史萊姆論壇 - 針對WINLOGN系列木馬寫的個批處理

針對WINLOGN系列木馬寫的個批處理（SMSS，LSASS）
這個系列的木馬鬧了好長時間了，可似乎還沒有折騰夠，變種很多，從開始的紅底黑色龍頭圖案（據說是網游傳世的圖示）到後來的征途圖示。顯著的外在特徵為：在D硬碟根目錄下產生pagefile.pif文件或者command.com文件，刪除了一會後再回來，啟動項刪除後會自動恢復。其中一個典型變種的分析可看小空的BLOG。由於修改了不少文件關聯，在處理上有一定的難度，遠端了幾個，感覺很頭疼，於是有了寫個批處理的念頭。設想起來簡單，可實現起來遠不是那麼容易了。由於REG_EXPAND_SZ的資料類型要換算成2進制，增加了不少的工作量和一定的難度。因此，現在這個版本僅支持安裝在C硬碟或D硬碟下的XP操作系統，
。好了，不多說了，下面說下處理辦法：
首先執行Procexp，結束WINLOGON工作行程（kill process），注意下圖示，與系統工作行程不一樣。如下圖所示:

http://kongzhizhen.bokee.com/inc/Procexp.gif

將工作行程結束後，執行Repair.bat（需要事先下載下來，最好不要放在D盤，以免打開D硬碟時再次啟動病毒），按照提示操作即可。依次進行的是去掉文件s r h內容，刪除文件，修復註冊表訊息，刪除啟動項。在後面由風亂舞提供了部分系統優化功能，可以根據個人喜好選擇。

Repair.bat 和Procexp在附件裡提供了。
需要做以下幾點說明：
1、該批處理只適用於安裝在C硬碟和D盤下的XP操作系統。
2、這不是殺毒軟件，只是我個人針對該病毒及其系列變種採取應對措施，不能保證完無一失。因此，請做好系統備份，對此產生的後果我不負任何責任。（不過出事的幾率好像不大^_^）
3、批處理同樣適用用於殺軟清除病毒後的註冊表修復。
4、如果發現經過以上操作後某些變種還無法清除，請把病毒文件加密壓縮後發到我郵箱（kongzhizhen@gmail.com[size=2]），我會及時處理。

http://rapidshare.de/files/25152801/...izhen.rar.html