瑞星卡卡安全论坛

瑞星20.33.12不报毒。
据说以前对付它的办法都不好使了。
牛哈！
看看它的软肋还在不。
1、在注册表中添加IFEO劫持项，劫持cacls.exe（磁碟机完全运行的必需系统程序，图1）。
2、找个能看护注册表的工具，守护HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options键及其子键（磁碟机删除这个注册表键哦！图2）。
3、运行磁碟机最新样本setup.exe。
4、看看它成功没（图3）。
5、试试手工删除这些病毒文件。顺利删除了（图4）。system32 目录下那个dnsq.dll根本就没创建成。
各个分区根目录下也是干净的（不再贴图了）。
看来，这个新变种也不像传言说的那么可怕。


图1

[用户系统信息]Opera/9.26 (Windows NT 5.1; U; zh-cn)


附件: 1558472008226201547.jpg

图2

附件: 1558472008226201612.jpg

图3

附件: 1558472008226201638.jpg

图4

附件: 1558472008226201658.jpg

沙发……

诶　这个病毒真的很厉害．　常用的几个工具都打不开，瑞星更新到最新也杀不了　而且一点都不报．．．．．　菜鸟同事的电脑只能重装了系统啊．．．　求那位大虾　给个好的清理办法　
中了磁碟机，系统分区好办些。即使所有常用工具都不能用了，也能用最菜的改名法暂时“废掉系统程序cmd.exe和cacls.exe（去除其后缀；I386、dllcache、system32三个文件夹中的这两个文件的后缀都要去除）。
然后，重启。
重启后，删除那些病毒文件（路径及文件名早就知道了）。至此，系统分区已经搞掂。

多分区系统的非系统分区的被感染文件（数目可能巨大），要用杀软或专杀处理。未处理前，不要动非系统分区。

学习了……

引用:

【baohe的贴子】瑞星20.33.12不报毒。 据说以前对付它的办法都不好使了。 牛哈！ 看看它的软肋还在不。 1、在注册表中添加IFEO劫持项，劫持cacls.exe（磁碟机完全运行的必需系统程序，图1）。 2、找个能看护注册表的工具，守护HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options键及其子键（磁碟机删除这个注册表键哦！图2）。 3、运行磁碟机最新样本setup.exe。 4、看看它成功没（图3）。 5、试试手工删除这些病毒文件。顺利删除了（图4）。system32 目录下那个dnsq.dll根本就没创建成。 各个分区根目录下也是干净的（不再贴图了）。 看来，这个新变种也不像传言说的那么可怕。 图1 [用户系统信息]Opera/9.26 (Windows NT 5.1; U; zh-cn) ………………

防范此病毒方法多的是.可怕之处是中了病毒之后.不懂清理的那只有重装系统了.

引用:

【没有梦想的男人的贴子】 引用: 【baohe的贴子】瑞星20.33.12不报毒。 据说以前对付它的办法都不好使了。 牛哈！ 看看它的软肋还在不。 1、在注册表中添加IFEO劫持项，劫持cacls.exe（磁碟机完全运行的必需系统程序，图1）。 2、找个能看护注册表的工具，守护HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options键及其子键（磁碟机删除这个注册表键哦！图2）。 3、运行磁碟机最新样本setup.exe。 4、看看它成功没（图3）。 5、试试手工删除这些病毒文件。顺利删除了（图4）。system32 目录下那个dnsq.dll根本就没创建成。 各个分区根目录下也是干净的（不再贴图了）。 看来，这个新变种也不像传言说的那么可怕。 图1 [用户系统信息]Opera/9.26 (Windows NT 5.1; U; zh-cn) ……………… 防范此病毒方法多的是.可怕之处是中了病毒之后.不懂清理的那只有重装系统了. ………………

恩,遇到很多种了磁碟机的不搞直接重装,结果,嘻嘻,exe被感染,还完蛋,还是要努力去学习,灭掉它

因为感染别的文件，所以很多电脑中了，都选择重装了。还大多数选择全格了。

除了一些单位有帐目祸重要数据的电脑，还在等待

（有时也真有趣，我见过很多单位里的有重要数据的电脑，都很随意的上网玩，不知道都怎么想的。还有那U盘的使用，也成了这些电脑致命的。）

引用:

防范此病毒方法多的是.可怕之处是中了病毒之后.不懂清理的那只有重装系统了. ………………

不懂清理不可怕，可怕的是想求助但是什么常用工具都打不开......

引用:

【lqqk7的贴子】 不懂清理不可怕，可怕的是想求助但是什么常用工具都打不开...... ………………

这个倒是真的.哈哈.所以我一直以来收藏一些不算出名的小工具.有时候还是能派上用场的.

版主大人你好, 我们有几台电脑都中了"磁碟机"病毒, 其中一台的系统盘已经用克隆的镜像恢复了, 但是非系统盘上的其他几个分区的exe执行文件,html,htm等等文件都给病毒感染了, 使用瑞星主站的ravDiskgen.exe 进行查杀可以发现exe执行文件中毒了,但报清理失败,而htm,html等文件就没有报中毒, 用文本编辑软件打开这些网页文件可以看到最后一行加了一句<script>打开一个网页,网址被加了密的.

我将中了毒的exe文件和html文件打包压缩rar了,上传给版主帮忙分析一下.

附件: 7401752008227141742.rar

引用:

【forumz的贴子】版主大人你好, 我们有几台电脑都中了"磁碟机"病毒, 其中一台的系统盘已经用克隆的镜像恢复了, 但是非系统盘上的其他几个分区的exe执行文件,html,htm等等文件都给病毒感染了, 使用瑞星主站的ravDiskgen.exe 进行查杀可以发现exe执行文件中毒了,但报清理失败,而htm,html等文件就没有报中毒, 用文本编辑软件打开这些网页文件可以看到最后一行加了一句<script>打开一个网页,网址被加了密的. 我将中了毒的exe文件和html文件打包压缩rar了,上传给版主帮忙分析一下. ………………

1、被感染的html文件中最后一段代码（http://%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/%30%31%2E%61%73%70）解密后为：http://js.k0102.com/01.asp
2、附件中的.exe为被感染的可执行文件。运行后，依然可导致“磁碟机”复生。请下载其它专杀工具试试。
目前瑞星最新病毒库还未收录此毒（20.33.20）。此样本上报瑞星了。

谢谢版主关注, 希望瑞星的 ravdiskgen 专杀可以更新清理变种.

太强悍的病毒了

学习了

呵呵，不错