瑞星卡卡安全论坛
baohe - 2008-3-18 12:08:00
1、先运行附件中的“磁碟机瘫痪工具”csrss.exe(见附图)
2、磁碟机被这个csrss.exe瘫痪后,IceSword等工具已可正常使用。用IceSword或WINRAR找到并删除系统分区的下列病毒文件(这是常见的系统装在C分区的病毒文件位置;系统装在其它分区者请注意自己的系统盘符):
C:\037589.log
C:\windows\system32\205016.log(这个.log文件名的数字部分可能有变化)
C:\windows\system32\com\LSASS.EXE
C:\windows\system32\com\SMSS.EXE
C:\windows\system32\com\netcfg.000
C:\windows\system32\com\netcfg.dll
C:\windows\system32\dnsq.dll(动态插入应用程序进程)
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe
C:\Documents and Settings\当前用户名\「开始」菜单\程序\启动\~.exe
各分区根目录下的:
autorun.inf和pagefile.pif
3、用专杀或升级杀软病毒库后查杀非系统分区的被感染文件。
附件已随FlowerCode更新。再次感谢FlowerCode对本社区的支持!哪位有更好的妙招,欢迎贡献出来,与大家分享。[用户系统信息]Opera/9.26 (Windows NT 5.1; U; zh-cn)附件:
1558472008318163102.rar
baohe - 2008-3-18 12:09:00
天月来了 - 2008-3-18 16:12:00
这来看的所有求助者必须注意了
所有涉及的工具和杀毒软件,都必须是在系统分区中,包括下载的专杀都必须是放在系统分区中使用。
如果在运行这个“磁碟机瘫痪工具”前将相关工具下载在非系统分区,很可能会被病毒感染。
切记,安装在非系统分区的杀毒软件最好放弃使用。
目前可以临时下载江民和金山的免费30天的杀毒软件安装升级后全盘杀毒。
或者这里下载国外的一个绿色的免安装的杀毒软件试全盘杀毒。
下载Dr.Web CureIt 到系统分区里, 全盘扫描。
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe 或
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe不过这次的任何杀毒软件的全盘杀毒,都有可能删除不能清除感染的文件,所以有重要文件的电脑,要谨慎杀毒。
FlowerCode - 2008-3-18 16:35:00
非常感谢 baohe 大版主对我的程序的支持。 ^_^
程序已更新至 Build 171,可清除 17 日变种,欢迎参与测试。
baohe - 2008-3-18 16:38:00
| 引用: |
【FlowerCode的贴子】非常感谢 baohe 大版主对我的程序的支持。 ^_^
程序已更新至 Build 171,可清除 17 日变种,欢迎参与测试。
……………… |
喂!老大!
谢谢你的工具撒~~
不过,你那个网站我进不去啊。
发个过来,行不?
先代网友们谢谢您了
FlowerCode - 2008-3-18 16:38:00
另外此程序成功执行后(即弹出操作完毕的提示后)以下文件均已被自动删除:
C:\windows\system32\com\LSASS.EXE
C:\windows\system32\com\SMSS.EXE
C:\windows\system32\com\netcfg.000
C:\windows\system32\com\netcfg.dll
C:\windows\system32\dnsq.dll
这个“C”是指系统盘符,动态获取的。
此程序还会自动搜索各分区根目录下的 autorun.inf 和 pagefile.pif 并删除,并删除 All Users 启动文件夹中所有 exe 文件,以免病毒复活。
FlowerCode - 2008-3-18 16:39:00
| 引用: |
【FlowerCode的贴子】非常感谢 baohe 大版主对我的程序的支持。 ^_^
程序已更新至 Build 171,可清除 17 日变种,欢迎参与测试。
……………… |
我以后更新后都会在卡卡上这帖更新的:
http://forum.ikaka.com/topic.asp?board=28&artid=8436148
友好人士 - 2008-3-19 0:44:00
已经许久没见高手现身卡卡了,FlowerCode大侠好样的
神龙飞天 - 2008-3-19 1:06:00
| 引用: |
【baohe的贴子】
喂!老大!
谢谢你的工具撒~~
不过,你那个网站我进不去啊。
发个过来,行不?
先代网友们谢谢您了
……………… |
那个网站是www.0ginr.com,那个0是数字0
FlowerCode - 2008-3-19 8:43:00
| 引用: |
【友好人士的贴子】已经许久没见高手现身卡卡了,FlowerCode大侠好样的
……………… |
很久很久以前(想想大约是 2000 年左右)在这注册过,那时候还不叫卡卡社区。
后来论坛改版了几次,帐号被删除了。
FlowerCode - 2008-3-19 16:58:00
磁碟机新版今天发布。
Worm.DiskGen 自动化瘫痪程序 Build 171 在不升级的情况下继续完美瘫痪 3 月 19 日版磁碟机。
孑弋 - 2008-3-19 22:24:00
把非系统区格了行不行?
baohe - 2008-3-19 22:34:00
| 引用: |
【孑弋的贴子】把非系统区格了行不行?
……………… |
如果你的非系统分区没有重要文件,当然可以。
孑弋 - 2008-3-19 23:29:00
| 引用: |
【baohe的贴子】
如果你的非系统分区没有重要文件,当然可以。
……………… |
好的,谢谢.
刚刚格完
孑弋 - 2008-3-20 12:43:00
但是我发现格了以后还有smss和lsass这两个进程,会不会还有问题?
孑弋 - 2008-3-20 12:47:00
昨天我恢复了系统到出厂设置,然后格了C盘,然后我用专杀工具杀了3次,第三次没找到病毒,然后我手动把非系统盘格了,但是我发现格了以后还有smss和lsass这两个进程,会不会还有问题?
请指教.....
koako - 2008-3-20 19:57:00
【回复“孑弋”的帖子】
lsass.exe smss.exe也有可能是系统进程
要是同时有两个lsass.exe和两个smss.exe,再怀疑是磁碟机不迟
baohe - 2008-3-20 21:55:00
| 引用: |
【孑弋的贴子】但是我发现格了以后还有smss和lsass这两个进程,会不会还有问题?
……………… |
注意常识性问题:
进程,不能仅看程序名,还要看路径。
安装在C盘的系统进程:
C:\windows\system32\lsass.exe
C:\windows\system32\smss.exe
磁碟机进程:
C:\windows\system32\Com\lsass.exe
C:\windows\system32\Com\smss.exe
看进程,不要用系统自带的那个进程管理器(很垃圾)。
用IceSword看进程。
sako - 2008-3-21 6:38:00
叔,没给人家地址吧
冰刃1.22地址:http://www.onlinedown.net/soft/53325.htm
FlowerCode - 2008-3-21 8:40:00
| 引用: |
【baohe的贴子】
注意常识性问题:
进程,不能仅看程序名,还要看路径。
安装在C盘的系统进程:
C:\windows\system32\lsass.exe
C:\windows\system32\smss.exe
磁碟机进程:
C:\windows\system32\Com\lsass.exe
C:\windows\system32\Com\smss.exe
看进程,不要用系统自带的那个进程管理器(很垃圾)。
用IceSword看进程。
……………… |
看来 IceSword 已经沦落到任务管理器的地步了……
sako - 2008-3-21 9:57:00
的确,现在的ice已经不比当年,但还是可以耍的
嘻嘻,偶还在用
FlowerCode - 2008-3-21 10:15:00
| 引用: |
【sako的贴子】的确,现在的ice已经不比当年,但还是可以耍的
嘻嘻,偶还在用
……………… |
呵,就不知道我那新玩意啥时候能写出来,作为实用化的安全辅助工具。这样就不必让 IceSword 这类 ARK 总是“兼职”了。
Kevin997 - 2008-3-21 16:40:00
老大,小弟紧急求助,我的情况如下,很怀疑是磁碟机的变种.
进入XP后桌面空白,只能呼唤任务管理器,刚呼唤没有任何问题,可以进行关机操作,一旦点击进程会发现进程数瞬间增加至卡死,最终出现VC++提示框,内容为"进程lsass.exe无法正常关闭,如要关闭,请XXX".
可怕的是进安全模式也是如此,向各位大侠求助
恶心的是我现在不能进系统和安全模式
baohe - 2008-3-21 17:09:00
| 引用: |
【Kevin997的贴子】老大,小弟紧急求助,我的情况如下,很怀疑是磁碟机的变种.
进入XP后桌面空白,只能呼唤任务管理器,刚呼唤没有任何问题,可以进行关机操作,一旦点击进程会发现进程数瞬间增加至卡死,最终出现VC++提示框,内容为"进程lsass.exe无法正常关闭,如要关闭,请XXX".
可怕的是进安全模式也是如此,向各位大侠求助
恶心的是我现在不能进系统和安全模式
……………… |
请用WINRAR查看系统分区有无本贴说的那些文件。
如果有,按本帖叙述的流程处理即可。
马晓坤 - 2008-3-21 20:23:00
唉,你们怎么都中毒啦?我为什么老想中毒却老中不了呢!
我是008 - 2008-3-21 20:27:00
这个病毒在3月6号左右就已经出来,我是我们办公室第二个中招者,为了处理第一个中招者的电脑被感染了,后来把硬盘全部重新分区了,重新安装的系统。
妖吉 - 2008-3-21 22:44:00
看了一下关于IceSword的介绍,功能强大之余对用户的系统知识要求也蛮高的说~~~小的心里有点怕怕的啊
就连啥米是“内核调试器(如softice)”,都不知道啊
有没有图解的设置教程啊???
小的跟着学习学习应该可以吧~~
scxxxo - 2008-3-23 14:03:00
我的机器中招了 5555 360 不好使一杀重启就死机卡巴也杀不了
今儿回去试下各位大哥 给的招数~ 看好用不~
nedvedkk - 2008-3-23 19:44:00
版主,我的瑞星部分监控被强制关闭,不能应用,任务管理器中只有一个lsass.exe和smss.exe,用专杀杀不出毒,用Winrar查看C:\windows\system32\com,里面有个新生成的mfc42.dll文件夹,删不掉,请问版主这是不是中了磁碟机,若不是那瑞星的部分监控怎么无法启动,谢谢!
23的终结 - 2008-3-23 22:16:00
【回复“baohe”的帖子】
1.2版的查杀,显示没有病毒,但是那些病毒依然没杀掉,这怎么办?
© 2000 - 2026 Rising Corp. Ltd.