在Thinkpad T60p本本上搞了搞，终于能运行你的样本了。

此毒运行后，我U盘中保存的唯一可执行文件explorer.exe由995K变为1156K；图标变花（图）。用SSM禁止病毒程序LSASS.EXE和SMSS.EXE运行后，U盘中的染毒文件以及autorun.inf、pagefile.pif均可直接删除。

由于我的本本只有一个分区，其它分区的文件感染情况无法观察。估计pagefile.pif同样会感染系统分区以外的.exe文件。

此外，此毒释放下列文件（可用XDELBOX删除）：
C:\windows\system32\com\LSASS.EXE
C:\windows\system32\com\SMSS.EXE
C:\windows\system32\com\netcfg.000
C:\windows\system32\com\netcfg.dll
注：多分区硬盘，可能还会有：
C:\autorun.inf
C:\pagefile.pif
D:\autorun.inf
D:\pagefile.pif
E:\autorun.inf
E:\pagefile.pif
F:\autorun.inf
F:\pagefile.pif
.
.
.
.
这个毒有点儿意思。运行后，IceSword、SRENG等常用工具基本报废（虽然能运行这些工具，但不能执行任何实际操作。）
用SSM禁止C:\windows\system32\com\LSASS.EXE和C:\windows\system32\com\SMSS.EXE运行后，上述工具才能正常使用。

SRENG日志所见异常如下：
==================================
正在运行的进程

[PID: 2856 / baohelin][C:\windows\system32\com\LSASS.EXE]  [N/A, ]
    [C:\windows\system32\PROCHLP.DLL]  [Lenovo Group Limited, 2, 0, 6, 0]
    [C:\Program Files\Lenovo\Client Security Solution\tvtpwm_windows_hook.dll]  [Lenovo Group Limited, 2.0.0]

[PID: 2116 / baohelin][C:\windows\system32\com\SMSS.EXE]  [N/A, ]
    [C:\windows\system32\PROCHLP.DLL]  [Lenovo Group Limited, 2, 0, 6, 0]
    [C:\Program Files\Lenovo\Client Security Solution\tvtpwm_windows_hook.dll]  [Lenovo Group Limited, 2.0.0]

==================================
Autorun.inf
N/A
==================================
进程特权扫描

特殊特权被允许： SeLoadDriverPrivilege [PID = 2856, C:\WINDOWS\SYSTEM32\COM\LSASS.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 2116, C:\WINDOWS\SYSTEM32\COM\SMSS.EXE]

==================================

病毒篡改的注册表内容如下：
HKEY_CLASSES_ROOT\CLSID\  添加了{D9901239-34A2-448D-A000-3705544ECE9D}
HKEY_CLASSES_ROOT\CLSID\    添加了{C50EC9C4-0F7F-407F-B084-D1147FE9DDCC}
HKEY_CLASSES_ROOT\Component Categories\    添加了{7DD95801-9882-11CF-9FA9-00AA006C42C4}
HKEY_CLASSES_ROOT\Component Categories\    添加了{7DD95802-9882-11CF-9FA9-00AA006C42C4}
HKEY_CLASSES_ROOT\    添加了IFOBJ.IfObjCtrl.1
HKEY_CLASSES_ROOT\Interface\    添加了{2D96C4BF-8DCA-4A97-A24A-896FF841AE2D}
HKEY_CLASSES_ROOT\Interface\    添加了{AAC17985-187F-4457-A841-E60BAE6359C2}
HKEY_CLASSES_ROOT\TypeLib\      添加了{814293BA-8708-42E9-A6B7-1BD3172B9DDF}


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\    删除了IMAIL
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\    删除了MAPI
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\    删除了MSFS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\      删除了{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\      删除了{4D36E967-E325-11CE-BFC1-08002BE10318}



[用户系统信息]Opera/9.22 (Windows NT 5.1; U; zh-cn)

抢到猫叔的沙发
猫叔能帮我看看我中的毒吗？

感谢

这个东西还会感染压缩包内的exe文件 不知猫叔发现没有 最近很流行的说

引用:

【newcenturymoon的贴子】这个东西还会感染压缩包内的exe文件 不知猫叔发现没有 最近很流行的说 ………………

压缩包中的文件感染观察到了。病毒先在c:\windows\system32\com\文件夹中创建一个与被感染压缩包同名的.bak，接着，估计是该搞那些文件了；然后，又将搞过鬼的压缩文件放回原处，再删除c:\windows\system32\com\文件夹中那个同名的.bak

http://secure.itdigger.com/2007/12/17/364287098171.htm
上周分析的 不过上周没发现有这么严重 这周可能再找样本写一下

这毒才象个样。

终于玩死人了。

至于SRENG工具，感觉并不够强。

我自己的电脑里，因为很久没弄什么了，所以一直几个月没扫个SRENG日志看看了。

刚才扫日志时，竟然发现SRENG工具不论在哪种系统模式下都不能扫出进程数PID小于1200的所有系统进程。

安全模式下，也只扫到PID在700以后的，呵呵！！！

SRENG工具也不是很强的了。

这毒比较牛啊..

把瑞星监控都给弄没了。/。

我先按着猫叔的删除那些多余的注册表试试。。

引用:

【过客2007的贴子】这毒比较牛啊.. 把瑞星监控都给弄没了。/。 我先按着猫叔的删除那些多余的注册表试试。。 ………………

汗！
我是开着瑞星玩儿的。
病毒、瑞星————二者相安无事。