卡卡网上网安全助手软件 瑞星知道 文件诊所 软件吧 网站吧 安全论坛 个人空间 瑞星网

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 磁碟机症状、解决方法大全(最新更新42楼 )

12345678»   1  /  9  页   跳转

磁碟机症状、解决方法大全(最新更新42楼 )

收藏
本主题由 版主 天月来了 于 2009-4-9 18:07:10 执行 关闭主题/取消 操作
千寻旅
头像
社区嘉宾
  • 帖子:2910
  • 注册: 2007-08-17
  • 来自:
发表于: 2008-02-26 12:22 | 只看楼主 短消息 资料
字号: 1楼

磁碟机症状、解决方法大全(最新更新42楼 )

“磁碟机”病毒已经成为近期各大反病毒论坛求助量最大的问题之一,中毒计算机可能出现以下一种或多种异常现象:
1、系统运行缓慢、频繁出现死机、蓝屏、报错等现象;
2、进程中出现两个lsass.exe和两个smss.exe,且病毒进程的用户名是当前登陆用户名;
3、杀毒软件被破坏,无法正常开启,多种安全辅助工具无法正常开启;
4、系统时间被篡改;
5、病毒感染.exe文件导致其图标发生变化;
6、无法进入安全模式;
7、隐藏文件无法显示;
8、组策略被破坏。

应对策略如下:

[初级用户] 使用“磁碟机”专杀工具处理
下载地址:http://download.rising.com.cn/zsgj/ravDiskGen.exe

优化版“磁碟机”专杀工具(推荐使用)
下载地址:http://forum.ikaka.com/topic.asp?board=109&artid=8436751

<使用前必读>
1、务必事先断开网络,最简单的方法是拔掉网线或禁用网卡;关闭已启动的其他应用程序;
2、判断专杀工具本身是否已被感染(见附图),通过对比不难发现染毒文件的图标明显发生变化,属性中缺少“版本”标签,文件大小也比正常的大;
3、第一次运行专杀工具查杀时,如果专杀发现计算机感染有磁碟机病毒,会提示重启计算机,选择重启后立即打开专杀工具进行第二次查杀;
4、如查杀过程中出现异常(如专杀工具自动关闭、异常报错、电脑重启、发现病毒提示清除失败等),无需理会,重启后用专杀工具重新进行杀毒即可;
5、专杀工具查杀不到病毒后,请修复或重新安装本机的杀毒软件、防火墙;
6、杀毒软件正常运行后需立即升级,再使用最新版本的杀毒软件在断网情况下全盘扫描(一定要全盘扫描,不要只查杀C盘!);
7、如操作中遇到任何问题,请在反病毒论坛内发帖求助,标题注明“磁碟机病毒咨询”,以便问题尽快解决。
8、如果发现1.3专杀运行后即提示发现磁碟机,需要重启,重启后再次运行专杀工具仍有此提示。这是因为本地硬盘任意分区根目录下存在免疫文件夹autorun.inf和c:\windows\system32\中生成了dnsq.dll文件夹,且无法删除导致的,可以将每个分区根目录下的autorun.inf和c:\windows\system32\中生成了dnsq.dll文件夹进行改名后再运行专杀

[高级用户]可参考以下手工处理方法:

1、猫叔的《菜鸟也能灭掉“磁碟机”》
http://forum.ikaka.com/topic.asp?board=28&artid=8427464

2、清新阳光的《利用瑞星主动防御碾死"磁碟机"新变种(pagefile.pif,lsass.exe.smss.exe)》
http://forum.ikaka.com/topic.asp?board=28&artid=8413635

3、使用XDelBox删除病毒文件(仅限操作系统安装在C:\Windows目录)
XDelBox使用方法:http://forum.ikaka.com/topic.asp?board=28&artid=8381032
使用时一定拔掉所有移动存储设备,将下面分隔线中的的文件路径全部复制,然后打开XDelBox直接使用右键菜单的“剪贴板导入不检查路径”导入,勾选“抑制再生”、“驱动安全删除模式”、“备份文件”,最后选择右键菜单的“立刻重启删除”。
———————————————————————————————————————
C:\WINDOWS\system32\Com\LSASS.EXE
C:\WINDOWS\system32\Com\netcfg.000
C:\WINDOWS\system32\Com\netcfg.dll
C:\WINDOWS\system32\Com\SMSS.EXE
C:\WINDOWS\system32\dnsq.dll
C:\037589.log
———————————————————————————————————————
重启计算机后会看到一个请选择要启动的操作系统的提示,倒计时5秒,
第一个选项是你自己的Windows系统,
第二个选项是XDelBox的Go XDelBox To Del Files,
默认自动选择第二项,会进入类似DOS的界面,这期间什么操作都不用做,等待它自动运行即可,
待病毒文件删除后会自动重启回到Windows系统,
此时不要双击或右键单击打开任何分区,用冰刃删除每个分区下的autorun.inf和pagefile.pif
最后升级杀毒软件到最新版,全盘杀毒。
———————————————————————————————————————

常用工具下载:
XDelBox下载:
http://www.dodudou.com/down/    打开后选择【原创软件】,下载“XDELBOX 磁碟机专用测试版”

冰刃下载:http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip

windows清理助手下载:http://www.arswp.com/download.html

修复被破坏的“隐藏受保护的操作系统文件(推荐)”选项:
http://img.namipan.com/downfile/16da398cfcdf2ddffad9c580c3f94f13656e29038e020000/%E9%9A%90%E8%97%8F%E5%8F%97%E4%BF%9D%E6%8A%A4%E7%9A%84%E6%93%8D%E4%BD%9C%E7%B3%BB%E7%BB%9F%E6%96%87%E4%BB%B6.zip

清理临时文件工具ATF-Cleaner-cn下载:
http://img.namipan.com/downfile/40e62f751ebd7f3e378fc6247a66b25dc428dbbc3fcd0000/ATF-Cleaner-cn.zip

IframeKill下载:(快速清除网页文件中的恶意代码)
http://img.namipan.com/downfile/00e5b209abc5ced57d8136dad2390f2329c884dac24f0300/IframeKill.zip

附件附件:

下载次数:5602
文件类型:image/pjpeg
文件大小:
上传时间:2008-2-26 12:22:29
描述:
预览信息:EXIF信息



最后编辑2008-04-13 19:14:46
gototop
 
大连蓝天
头像
社区嘉宾
  • 帖子:20095
  • 注册: 2004-02-17
  • 来自:
发表于: 2008-02-26 12:35 | 短消息 资料
字号: 2楼

学习
gototop
 
没有梦想的男人
头像
锋芒艾服狮
  • 帖子:1680
  • 注册: 2007-07-07
  • 来自:
发表于: 2008-02-26 12:52 | 短消息 资料
字号: 3楼

楼主有没有试过23号和25号的变种?你所说的方法是清理不了的..得改变一下战术了.修改几个权限后才可以.
gototop
 
千寻旅
头像
社区嘉宾
  • 帖子:2910
  • 注册: 2007-08-17
  • 来自:
发表于: 2008-02-26 14:08 | 只看楼主 短消息 资料
字号: 4楼

有样本吗?发到huoxigkal@126.com,谢谢
gototop
 
快乐龙宝宝
头像
卡卡巡查
  • 帖子:8995
  • 注册: 2008-02-22
  • 来自:
论坛8周年活动礼物六一活动礼物
发表于: 2008-02-26 14:19 | 短消息 资料
字号: 5楼

我的电脑就是这样的啊
gototop
 
没有梦想的男人
头像
锋芒艾服狮
  • 帖子:1680
  • 注册: 2007-07-07
  • 来自:
发表于: 2008-02-26 14:53 | 短消息 资料
字号: 6楼

引用:
【千寻旅的贴子】有样本吗?发到huoxigkal@126.com,谢谢
………………

已经发悄悄话告诉你了.
gototop
 
newcenturymoon
头像
卡卡技术团队
  • 帖子:13405
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物
发表于: 2008-02-26 16:33 | 短消息 资料
字号: 7楼

引用:
【没有梦想的男人的贴子】楼主有没有试过23号和25号的变种?你所说的方法是清理不了的..得改变一下战术了.修改几个权限后才可以.
………………

有新变种了?麻烦发给我吧 newcenturymoon1986@yahoo.com.cn  加密123
gototop
 
lqqk7
头像
大版主
  • 帖子:4446
  • 注册: 2006-03-15
  • 来自:猫窝
发表于: 2008-02-26 16:38 | 短消息 资料
字号: 8楼

引用:
【newcenturymoon的贴子】
有新变种了?麻烦发给我吧 newcenturymoon1986@yahoo.com.cn  加密123
………………

哪里有新的变种,哪里就有清新阳光

2楼说的是修改啥权限?
gototop
 
没有梦想的男人
头像
锋芒艾服狮
  • 帖子:1680
  • 注册: 2007-07-07
  • 来自:
发表于: 2008-02-26 17:31 | 短消息 资料
字号: 9楼

把以下文件或者文件夹的administrators权限改为拒绝然后运行磁碟机专杀就可以清理病毒.
C:\WINDOWS\system32\Com
C:\WINDOWS\system32\cacls.exe
清理完后恢复权限
把C:\WINDOWS\system32\Com下的
C:\WINDOWS\system32\Com\lsass.exe
C:\WINDOWS\system32\Com\netcfg.000
C:\WINDOWS\system32\Com\netcfg.dll
C:\WINDOWS\system32\Com\smss.exe
病毒文件清理掉.然后修复杀毒软件全盘扫描清理余下的压缩文件.rar.zip还有htm.html.
修复工作就不多说了.跟以前一样.

阳光样本发给你了.
gototop
 
天月来了
头像
版主
  • 帖子:40938
  • 注册: 2007-02-06
  • 来自:
年度优秀版主奖论坛8周年活动礼物
发表于: 2008-02-26 17:40 | 短消息 资料
字号: 10楼

那是NTFS下的操作

FAT的呢???
gototop
 
<<上一主题|下一主题>>
12345678»   1  /  9  页   跳转
页面顶部
Powered by Discuz!NT