瑞星卡卡安全论坛
baohe - 2008-3-18 9:16:00
不少人问这个问题。现就中“磁碟机”后的主要(并非全部)症状罗列如下。供参考。
另:如果哪位发现新变种的新症状,请跟贴写出来。
症状1、系统安装在C盘的,用WINRAR可以看到磁碟机病毒释放的文件(目前为止,磁碟机病毒主体文件名及其路径是固定的):
C:\037589.log
C:\windows\system32\205016.log(这个.log文件名的数字部分可能有变化)
C:\windows\system32\com\LSASS.EXE
C:\windows\system32\com\SMSS.EXE
C:\windows\system32\com\netcfg.000
C:\windows\system32\com\netcfg.dll
C:\windows\system32\dnsq.dll(动态插入应用程序进程)
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe
C:\Documents and Settings\当前用户名\「开始」菜单\程序\启动\~.exe
各分区根目录下还会有:
autorun.inf和pagefile.pif
症状2、感染磁碟机后,IceSword、SRENG等常用工具不能正常运行。
[用户系统信息]Opera/9.26 (Windows NT 5.1; U; zh-cn)
爱在早春 - 2008-3-18 9:29:00
基本在所有网页的右下角和顶部都有例如QQ送百万币、QQ送六位靓号、最新QQ消息等垃圾骚扰广告。。。这个是不是磁碟机病毒引起的?快被他烦到想自杀了。截图如下:
菲科 - 2008-3-18 9:40:00
文章不错,学习
sako - 2008-3-18 10:15:00
猫叔,置顶吧,要不求助贴来了就沉了
baohe - 2008-3-18 10:23:00
| 引用: |
【sako的贴子】猫叔,置顶吧,要不求助贴来了就沉了
……………… |
汗!
无法置顶(目前我还没此板块的这个操作权限)。
sako - 2008-3-18 10:32:00
汗汗~那猫叔明天速度置顶!!!!
9527* - 2008-3-18 14:36:00
有点意思.哈哈.
tangfei - 2008-3-18 15:24:00
我的一些文件也消失了,有办法找回吗?
中分 - 2008-3-18 16:40:00
有你的地方就有我们学习的身影呀。呵呵。。
BAGGIO·18 - 2008-3-18 21:41:00
.....慢慢学习吧。。 反正看的是挺朦胧。。。哈
koako - 2008-3-19 2:11:00
中毒计算机可能出现以下一种或多种异常现象:
1、系统运行缓慢、频繁出现死机、蓝屏、报错等现象;
2、进程中出现两个lsass.exe和两个smss.exe,且病毒进程的用户名是当前登陆用户名;
3、杀毒软件被破坏,无法正常开启,多种安全辅助工具无法正常开启;
4、系统时间被篡改;
5、病毒感染.exe文件导致其图标发生变化;
6、无法进入安全模式;
7、隐藏文件无法显示;
8、组策略被破坏。
koako - 2008-3-19 2:11:00
磁碟机病毒传播途径 (转载)
1.U盘/移动硬盘/数码存储卡传播
2.各种木马下载器之间相互传播
3.通过恶意网站下载
4.通过感染文件传播
5.通过内网ARP攻击传播
terease - 2008-3-19 12:01:00
请问瑞星在线杀毒可以解决吗?还是说必需要光盘才能杀?
小哥々 - 2008-3-19 17:43:00
这个病毒有什么危险
咖啡~回味 - 2008-3-20 12:31:00
反正大家记住,以后中了病毒,先不管它是什么病毒,一定要赶快断网,拔掉网线、关掉小猫都可以。
咖啡~回味 - 2008-3-20 12:31:00
尽量在断网状态下查杀。
lonsnalaolo - 2008-3-20 17:07:00
(转载)典型磁碟机破坏的表现:
1.注册全局HOOK,扫描含有常用安全软件关键字的程序窗口,发送大量消息,致使安全软件崩溃
2.破坏文件夹选项,使用户不能查看隐藏文件
3.删除注册表中关于安全模式的值,防止启动到安全模式
4.创建驱动,保护自身。该驱动可实现开机删除自身,关机创建延迟重启的项目实现自动加载。
5.修改注册表,令组策略中的软件限制策略不可用。
6.不停扫描并删除安全软件的注册键值,防止安全软件开机启动。
7.在各磁盘创建autorun.inf和pagefile.pif,利用双击磁盘或插入移动设备时自动运行功能传播。
8.将注册表的整个 RUN 项及其子键全部删除,阻止安全软件自动加载
9.释放多个病毒执行程序,完成更多任务
10.病毒通过重启重命名方式加载,位于注册表HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\BackupRestore\KeysNotToRestore下的Pending RenameOperations字串。
11.感染除system32目录外的其它EXE文件(病毒感染行为不断进化,从感染其它分区到感染系统分区),最特别的是病毒还会解包RAR文件,感染其中的EXE之后,再打包成RAR。
12.下载大量木马到本地运行,用户最终受损情况,决定于这些木马的行为。
恋爱幼儿园 - 2008-3-20 17:42:00
学习了~
小企鹅S - 2008-3-20 21:07:00
他敢在我的电脑里放这个!
敢放我就灭了他!
备注:我已禁止任何人在系统目录下添加文件。
QQ新手 - 2008-3-20 22:37:00
幸好我没遇上过.
嫦娥Z号 - 2008-3-22 9:25:00
这个病毒谁整的啊?可恶!
阿会方方 - 2008-3-22 13:56:00
我的电脑中了磁碟病毒,但是好象是个最新的变种的,现在在进程中看不到 C:\037589.log
C:\windows\system32\205016.log(这个.log文件名的数字部分可能有变化)
C:\windows\system32\com\LSASS.EXE
C:\windows\system32\com\SMSS.EXE
C:\windows\system32\com\netcfg.000
C:\windows\system32\com\netcfg.dll
C:\windows\system32\dnsq.dll(动态插入应用程序进程)
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe
C:\Documents and Settings\当前用户名\「开始」菜单\程序\启动\~.exe
各分区根目录下还会有:
autorun.inf和pagefile.pif
这些地方没这些文件
但是症状是对的,杀毒的软件都被关了,专杀没查到,ICESWORD不能用,怎么办啊!!!
baohe - 2008-3-23 9:01:00
| 引用: |
【阿会方方的贴子】我的电脑中了磁碟病毒,但是好象是个最新的变种的,现在在进程中看不到 C:\037589.log
C:\windows\system32\205016.log(这个.log文件名的数字部分可能有变化)
C:\windows\system32\com\LSASS.EXE
C:\windows\system32\com\SMSS.EXE
C:\windows\system32\com\netcfg.000
C:\windows\system32\com\netcfg.dll
C:\windows\system32\dnsq.dll(动态插入应用程序进程)
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe
C:\Documents and Settings\当前用户名\「开始」菜单\程序\启动\~.exe
各分区根目录下还会有:
autorun.inf和pagefile.pif
这些地方没这些文件
但是症状是对的,杀毒的软件都被关了,专杀没查到,ICESWORD不能用,怎么办啊!!!
……………… |
看不到我说的那些文件,你中的就不是磁碟机。
至于导致“杀毒的软件都被关了,专杀没查到,ICESWORD不能用”一类的病毒————多了去了。
建议:将SRENG.exe改名为123.exe运行,扫份完整的SRENG日志发上来看看。
囿客串圊 - 2008-3-23 23:26:00
中毒计算机可能出现以下一种或多种异常现象:
1、系统运行缓慢、频繁出现死机、蓝屏、报错等现象;
2、进程中出现两个lsass.exe和两个smss.exe,且病毒进程的用户名是当前登陆用户名;
3、杀毒软件被破坏,无法正常开启,多种安全辅助工具无法正常开启;
4、系统时间被篡改;
5、病毒感染.exe文件导致其图标发生变化;
6、无法进入安全模式;
7、隐藏文件无法显示;
8、组策略被破坏。
看了上面的情况我的之符合第三点,
3、杀毒软件被破坏,无法正常开启,
多种安全辅助工具无法正常开启;
我不知道我是否中了“磁碟机”
高手解答下~~ 谢谢~
baohe - 2008-3-24 8:51:00
| 引用: |
【囿客串圊的贴子】中毒计算机可能出现以下一种或多种异常现象:
1、系统运行缓慢、频繁出现死机、蓝屏、报错等现象;
2、进程中出现两个lsass.exe和两个smss.exe,且病毒进程的用户名是当前登陆用户名;
3、杀毒软件被破坏,无法正常开启,多种安全辅助工具无法正常开启;
4、系统时间被篡改;
5、病毒感染.exe文件导致其图标发生变化;
6、无法进入安全模式;
7、隐藏文件无法显示;
8、组策略被破坏。
看了上面的情况我的之符合第三点,
3、杀毒软件被破坏,无法正常开启,
多种安全辅助工具无法正常开启;
我不知道我是否中了“磁碟机”
高手解答下~~ 谢谢~
……………… |
不是磁碟机
蓝小米 - 2008-3-24 10:29:00
| 引用: |
【阿会方方的贴子】我的电脑中了磁碟病毒,但是好象是个最新的变种的,现在在进程中看不到 C:\037589.log
C:\windows\system32\205016.log(这个.log文件名的数字部分可能有变化)
C:\windows\system32\com\LSASS.EXE
C:\windows\system32\com\SMSS.EXE
C:\windows\system32\com\netcfg.000
C:\windows\system32\com\netcfg.dll
C:\windows\system32\dnsq.dll(动态插入应用程序进程)
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe
C:\Documents and Settings\当前用户名\「开始」菜单\程序\启动\~.exe
各分区根目录下还会有:
autorun.inf和pagefile.pif
这些地方没这些文件
但是症状是对的,杀毒的软件都被关了,专杀没查到,ICESWORD不能用,怎么办啊!!!
……………… |
我这的现象与你也大致相同,想卸掉原来的杀毒软件,硬是卸不了,还是进不了安全模式,蓝屏......咋办呀???
疯狂┍鱼儿 - 2008-3-24 15:36:00
露琪亚 - 2008-3-26 21:37:00
C:\windows\system32\205016.log(这个.log文件名的数字部分可能有变化)
C:\windows\system32\com\LSASS.EXE
C:\windows\system32\com\SMSS.EXE
C:\windows\system32\com\netcfg.000
C:\windows\system32\com\netcfg.dll
C:\windows\system32\dnsq.dll(动态插入应用程序进程)
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe
C:\Documents and Settings\当前用户名\「开始」菜单\程序\启动\~.exe
各分区根目录下还会有:
autorun.inf和pagefile.pif
这些目录下的文件都没有,但在我装的绘声绘影里找到两个文件名为autorun的文件,杀毒软件也无法启动,专杀软件也查不出病毒来,电脑里却显示中了木马,这样是不是中了磁碟机呢?高人请指教一下吧~
爱像一阵风520 - 2008-3-28 14:24:00
还有就是所有的杀毒软件都不能用....还有重装系统都不行>>>>只有底格
© 2000 - 2026 Rising Corp. Ltd.
