瑞星卡卡安全论坛
baohe - 2008-2-17 11:36:00
这个“磁碟机”已经更新过N个版本了。目前所见的新版磁碟机貌似都比较NB。中招后,菜鸟们大多四处找专杀解决问题。磁碟机专杀良莠不齐,某些专杀还行,另一些则根本就不管用。
自从“磁碟机”更新到具备驱动程序NetApi00.sys(最新版变为NetApi000.sys)后,它便NB起来。IceSword、SRENG等手工杀毒工具貌似统统被这个驱动废掉了。其实也没完全废掉。昨天在剑盟发了一个戏弄磁碟机的帖子(
http://bbs.janmeng.com/thread-711635-1-1.html),即可说明问题。但那帖子中叙述的操作涉及注册表改动,菜鸟级的朋友难以完成。
我一直在观察这个驱动的加载过程。发现了一个规律:目前为止见到的所有磁碟机变种,均通过调用系统程序cmd.exe加载此驱动。
行了。菜鸟级的杀毒办法有了:
0、关闭所有安全软件。将病毒放入系统(样本来自:
http://bbs.janmeng.com/thread-708406-1-2.html,瑞星目前还不报毒。)
1、用改名大法将system32和dllcache目录下的cmd.exe临时改名为cm.dll(图)。重启系统看看。
[用户系统信息]Opera/9.22 (Windows NT 5.1; U; zh-cn)附件:
1558472008217112455.jpg
baohe - 2008-2-17 11:37:00
2、重启系统后,检查system32和dllcache目录。发现改名后的cm.dll都在,但是,system32目录下出现了一个怪怪的cmd.exe(见下图)。这个cmd.exe的logo不同于正常的cmd.exe,该不会是病毒现从I386目录里找来的吧?汗!估计这DD不能运行。
附件:
1558472008217112523.jpg
baohe - 2008-2-17 11:37:00
3、不管这些,先看看病毒文件能否手工删除(如果那个cmd.exe管用,NetApi000.sys即可加载,病毒已经完整运行了。病毒文件是删不掉的)。
结果:所有病毒文件被一一删除了。
4、删除system32目录下那个异常的cmd.exe。将system32和dllcache目录下的cm.dll改回cmd.exe。
注:我的电脑只有一个分区。处理到这里,就完事了。多分区系统,非系统分区还有病毒。这样处理完后并不能彻底解决问题,还需用杀软全盘杀毒。切记!
附件:
1558472008217112550.jpg
LMhust - 2008-2-17 14:01:00
这个病毒的动作真是每次都一样。
继续观望中。
侠者秋水 - 2008-2-17 14:52:00
果然很简单就可以干掉....
侠者秋水 - 2008-2-17 14:59:00
没有剑盟的帐号啊,版主可不可以把那个帖子贴出来吖
spiritfire - 2008-2-17 15:29:00
学习了,猫叔手段创意无限。
天月来了 - 2008-2-17 16:03:00
说到底还是猫猫观察的仔细。
silences - 2008-2-17 16:08:00
确实 这招不错
超级游戏迷 - 2008-2-17 16:10:00
| 引用: |
【baohe的贴子】2、重启系统后,检查system32和dllcache目录。发现改名后的cm.dll都在,但是,system32目录下出现了一个怪怪的cmd.exe(见下图)。这个cmd.exe的logo不同于正常的cmd.exe,该不会是病毒现从I386目录里找来的吧?汗!估计这DD不能运行。
……………… |
不得不说一句:病毒作者想的真周到……
shouhou - 2008-2-17 19:09:00
感谢分享
闪电风暴 - 2008-2-17 19:58:00
好像cmd.exe不能加载驱动吧...
zhongzhi - 2008-2-17 20:09:00
能灭掉病毒就是好方法,还是猫叔招法多。
baohe - 2008-2-17 20:45:00
| 引用: |
【闪电风暴的贴子】好像cmd.exe不能加载驱动吧...
……………… |
用工具跟踪一下“磁碟机”的运行过程
酷酷ku - 2008-2-17 20:55:00
猫叔厉害!!
sako - 2008-2-18 0:15:00
我就没话说了,先觉得这病毒作者一定得罪了猫叔,出来一个被灭一个.
下面就没话说了,只能默默的学习
青ぁ龙ぞ震⊙威 - 2008-2-18 11:45:00
无语了.........改名大法这时都还有效果,学习了......
流星陨落 - 2008-2-18 12:22:00
继续学习
whyhaha - 2008-2-18 12:34:00
继续学习
··月亮·· - 2008-2-18 19:46:00
学习中
gwlucker - 2008-2-18 22:04:00
改名大法都能对付磁碟机了....估计作者已经郁闷到不行了吧...
猫叔果然厉害...~
神龙飞天 - 2008-2-19 16:24:00
强!!我对猫叔佩服到五体投地了!!
学习了!
turry - 2008-2-25 9:51:00
呵呵 猫叔办法厉害!
中分 - 2008-2-25 11:26:00
跟进学习
瑞猩工程师白痴 - 2008-2-25 21:52:00
我电脑中毒了 版主让我到这帖子看看
可是 我给cmd.exe改名为cm.dll后.不到一秒钟
系统又自动生成一个cmd.exe
郁闷死
而且大小图标都是一样的 也是可以运行的
怎么回事呢???
还有dllcache这个文件我在system32的文件下根本没有找到!@
baohe - 2008-2-25 21:58:00
| 引用: |
【瑞猩工程师白痴的贴子】我电脑中毒了 版主让我到这帖子看看
可是 我给cmd.exe改名为cm.dll后.不到一秒钟
系统又自动生成一个cmd.exe
郁闷死
而且大小图标都是一样的 也是可以运行的
怎么回事呢???
还有dllcache这个文件我在system32的文件下根本没有找到!@
……………… |
1、先按下图关闭“WINDOWS文件保护”。杀完毒后,将CMD和CACLS文件名改回正常后,再开启“WINDOWS文件保护”。另请注意操作顺序:I386文件夹——>dllcache文件夹——>system32文件夹。
2、dllcache文件是隐藏的。简单的办法——用WINRAR可以找到。
附件:
1558472008225214645.jpg
瑞猩工程师白痴 - 2008-2-25 22:21:00
heihei
在线回复快哟!
感动中
先不管能不能杀毒了 先谢谢楼主咯
还有啊 我中好像是av终结者啊 杀毒软件都禁用的
瑞猩工程师白痴 - 2008-2-25 22:32:00
不要说我白痴咯
我刚才找不到你说的文件保护这个东西啊
在哪里关我都不知道
直接开始--运行--gpedit 也没有用咯
郁闷死了
瑞猩工程师白痴 - 2008-2-25 22:59:00
郁闷了
已经按照楼主说的 找到了那个windows文件保护
可是当我选择"已禁用"再点确定的时候
系统程序报错,说不能保存更改
什么 试图在标记为删除的注册表项上进行不合法操作
nnd 我中这个毒也太深了吧
流星陨落 - 2008-2-25 23:22:00
| 引用: |
【瑞猩工程师白痴的贴子】郁闷了
已经按照楼主说的 找到了那个windows文件保护
可是当我选择"已禁用"再点确定的时候
系统程序报错,说不能保存更改
什么 试图在标记为删除的注册表项上进行不合法操作
nnd 我中这个毒也太深了吧
……………… |
扫描个sreng日志来看看,你的id好像有点.....
© 2000 - 2026 Rising Corp. Ltd.