(转载)磁碟机病毒的详细处理方法
磁碟机病毒大概是最近最为泛滥的病毒了。由于arp病毒的特点和欺骗性,在学校和大企业等局域网环境中疯狂传播。迪吉凯尔于年初发布的文章,Lsass.exe、smss.exe、alg.exe病毒的分析报告和Lsass.exe/smss.exe/alg.exe病毒的一种快捷处理方法也旋即成为本站最受关注的文章。但很多用户反映两片文章的介绍对于普通用户来说仍然过于简略,希望有一篇面向普通用户的,详细的说明。本文以前天刚刚得到的样本为例,详细讲解这种病毒的处理方法和要点。请注意,Windows Home版用户无法使用本方法。此外,本方法要求系统分区是NTFS文件系统。
症状描述:
进行网络浏览的时候会弹出不明网页,通常是关于QQ中奖或者领取Q币的;注意,由于Arp病毒的特点,如果局域网中有机器中了这种病毒,那么即使没有中病毒的机器,也可能出现这种症状,而一旦用户上当点击了这种广告,则马上被感染。
进程中有两个lsass.exe和smss.exe,其中一个lsass.exe和smss.exe的用户名是当前用户。并且无法使用任务管理器或者其他工具关闭这两个病毒进程。
几乎所有的杀毒软件和安全工具都无法使用。
经常出现lsass.exe程序错误的对话框。
无法进入安全模式。用户选择安全模式则蓝屏死机。
由于这个病毒的变种很多,并且能够从网上随时下载其他病毒,因此症状可能有所不同。但这里有一个核心:
在%systemroot%\system32\目录下存在dnsq.dll文件。
简单分析:
磁碟机病毒的进程lsass.exe、smss.exe和alg.exe之所以无法被正常关闭,是因为dnsq.dll文件hook了系统服务。而dnsq.dll是通过注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows的Appinit_Dlls加载的。而在病毒运行中,又无法更改这里的注册表设置。因此我们决定首先通过NTFS权限,限制dnsq.dll被加载。
由于这个病毒已经可以调用命令解开通常的NTFS权限封锁,因此,在设置dnsq.dll的权限之前,我们需要首先把当前用户加入Users组。在文件的NTFS设置中,通过添加对Users组的限制来限制当前用户的访问,而不是直接限制当前用户。这种方法到目前为止是有效的。具体的方法如下:
点击开始菜单,输入lusrmgr.msc,然后确定。应该出现“本地用户和组”的管理控制台窗口。
