主題
:
針對WINLOGN系列木馬寫的個批處理
查看單個文章
2006-07-07, 09:42 AM
#
1
psac
榮譽會員
榮譽勳章
勳章總數
19
UID - 3662
在線等級:
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
精華
: 2
現金: 5253 金幣
資產: 33853 金幣
針對WINLOGN系列木馬寫的個批處理
針對WINLOGN系列木馬寫的個批處理(SMSS,LSASS)
這個系列的木馬鬧了好長時間了,可似乎還沒有折騰夠,變種很多,從開始的紅底黑色龍頭圖案(據說是網游傳世的圖示)到後來的征途圖示。顯著的外在特徵為:在D硬碟根目錄下產生pagefile.pif文件或者command.com文件,刪除了一會後再回來,啟動項刪除後會自動恢復。其中一個典型變種的分析可看
小空的BLOG
。由於修改了不少文件關聯,在處理上有一定的難度,遠端了幾個,感覺很頭疼,於是有了寫個批處理的念頭。設想起來簡單,可實現起來遠不是那麼容易了。由於REG_EXPAND_SZ的資料類型要換算成2進制,增加了不少的工作量和一定的難度。因此,現在這個版本僅支持
安裝在C硬碟或D硬碟下的XP操作系統
,
。好了,不多說了,下面說下處理辦法:
首先執行Procexp,結束WINLOGON工作行程(kill process),注意下圖示,與系統工作行程不一樣。如下圖所示:
將工作行程結束後,執行Repair.bat(需要事先下載下來,最好不要放在D盤,以免打開D硬碟時再次啟動病毒),按照提示操作即可。依次進行的是去掉文件s r h內容,刪除文件,修復註冊表訊息,刪除啟動項。在後面由風亂舞提供了部分系統優化功能,可以根據個人喜好選擇。
Repair.bat 和Procexp在附件裡提供了。
需要做以下幾點說明:
1、該批處理只適用於安裝在C硬碟和D盤下的XP操作系統。
2、這不是殺毒軟件,只是我個人針對該病毒及其系列變種採取應對措施,不能保證完無一失。因此,請做好系統備份,對此產生的後果我不負任何責任。(不過出事的幾率好像不大^_^)
3、批處理同樣適用用於殺軟清除病毒後的註冊表修復。
4、如果發現經過以上操作後某些變種還無法清除,請把病毒文件加密壓縮後發到我郵箱(
kongzhizhen@gmail.com
[size=2]),我會及時處理。
http://rapidshare.de/files/25152801/...izhen.rar.html
__________________
送花文章: 3,
收花文章: 1631 篇, 收花: 3205 次
psac
查看公開訊息
查尋 psac 發表的更多文章