瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 (转载)磁碟机病毒的详细处理方法

12   2  /  2  页   跳转

(转载)磁碟机病毒的详细处理方法

收藏
千寻旅
头像
社区嘉宾
  • 帖子:2910
  • 注册: 2007-08-17
  • 来自:
发表于: 2008-03-18 13:51 | 只看楼主 短消息 资料
字号: 11楼

这样,我们就防止了病毒在dnsq.dll被禁止访问之后可能出现的新建大量命令行进程的情况。实际上,病毒还会绕过cmd.exe而直接调用cacls.exe更改权限,但是更改无效,而且进程数也较少,如果你愿意,还可以对cacls.exe做同样的处理,这样,病毒即使察觉到dnsq.dll被禁,也只能束手待毙了。

下面开始正式对付dnsq.dll这个文件。首先,我们要找到这个文件——这个文件通常是有隐藏和系统属性,默认情况下在资源管理器中不显示。而且这个病毒还会通过修改注册表设置,使得无法通过修改资源管理器的设置来显示隐藏文件和系统文件。要了解关于隐藏和现实文件的细节,请访问这里。现在,我们采用更直接的方法:
在命令行窗口中输入attrib %systemroot%\system32\dnsq.dll -s -h,然后回车。系统应该不显示任何提示,命令执行成功。此时,打开资源管理器,应该就可以找到dnsq.dll这个文件了。

附件附件:

下载次数:176
文件类型:application/octet-stream
文件大小:
上传时间:2008-3-18 13:51:47
描述:
gototop
 
千寻旅
头像
社区嘉宾
  • 帖子:2910
  • 注册: 2007-08-17
  • 来自:
发表于: 2008-03-18 13:52 | 只看楼主 短消息 资料
字号: 12楼

在资源管理器中右击dnsq.dll这个文件,选择属性。应该出现下图所示的“dnsq.dll属性”对话框。

附件附件:

下载次数:181
文件类型:application/octet-stream
文件大小:
上传时间:2008-3-18 13:52:37
描述:
gototop
 
千寻旅
头像
社区嘉宾
  • 帖子:2910
  • 注册: 2007-08-17
  • 来自:
发表于: 2008-03-18 13:53 | 只看楼主 短消息 资料
字号: 13楼

在dnsq.dll属性对话框中,单击“安全”选项卡。如下图所示:

附件附件:

下载次数:199
文件类型:application/octet-stream
文件大小:
上传时间:2008-3-18 13:53:08
描述:
gototop
 
千寻旅
头像
社区嘉宾
  • 帖子:2910
  • 注册: 2007-08-17
  • 来自:
发表于: 2008-03-18 13:54 | 只看楼主 短消息 资料
字号: 14楼

如果安全属性的“组合用户名称”中没有列出Users组,则需要点击“添加...”按钮,把Users组添加进来。
在“组和用户名称”窗格中依次选定Users组,把它对应的权限设置为拒绝所有。如下图所示:

附件附件:

下载次数:186
文件类型:application/octet-stream
文件大小:
上传时间:2008-3-18 13:54:13
描述:
gototop
 
千寻旅
头像
社区嘉宾
  • 帖子:2910
  • 注册: 2007-08-17
  • 来自:
发表于: 2008-03-18 13:55 | 只看楼主 短消息 资料
字号: 15楼

此时,权限已经设置完毕,单击确定,则dnsq.dll就无法访问,也就无法继续加载了。注意,某些变种可能会在点击确定的时候引发计算机重新启动。但是这不影响这种做法的效果——如果病毒没有导致计算机重新启动,我们也必须重新启动计算机。
如果刚才的设置没有导致计算机重启,则重新启动计算机。
再次找到%systemroot%\system32\dnsq.dll文件,在安全属性中增加Everyone组,设置其安全为拒绝所有访问权限。对%systemroot%\system32\com\目录做同样处理,再次重新启动。
启动完成之后,单击开始,运行,输入taskmgr.exe,启动任务管理器。在任务管理器中选择进程选项卡,然后在用户名列上单击一下,把所有进程按照用户名排序,可以看到在当前用户还是运行了一个lsass.exe一个smss.exe,可能还有一个alg.exe。

附件附件:

下载次数:227
文件类型:application/octet-stream
文件大小:
上传时间:2008-3-18 13:55:22
描述:
gototop
 
千寻旅
头像
社区嘉宾
  • 帖子:2910
  • 注册: 2007-08-17
  • 来自:
发表于: 2008-03-18 13:57 | 只看楼主 短消息 资料
字号: 16楼

如红色线条所标出。此时在任务管理器中选择结束这三个进程,任务管理器将提示无法结束。没关系,如果前面的操作没有问题的话,病毒已经在我们控制之中了。:)
在任务管理器中选择“查看菜单->选择列...”,在弹出的窗口中选上“PID(进程标志符)”,然后确定。

附件附件:

下载次数:189
文件类型:application/octet-stream
文件大小:
上传时间:2008-3-18 13:57:26
描述:
gototop
 
千寻旅
头像
社区嘉宾
  • 帖子:2910
  • 注册: 2007-08-17
  • 来自:
发表于: 2008-03-18 13:58 | 只看楼主 短消息 资料
字号: 17楼

此时,在任务管理器中会显示每个进程对应的pid,我们需要记下写pid。比如在本例中,alg.exe、lsass.exe和smss.exe对应的pid分别为828、1784和2032,记下这三个pid。

附件附件:

下载次数:173
文件类型:application/octet-stream
文件大小:
上传时间:2008-3-18 13:58:00
描述:
gototop
 
千寻旅
头像
社区嘉宾
  • 帖子:2910
  • 注册: 2007-08-17
  • 来自:
发表于: 2008-03-18 13:59 | 只看楼主 短消息 资料
字号: 18楼

单击开始菜单,运行,依次输入ntsd -c q -p <pid>,回车。注意把这里的<pid>换成刚才记下的三个pid。比如在我这里,我应该依次输入ntsd -c q -p 828,回车;ntsd -c q -p 1784,回车;ntsd -c q -p 2032,回车。
不出意外的话,这三个进程应该服服帖帖地被关闭掉了。下面找到这三个文件,我们就可以轻松地删除它们了。

至此,我们的病毒清除工程已经完成得差不多了。:)下面我们需要对病毒文件进行清理。在清理过程中一定要小心,不要双击任何磁盘,切换磁盘和目录的时候总是从资源管理器左边窗格单击,避免再次运行病毒程序。也不要随便运行任何机器上的可执行文件,他们很可能已经被病毒感染!


单击开始菜单,运行,输入attrib %systemroot%\system32\*.* -s -h,回车。这样把 %systemroot%\system32\*.*所有文件的隐藏属性和系统属性都去掉。然后打开资源管理器,浏览到%systemroot%\system32目录下,把所有文件按照时间排序,应该就可以在文件夹的末尾看到这个目录下所有的病毒文件了。在我这里,有这些文件:

附件附件:

下载次数:197
文件类型:application/octet-stream
文件大小:
上传时间:2008-3-18 13:59:18
描述:
gototop
 
千寻旅
头像
社区嘉宾
  • 帖子:2910
  • 注册: 2007-08-17
  • 来自:
发表于: 2008-03-18 13:59 | 只看楼主 短消息 资料
字号: 19楼

红颜色覆盖的是已经确认的病毒文件。你应该可以轻松地删除它们。当然,对于dnsq.dll,你需要首先去掉以前对Users和Everyone组的安全限制,然后才能删除。
继续浏览到%systemroot%\system32\com目录下,找到这些文件,可能需要先运行attrib %systemroot%\system32\com\*.* -s -h命令,去掉病毒文件的系统属性和隐藏属性:
c:\windows\system32\com\netcfg.dll
c:\windows\system32\com\netcfg.000
c:\windows\system32\com\lsass.exe
c:\wnidows\system32\com\smss.exe
删除这些文件。
同样的方法,找到这些文件。可能需要先运行attrib %systemroot%\system32\drivers\*.* -s -h命令:
c:\windows\system32\drivers\alg.exe
c:\windows\system32\drivers\npf.sys
删除之。
同样的方法,找到这些文件。
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe.XXXX.exe
其中XXXX是几个随机的数字。
浏览至各个磁盘根目录下,删除所有autorun.inf和pagefile.pif或者pagefile.exe文件。

至此,病毒文件已经清理完毕。下面将进行注册表的清理。


单击开始,运行,输入regedit.exe,在注册表找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Windows的Appinit_Dlls项,删掉。
在注册表编辑器中展开至HKEY_ROOT\CLSID,找到下列键,删除之:
{450EC9C4-0F7F-407F-B084-D1147FE9DDCC}
{D9901239-34A2-448D-A000-3705544ECE9D}
在注册表编辑器中展开至HKEY_ROOT\TypeLib,找到下列键,删除之:
{814293BA-8708-42E9-A6B7-1BD3172B9DDF}
gototop
 
<<上一主题|下一主题>>
12   2  /  2  页   跳转
页面顶部
Powered by Discuz!NT