“磁碟机”病毒已经成为近期各大反病毒论坛求助量最大的问题之一，中毒计算机可能出现以下一种或多种异常现象：
1、系统运行缓慢、频繁出现死机、蓝屏、报错等现象；
2、进程中出现两个lsass.exe和两个smss.exe，且病毒进程的用户名是当前登陆用户名；
3、杀毒软件被破坏，无法正常开启，多种安全辅助工具无法正常开启；
4、系统时间被篡改；
5、病毒感染.exe文件导致其图标发生变化；
6、无法进入安全模式；
7、隐藏文件无法显示；
8、组策略被破坏。

应对策略如下：

[初级用户] 使用“磁碟机”专杀工具处理
下载地址：http://download.rising.com.cn/zsgj/ravDiskGen.exe

优化版“磁碟机”专杀工具（推荐使用）
下载地址：http://forum.ikaka.com/topic.asp?board=109&artid=8436751

<使用前必读>
1、务必事先断开网络，最简单的方法是拔掉网线或禁用网卡；关闭已启动的其他应用程序；
2、判断专杀工具本身是否已被感染（见附图），通过对比不难发现染毒文件的图标明显发生变化，属性中缺少“版本”标签，文件大小也比正常的大；
3、第一次运行专杀工具查杀时，如果专杀发现计算机感染有磁碟机病毒，会提示重启计算机，选择重启后立即打开专杀工具进行第二次查杀；
4、如查杀过程中出现异常（如专杀工具自动关闭、异常报错、电脑重启、发现病毒提示清除失败等），无需理会，重启后用专杀工具重新进行杀毒即可；
5、专杀工具查杀不到病毒后，请修复或重新安装本机的杀毒软件、防火墙；
6、杀毒软件正常运行后需立即升级，再使用最新版本的杀毒软件在断网情况下全盘扫描（一定要全盘扫描，不要只查杀C盘！）；
7、如操作中遇到任何问题，请在反病毒论坛内发帖求助，标题注明“磁碟机病毒咨询”，以便问题尽快解决。
8、如果发现1.3专杀运行后即提示发现磁碟机，需要重启，重启后再次运行专杀工具仍有此提示。这是因为本地硬盘任意分区根目录下存在免疫文件夹autorun.inf和c:\windows\system32\中生成了dnsq.dll文件夹，且无法删除导致的，可以将每个分区根目录下的autorun.inf和c:\windows\system32\中生成了dnsq.dll文件夹进行改名后再运行专杀

[高级用户]可参考以下手工处理方法：

1、猫叔的《菜鸟也能灭掉“磁碟机”》
http://forum.ikaka.com/topic.asp?board=28&artid=8427464

2、清新阳光的《利用瑞星主动防御碾死"磁碟机"新变种(pagefile.pif,lsass.exe.smss.exe)》
http://forum.ikaka.com/topic.asp?board=28&artid=8413635

3、使用XDelBox删除病毒文件（仅限操作系统安装在C:\Windows目录）
XDelBox使用方法：http://forum.ikaka.com/topic.asp?board=28&artid=8381032
使用时一定拔掉所有移动存储设备，将下面分隔线中的的文件路径全部复制，然后打开XDelBox直接使用右键菜单的“剪贴板导入不检查路径”导入，勾选“抑制再生”、“驱动安全删除模式”、“备份文件”，最后选择右键菜单的“立刻重启删除”。
———————————————————————————————————————
C:\WINDOWS\system32\Com\LSASS.EXE
C:\WINDOWS\system32\Com\netcfg.000
C:\WINDOWS\system32\Com\netcfg.dll
C:\WINDOWS\system32\Com\SMSS.EXE
C:\WINDOWS\system32\dnsq.dll
C:\037589.log
———————————————————————————————————————
重启计算机后会看到一个请选择要启动的操作系统的提示，倒计时5秒，
第一个选项是你自己的Windows系统，
第二个选项是XDelBox的Go XDelBox To Del Files，
默认自动选择第二项，会进入类似DOS的界面，这期间什么操作都不用做，等待它自动运行即可，
待病毒文件删除后会自动重启回到Windows系统，
此时不要双击或右键单击打开任何分区，用冰刃删除每个分区下的autorun.inf和pagefile.pif
最后升级杀毒软件到最新版，全盘杀毒。
———————————————————————————————————————

常用工具下载：
XDelBox下载：
http://www.dodudou.com/down/    打开后选择【原创软件】，下载“XDELBOX 磁碟机专用测试版”

冰刃下载：http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip

windows清理助手下载：http://www.arswp.com/download.html

修复被破坏的“隐藏受保护的操作系统文件（推荐）”选项：
http://img.namipan.com/downfile/16da398cfcdf2ddffad9c580c3f94f13656e29038e020000/%E9%9A%90%E8%97%8F%E5%8F%97%E4%BF%9D%E6%8A%A4%E7%9A%84%E6%93%8D%E4%BD%9C%E7%B3%BB%E7%BB%9F%E6%96%87%E4%BB%B6.zip

清理临时文件工具ATF-Cleaner-cn下载：
http://img.namipan.com/downfile/40e62f751ebd7f3e378fc6247a66b25dc428dbbc3fcd0000/ATF-Cleaner-cn.zip

IframeKill下载：（快速清除网页文件中的恶意代码）
http://img.namipan.com/downfile/00e5b209abc5ced57d8136dad2390f2329c884dac24f0300/IframeKill.zip

学习

楼主有没有试过23号和25号的变种?你所说的方法是清理不了的..得改变一下战术了.修改几个权限后才可以.

有样本吗？发到huoxigkal@126.com，谢谢

我的电脑就是这样的啊

引用:

【千寻旅的贴子】有样本吗？发到huoxigkal@126.com，谢谢 ………………

已经发悄悄话告诉你了.

引用:

【没有梦想的男人的贴子】楼主有没有试过23号和25号的变种?你所说的方法是清理不了的..得改变一下战术了.修改几个权限后才可以. ………………

有新变种了？麻烦发给我吧 newcenturymoon1986@yahoo.com.cn  加密123

引用:

【newcenturymoon的贴子】 有新变种了？麻烦发给我吧 newcenturymoon1986@yahoo.com.cn  加密123 ………………

哪里有新的变种，哪里就有清新阳光

2楼说的是修改啥权限？

把以下文件或者文件夹的administrators权限改为拒绝然后运行磁碟机专杀就可以清理病毒.
C:\WINDOWS\system32\Com
C:\WINDOWS\system32\cacls.exe
清理完后恢复权限
把C:\WINDOWS\system32\Com下的
C:\WINDOWS\system32\Com\lsass.exe
C:\WINDOWS\system32\Com\netcfg.000
C:\WINDOWS\system32\Com\netcfg.dll
C:\WINDOWS\system32\Com\smss.exe
病毒文件清理掉.然后修复杀毒软件全盘扫描清理余下的压缩文件.rar.zip还有htm.html.
修复工作就不多说了.跟以前一样.

阳光样本发给你了.

那是NTFS下的操作

FAT的呢？？？