瑞星卡卡安全论坛

难道磁碟机又变种了吗?
我的磁碟机病毒显示日期是1月15日的.
按照置顶的方法不行了.

症状:
1:::右下角绿色雨伞变黄,停止监控,1分钟后黄色雨伞消失.
2:::查看进程,多出smss.exe‖lsass.exe‖pagefile.pif‖alg.exe‖,并且无法结束.(如图1)
3:::点开文件夹选项-查看,无法显示系统隐藏文件,没有"隐藏受保护的操作系统文件(推荐)"的选择框,可能病毒为了保护自己闭屏了.(如图2)
4:::打开com文件夹,无法显示隐藏的病毒smss.exe和lsass.exe.但是在com文件夹下建立同名文件系统显示重复名称,不能建立,然后用winrar观看com文件夹下,隐藏的病毒文件有smss.exe和lsass.exe.还有几个附加的病毒.(如图3)
5:::桌面被病毒新建文件夹cooperator.(如图4)
6:::开始-msconfig-启动,出现~.exe260187并且无法禁止启动.(如图5)
7:::所有盘下出现pagefile.pif和autorun.inf,杀掉会反复出来,并且会自动感染所有盘.
8:::安全模式进不了.
9:::运行gpedit.msc打开组策略-计算机配置-Windows设置-安全设置-软件限制策略-没有其它规则和"新散列规则",被病毒kill了.(如图6)

我和这个病毒搏斗了3天3夜,目前还是没办法啊.
下面是我试验无效的办法.
1:::冰刃被闭屏,总之被闭屏的还有很多,总结起来就是一句话.其他能打开的结束不了病毒的进程,貌似针对冰刃的.
2:::开机后在病毒还没启动到进程前迅速去com文件夹,建立同名的病毒文件,利用一个文件夹不能同名建立的原则,失败.病毒直接可以kill掉你建的同名文件,生成新的smss.exe和lsass.exe.
3:::不管是手动修改,还是导如其他机器正常的注册表,都无法显示"系统文件".
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL下面的CheckedValue，数值是1,正确 .NOHIDDEN下面的CheckedValue，数值是2,正确.一切都正确,但是无法显示隐藏的系统文件.分别删除后重新建立也无法显示,失败中.
4:::无法建立"新散列规则"隔离病毒以便结束进程,失败中.
5:::进瑞星文件夹找到DefCfg.exe，双击运行后,可以出现图1的样子,但是点添加后,主动防御消失,准确说是被病毒闭屏了.基本其他所有辅助软件都打不开.失败中

备注:综合起来的经验,
1:::无法结束进程是关键,但是前提病毒已经把所有能结束他进程的漏洞都kill了,病毒环环相扣,无懈可击.
2:::把其他什么都弄掉,只要进程在,重起后问题依旧.

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)


附件: 10048112008116142605.jpg

没有"隐藏受保护的操作系统文件(推荐)"的选择框

附件: 10048112008116142829.jpg

winrar可以看到病毒的路径,但是直接开文件夹在系统里看不到

附件: 10048112008116143100.jpg

桌面被病毒新建文件夹cooperator

附件: 10048112008116143137.jpg

开始-msconfig-启动,出现~.exe260187并且无法禁止启动

附件: 10048112008116143328.jpg

运行gpedit.msc打开组策略-计算机配置-Windows设置-安全设置-软件限制策略-没有其它规则和"新散列规则",被病毒kill了

附件: 10048112008116143442.jpg

有没样本  我不会看日志  只会看样本

请发到wjzdw@tom.com

另外用Wsyscheck试下

这个问题已经被解决
这个病毒确实做的比较好。但有致命的弱点

1.4楼的图片显示的就是这个病毒的主心骨。那么只要用IFEO劫持，劫持这个启动项目，让他们无法开机运行。那么，下面结束进程，删除文件，等等，病毒就任凭你宰割了！最后更新杀软，清理被感染的文件，修复被破坏的系统。
这个方法是此版斑竹：清新阳光的博客中已经解决。
详细可以看：
http://hi.baidu.com/newcenturysun/blog/item/45a9dd17ceca780dc83d6d4c.html

2.利用瑞星的主动防御处理，具体方法在置顶帖中可以看到。


3.我用的偏方处理掉此病毒：
首先，用AV专杀处理（很简单吧），把此病毒对安全软件关键字的屏蔽干掉

再用WINDOWS清理助手，
下载arswp(Windows清理助手)清理下..
http://www.arswp.com/download/arswp/arswp.rar

进行删除，这样，病毒的大体被破坏。
后面的工作就是修复受感染文件和修复系统了。LZ也可以试试：）

如果能把样本发上来一个最好

楼主用WinRAR打开找找这些文件，都压缩在一起，发上来。

我把com文件夹打包放上来了,大家小心点.

附件: 10048112008116153419.rar

这个是pagefile.pif
也打包上来了



附件: 10048112008116153903.rar

搞清楚了,症状显示这个是“磁碟机变种204808”（Win32.VcingT.ph.204808）

谁能把他完全杀掉啊.

7楼的3个方法都挂了

1:::hi.baidu连接的那个方法保存了reg并且导入,重起没效果.
2:::瑞星主动防御也挂了,点添加直接就直接被关闭.
3:::AV专杀可以打开,点扫描就死到扫描内存,不动了,估计也被闭屏了

这是AV专杀死到不动时候的图

附件: 10048112008116155701.jpg

这个是c:\WINDOWS\system32\目录下的dnsq.dll


也是磁碟机释放出来的


附件: 10048112008116160229.rar

你导入的那个注册表里的IFEO劫持项，是不是~.exe.260187.exe

应该这样：

将下列文字复制到记事本中，并保存为reg文件

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\~.exe.260187.exe]
"Debugger"="清新阳光"


双击导入注册表
重启计算机

这个是c:\WINDOWS\system32\drivers\目录下的alg.exe

也是磁碟机释放出来的,进程里面也有,是小写的

附件: 10048112008116160420.rar

这个是系统盘根目录下的037589.log


也是磁碟机释放出来的

附件: 10048112008116160523.rar

14楼的朋友,导入了你的以后重起,问题反倒严重了.

以前是~.exe.260187

现在反到又多了一个~.exe.714796

并且都无法禁止启动

请看截图.

附件: 10048112008116161745.jpg

呵呵！！！

我说导入没用吧。

7楼的有点不信我，所以要你导给他看的。

大哥,你拿我当实验品啊,生死存亡的关头你怎么能这样啊.

严重期盼一个像"神"一样的人出来啊

等一会。

他们真在拼命测试。

已经描述很详细了,
如果大家还有什么问题要问,
留言,
我看到会第一时间回复

你可以进纯DSO下吗？

不等他们了。

去纯DOS下，将你看到的这几个文件都删除。

就没事了。

杀毒软件就可以工作了。

劫持方法无效了,主动防御无效了
我的方法更拉倒了

还在努力中，等待阳光测试了,我觉得指望不大了

只有一个发现,发现卡卡助手可以用.可以删除~.exe.数字.exe

但重起以后,又会添加...

看来这个更新版本真的满牛的

我没有安DOS啊,郁闷.

看来上次的WINDOWS清理助手是病毒作者的漏网之鱼,被我瞎猫碰死老鼠给抓了,这次...
汗啊

引用:

【从此不想中毒的贴子】我没有安DOS啊,郁闷. ………………

天月的意思就是用DOS工具箱吧(矮人的)

这个病毒恶心的地方还有...

真的把组策略也弄玩完了...

我别的不喜欢用，我就喜欢用winPE光盘系统进去后一阵乱删,,然后正常启动，ok!

还有个发现吧，估计是病毒用了进程守护了

两个LSASS SMSS进程