computer 版 (精华区)

发信人: neverbw (浪子~期待黑色七月), 信区: network
标  题: 以身试毒：测试冰河5.5LFP病毒感染专版(3)
发信站: 听涛站 (2001年09月26日11:09:57 星期三), 站内信件

甲）杀马
　　选择lfp.dll、lfp.exe、tel.lfp、system32.dll并使用SHIFT+DEL，永久性删除！

（乙）修改注册表
　　运行REGEDIT，修改注册表：
（1）
[HKEY_CLASSES_ROOT\*\{删除}Shell\open\command]
C:\WINDOWS\SYSTEM\tel.lfp %1
[HKEY_LOCAL_MACHINE\Software\CLASSES\*\{删除}Shell\open\command]
C:\WINDOWS\SYSTEM\tel.lfp %1
（2）
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
{删除}durrentVersion\Run]
C:\WINDOWS\SYSTEM\system32.dll
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\{删除}durrentVersion\RunServi
ces]
C:\WINDOWS\SYSTEM\system32.dll
（3）
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
{删除}lfp.dll
（4）
[HKEY_CLASSES_ROOT\dllfile\{删除}shell\Open\Command]
"%1" %*
[HKEY_LOCAL_MACHINE\Software\CLASSES\dllfile\{删除}shell\
Open\Command]
"%1" %*
（5）
[HKEY_CLASSES_ROOT\{删除}.lfp]
lfpfile
[HKEY_LOCAL_MACHINE\Software\CLASSES\{删除}.lfp]
lfpfile
（6）
[HKEY_CLASSES_ROOT\{删除}lfpfile]
http://lffffp.yeah.net
[HKEY_CLASSES_ROOT\{删除}lfpfile\DefaultIcon]
C:\WINDOWS\SYSTEM\shell32.dll,-154
[HKEY_CLASSES_ROOT\{删除}lfpfile\shell\Open\Command]
"%1" %*
[HKEY_LOCAL_MACHINE\Software\CLASSES\{删除}lfpfile]
http://lffffp.yeah.net
[HKEY_LOCAL_MACHINE\Software\CLASSES\{删除}lfpfile\DefaultIcon]
C:\WINDOWS\SYSTEM\shell32.dll,-154
[HKEY_LOCAL_MACHINE\Software\CLASSES\{删除}lfpfile\shell\
Open\Command]
"%1" %*
在本文即将完成之时，我联系上作者LFP并就“病毒感染EXE文件”一事向他咨询。LFP回
答：
*********************************************************************
随风飘飘任逍遥，您好！
呵呵.大体没错.
如果你真的是用的病毒版,它将还感染随机器启动的exe文件,把自己插入其中.
你把这些删除,而没有删除感染文件,如果重启没有啦,哪就可能不是病毒版.
非病毒版的,都让你找出来啦.
随风飘飘任逍遥，您好！
如果是病毒版应该感染***标志的软件.
原理:把木马插入EXE文件.运行时释放木马并运行.(汇编插入,不是捆绑,你如果会编程,
就知道之间的区别).
当然,木马很大,宿主也会变大的.(cih很小可以插到程序的缝隙中,木马不行,呵呵.太大
...).
你的删除方法很对,覆盖感染文件即可.
*********************************************************************
　　从作者的解释中可以知道，即使是病毒版冰河，也只是汇编插入某个随机启动的文
件中，使之随电脑启动而释放木马并运行，且无法从常规反木马途径查出来。但是，在
系统目录下，只要是更改过的文件，是无法逃得过SFC的扫描。当发现某文件被附加或捆
绑上木马，只要以正常文件覆盖感染文件即可解决问题。
　　在没有更佳的办法以前，进程查看和中止依然是手工查杀木马行之有效的手段。
　　杀马须狠，斩草除根。野火烧不尽，春风吹又生。
　　 请各位朋友谨记了。
　　最后，我要特别感谢木马作者LFP和金山毒霸讨论区版主maldinilbx在测试过程中提
供的技术支持，再一次感谢他们给予我的无私的帮助以及支持！在此致以真诚的感谢！


--
当爱情不再完美我宁愿选择无悔不管来生多么美丽我无法失去今生对你的记忆!

※ 来源:·听涛站 tingtao.dhs.org·[FROM: 匿名天使的家]