

引用:

4月26日在单位上网电脑中截获一最新病毒,在中了这个病毒后很难清除,因感染主文件在系统中多以COM形式存在,因此我称之为COM幽灵病毒。判断特征,启动项目包含C:\WINDOWS\WINLOGON.EXE,龙族的图标,同目录下还有exeRoute.exe和1.com两个文件,那就肯定中了该病毒了。具体病毒行为及包含其它的后门或木马未知,主要研究了其发作感染的方式。

病毒制造者不仅技术高超,还利用了心理战术,病毒启动项堂而皇之的用Torjan Program作名字,让一般杀毒者以为去掉启动项,删除该文件即可。
其实该病毒还设计了大量死而复生的隐蔽技术,就像幽灵般的存在于你的电脑中。

1。打开关闭进程工具,任务管理器或其它,如:IceSword
2。关闭进程 WINLOGON.EXE
3。修复EXE文件关联,有很多可用工具,如FixReg,SREng,UPIEA等
  或者把下面代码拷贝到记事本中,另存为FixExeFile.reg打开导入到注册表
  (XP操作系统调试通过)
 Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\.exe]
@="exefile"
"Content Type"="application/x-msdownload"

[HKEY_CLASSES_ROOT\.exe\PersistentHandler]
@="{098f2470-bae0-11cd-b579-08002b30bfeb}"

4。删除病毒生成的感染文件,用批处理执行
  看看这么多文件就知道有多少种复活方式了,简直BT。

del c:\windows\1.com
del c:\windows\exeRoute.exe
del c:\windows\explorer.com
del c:\windows\finder.com
del c:\windows\winlogon.exe
del c:\windows\debuge\debugProgram.exe

del c:\windows\system32\dxdiag.com
del c:\windows\system32\finder.com
del c:\windows\system32\msconfig.com
del c:\windows\system32\rundll32.com
del c:\windows\system32\regedit.com
del c:\windows\system32\command.pif

del "c:\program files\internet explorer\iexplore.com"
del "c:\program files\common files\iexplore.pif"
 
5。修复注册表启动项,可用HijackThis.exe,SREng等工具
  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Torjan Program: "C:\WINDOWS\WINLOGON.EXE"
  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices\Torjan Program: "C:\WINDOWS\WINLOGON.EXE"
最后编辑2006-07-31 16:28:48.390000000