界面模式
登录
注册
会员
帮助
加入收藏夹
客服微信
瑞星卡卡安全论坛
技术交流区
反病毒/反流氓软件论坛
磁碟机症状、解决方法大全(最新更新42楼 )
企业产品讨论区
瑞星安全云终端软件
瑞星ESM防病毒终端安全防护系统
瑞星杀毒软件网络版(含Linux)
瑞星智能沙箱分析/恶意代码威胁监测分析/上网行为管理
瑞星防毒墙5.0、瑞星下一代防火墙
瑞星虚拟化恶意代码防护系统
个人产品讨论区
瑞星之剑
瑞星防病毒安全软件
瑞星杀毒软件
瑞星个人防火墙V16
瑞星AI网络威胁检测引擎、威胁情报及网安知识图谱
瑞星其他产品
技术交流区
反病毒/反流氓软件论坛
可疑文件交流
恶意网站交流
入侵防御(HIPS)
系统软件
硬件交流
综合娱乐区
影音贴图
瑞星安全游戏
活动专区
本站站务区
站务
瑞星“1+2”全新解决方案巡展在广州画上圆满句号
叶院长揭秘:瑞星如何运用AI技术革新网络安全
俄乌冲突加剧网络攻击风险 白俄罗斯政府遭APT攻击
瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
实力拉满 瑞星第四十七次通过VB100测评
携手老友,拥抱新精彩 —— 新论坛新活动,感谢你的陪伴
护航司法,瑞星助力山西省高院构建安全防线
人工智能在网络安全领域的风险和机遇
1
2
3
4
5
6
7
8
»
1
/ 9 页
跳转
页
磁碟机症状、解决方法大全(最新更新42楼 )
收藏
本主题由 版主 天月来了 于 2009-4-9 18:07:10 执行 关闭主题/取消 操作
千寻旅
社区嘉宾
帖子:
2910
注册:
2007-08-17
来自:
发表于: 2008-02-26 12:22
|
只看楼主
短消息
资料
字号:
小
中
大
1楼
磁碟机症状、解决方法大全(最新更新42楼 )
“磁碟机”病毒已经成为近期各大反病毒论坛求助量最大的问题之一,中毒计算机可能出现以下一种或多种异常现象:
1、系统运行缓慢、频繁出现死机、蓝屏、报错等现象;
2、进程中出现两个lsass.exe和两个smss.exe,且病毒进程的用户名是当前登陆用户名;
3、杀毒软件被破坏,无法正常开启,多种安全辅助工具无法正常开启;
4、系统时间被篡改;
5、病毒感染.exe文件导致其图标发生变化;
6、无法进入安全模式;
7、隐藏文件无法显示;
8、组策略被破坏。
应对策略如下:
[初级用户] 使用“磁碟机”专杀工具处理
下载地址:
http://download.rising.com.cn/zsgj/ravDiskGen.exe
优化版“磁碟机”专杀工具(推荐使用)
下载地址:
http://forum.ikaka.com/topic.asp?board=109&artid=8436751
<使用前必读>
1、务必事先断开网络,最简单的方法是拔掉网线或禁用网卡;关闭已启动的其他应用程序;
2、判断专杀工具本身是否已被感染(见附图),通过对比不难发现染毒文件的图标明显发生变化,属性中缺少“版本”标签,文件大小也比正常的大;
3、第一次运行专杀工具查杀时,如果专杀发现计算机感染有磁碟机病毒,会提示重启计算机,选择重启后立即打开专杀工具进行第二次查杀;
4、如查杀过程中出现异常(如专杀工具自动关闭、异常报错、电脑重启、发现病毒提示清除失败等),无需理会,重启后用专杀工具重新进行杀毒即可;
5、专杀工具查杀不到病毒后,请修复或重新安装本机的杀毒软件、防火墙;
6、杀毒软件正常运行后需立即升级,再使用最新版本的杀毒软件在断网情况下全盘扫描(一定要全盘扫描,不要只查杀C盘!);
7、如操作中遇到任何问题,请在反病毒论坛内发帖求助,标题注明“磁碟机病毒咨询”,以便问题尽快解决。
8、如果发现1.3专杀运行后即提示发现磁碟机,需要重启,重启后再次运行专杀工具仍有此提示。这是因为本地硬盘任意分区根目录下存在免疫文件夹autorun.inf和c:\windows\system32\中生成了dnsq.dll文件夹,且无法删除导致的,可以将每个分区根目录下的autorun.inf和c:\windows\system32\中生成了dnsq.dll文件夹进行改名后再运行专杀
[高级用户]可参考以下手工处理方法:
1、猫叔的《菜鸟也能灭掉“磁碟机”》
http://forum.ikaka.com/topic.asp?board=28&artid=8427464
2、清新阳光的《利用瑞星主动防御碾死"磁碟机"新变种(pagefile.pif,lsass.exe.smss.exe)》
http://forum.ikaka.com/topic.asp?board=28&artid=8413635
3、使用XDelBox删除病毒文件(仅限操作系统安装在C:\Windows目录)
XDelBox使用方法:
http://forum.ikaka.com/topic.asp?board=28&artid=8381032
使用时一定拔掉所有移动存储设备,将下面分隔线中的的文件路径全部复制,然后打开XDelBox直接使用右键菜单的
“剪贴板导入不检查路径”
导入,勾选“抑制再生”、“驱动安全删除模式”、“备份文件”,最后选择右键菜单的“立刻重启删除”。
———————————————————————————————————————
C:\WINDOWS\system32\Com\LSASS.EXE
C:\WINDOWS\system32\Com\netcfg.000
C:\WINDOWS\system32\Com\netcfg.dll
C:\WINDOWS\system32\Com\SMSS.EXE
C:\WINDOWS\system32\dnsq.dll
C:\037589.log
———————————————————————————————————————
重启计算机后会看到一个请选择要启动的操作系统的提示,倒计时5秒,
第一个选项是你自己的Windows系统,
第二个选项是XDelBox的Go XDelBox To Del Files,
默认自动选择第二项,会进入类似DOS的界面,这期间什么操作都不用做,等待它自动运行即可,
待病毒文件删除后会自动重启回到Windows系统,
此时不要双击或右键单击打开任何分区,用冰刃删除每个分区下的autorun.inf和pagefile.pif
最后升级杀毒软件到最新版,全盘杀毒。
———————————————————————————————————————
常用工具下载:
XDelBox下载:
http://www.dodudou.com/down/
打开后选择【原创软件】,下载
“XDELBOX 磁碟机专用测试版”
冰刃下载:
http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip
windows清理助手下载:
http://www.arswp.com/download.html
修复被破坏的“隐藏受保护的操作系统文件(推荐)”选项:
http://img.namipan.com/downfile/16da398cfcdf2ddffad9c580c3f94f13656e29038e020000/%E9%9A%90%E8%97%8F%E5%8F%97%E4%BF%9D%E6%8A%A4%E7%9A%84%E6%93%8D%E4%BD%9C%E7%B3%BB%E7%BB%9F%E6%96%87%E4%BB%B6.zip
清理临时文件工具ATF-Cleaner-cn下载:
http://img.namipan.com/downfile/40e62f751ebd7f3e378fc6247a66b25dc428dbbc3fcd0000/ATF-Cleaner-cn.zip
IframeKill下载:(快速清除网页文件中的恶意代码)
http://img.namipan.com/downfile/00e5b209abc5ced57d8136dad2390f2329c884dac24f0300/IframeKill.zip
附件:
文件名:
9252632008226121042.jpg
下载次数:9447
文件类型:image/pjpeg
文件大小:
上传时间:2008-2-26 12:22:29
描述:
预览信息:
EXIF信息
Software Used : Paint.NET v3.20
Y Resolution : 96/1
Resolution Unit : 2
X Resolution : 96/1
2008-04-13 19:14:46
分享到:
短消息
资料
加为好友
全部帖子
性别:
精华:
7
威望:
6237
贡献:
0
金钱:
0.29
状态:
离线
等级:
大连蓝天
社区嘉宾
帖子:
20967
注册:
2004-02-17
来自:
发表于: 2008-02-26 12:35
|
短消息
资料
字号:
小
中
大
2楼
学习
短消息
资料
加为好友
全部帖子
性别:
精华:
4
威望:
33302
贡献:
308
金钱:
0
状态:
离线
等级:
没有梦想的男人
锋芒艾服狮
帖子:
1680
注册:
2007-07-07
来自:
发表于: 2008-02-26 12:52
|
短消息
资料
字号:
小
中
大
3楼
楼主有没有试过23号和25号的变种?你所说的方法是清理不了的..得改变一下战术了.修改几个权限后才可以.
短消息
资料
加为好友
全部帖子
性别:
精华:
0
威望:
3532
贡献:
14
金钱:
0
状态:
离线
等级:
千寻旅
社区嘉宾
帖子:
2910
注册:
2007-08-17
来自:
发表于: 2008-02-26 14:08
|
只看楼主
短消息
资料
字号:
小
中
大
4楼
有样本吗?发到huoxigkal@126.com,谢谢
短消息
资料
加为好友
全部帖子
性别:
精华:
7
威望:
6237
贡献:
0
金钱:
0.29
状态:
离线
等级:
快乐龙宝宝
卡卡巡查
帖子:
14124
注册:
2008-02-22
来自:
发表于: 2008-02-26 14:19
|
短消息
资料
字号:
小
中
大
5楼
我的电脑就是这样的啊
短消息
资料
加为好友
全部帖子
性别:
生日:
2008-2-22
精华:
5
威望:
16388
贡献:
664
金钱:
0.15
状态:
离线
等级:
没有梦想的男人
锋芒艾服狮
帖子:
1680
注册:
2007-07-07
来自:
发表于: 2008-02-26 14:53
|
短消息
资料
字号:
小
中
大
6楼
引用:
【千寻旅的贴子】有样本吗?发到huoxigkal@126.com,谢谢
………………
已经发悄悄话告诉你了.
短消息
资料
加为好友
全部帖子
性别:
精华:
0
威望:
3532
贡献:
14
金钱:
0
状态:
离线
等级:
newcenturymoon
社区嘉宾
帖子:
15158
注册:
2005-08-03
来自:
发表于: 2008-02-26 16:33
|
短消息
资料
字号:
小
中
大
7楼
引用:
【没有梦想的男人的贴子】楼主有没有试过23号和25号的变种?你所说的方法是清理不了的..得改变一下战术了.修改几个权限后才可以.
………………
有新变种了?麻烦发给我吧 newcenturymoon1986@yahoo.com.cn 加密123
短消息
资料
加为好友
全部帖子
性别:
生日:
1986-03-11
精华:
8
威望:
31228
贡献:
692
金钱:
0
状态:
离线
等级:
lqqk7
社区嘉宾
帖子:
4876
注册:
2006-03-15
来自:
发表于: 2008-02-26 16:38
|
短消息
资料
字号:
小
中
大
8楼
引用:
【newcenturymoon的贴子】
有新变种了?麻烦发给我吧 newcenturymoon1986@yahoo.com.cn 加密123
………………
哪里有新的变种,哪里就有清新阳光
2楼说的是修改啥权限?
短消息
资料
加为好友
全部帖子
性别:
生日:
1985-02-08
精华:
5
威望:
11508
贡献:
1151
金钱:
0
状态:
离线
等级:
没有梦想的男人
锋芒艾服狮
帖子:
1680
注册:
2007-07-07
来自:
发表于: 2008-02-26 17:31
|
短消息
资料
字号:
小
中
大
9楼
把以下文件或者文件夹的administrators权限改为拒绝然后运行磁碟机专杀就可以清理病毒.
C:\WINDOWS\system32\Com
C:\WINDOWS\system32\cacls.exe
清理完后恢复权限
把C:\WINDOWS\system32\Com下的
C:\WINDOWS\system32\Com\lsass.exe
C:\WINDOWS\system32\Com\netcfg.000
C:\WINDOWS\system32\Com\netcfg.dll
C:\WINDOWS\system32\Com\smss.exe
病毒文件清理掉.然后修复杀毒软件全盘扫描清理余下的压缩文件.rar.zip还有htm.html.
修复工作就不多说了.跟以前一样.
阳光样本发给你了.
短消息
资料
加为好友
全部帖子
性别:
精华:
0
威望:
3532
贡献:
14
金钱:
0
状态:
离线
等级:
天月来了
版主
帖子:
76904
注册:
2007-02-06
来自:
发表于: 2008-02-26 17:40
|
短消息
资料
字号:
小
中
大
10楼
那是NTFS下的操作
FAT的呢???
短消息
资料
加为好友
全部帖子
性别:
精华:
54
威望:
123135
贡献:
2775
金钱:
45.5
状态:
离线
等级:
<<
上一主题
|
下一主题
>>
1
2
3
4
5
6
7
8
»
1
/ 9 页
跳转
页
论坛跳转...
企业产品讨论区
瑞星安全云终端软件
瑞星ESM防病毒终端安全防护系统
瑞星杀毒软件网络版(含Linux)
北方区
华东区
华南区
木马入侵拦截有奖体验专区
瑞星2009版查杀引擎测试
瑞星2009测试版问题反馈
瑞星杀毒软件2009公测
瑞星个人防火墙2009公测
瑞星全功能安全软件2009公测
瑞星智能沙箱分析/恶意代码威胁监测分析/上网行为管理
瑞星防毒墙5.0、瑞星下一代防火墙
瑞星虚拟化恶意代码防护系统
个人产品讨论区
瑞星之剑
瑞星防病毒安全软件
瑞星杀毒软件
瑞星安全联盟论坛
瑞星杀毒软件V16+
V16+新引擎测试专区
瑞星全功能安全软件
瑞星杀毒软件2011
瑞星个人防火墙V16
广告过滤
瑞星个人防火墙2011
瑞星AI网络威胁检测引擎、威胁情报及网安知识图谱
瑞星其他产品
瑞星手机安全助手
瑞星路由安全卫士
路由系统内核漏洞
APP保镖
瑞星安全浏览器
瑞星安全助手
卡卡上网安全助手
瑞星软件管家
瑞星加密盘
账号保险柜5.0
瑞星专业数据恢复
技术交流区
反病毒/反流氓软件论坛
菜鸟学堂
安全技术讨论
可疑文件交流
恶意网站交流
瑞星云安全网站联盟专版
每日网马播报
入侵防御(HIPS)
系统软件
硬件交流
综合娱乐区
Rising茶馆
影音贴图
瑞星安全游戏
凡人修真
华人德州扑克
一球成名
星际世界
神仙道
赢家竞技
梦幻飞仙
三国演义
仙落凡尘
秦美人
攻城掠地
女神联盟
风云无双
傲视九重天
深渊
魅影传说
热血屠龙
雷霆之怒
大天使之剑
传奇霸业
无上神兵
斗破沙城
全民裁决
蛮荒之怒2
活动专区
瑞星积分商城
实习生专区
实习生交流区
实习生签到区
实习生考核区
“安全之狮”校园行活动专版
历史活动
论坛9周年活动专区
关注灾情 同心抗灾
本站站务区
站务
版主之家[限]
禁言禁访记录
待审核
瑞星客户俱乐部[限]
Apple ID不设“两步验证”的悲剧 by baohe
遇密锁病毒CTB-locker 文档被加密,咨询如何解密/恢复的请进
连续13年!瑞星安全软件入选央采项目
360卫士、新毒霸破坏瑞星杀毒导致升级失败(升级提示XXXXXXX 800006)的解决办法
应对Cryptolocker病毒之类敲诈者的办法 by baohe
还是给SIM卡设个PIN码吧 by baohe
应对Cryptolocker病毒之类敲诈者的办法 by baohe
Apple ID不设“两步验证”的悲剧 by baohe
瑞星发布《等保2.0详解暨瑞星等保三级解决方案》
连续13年!瑞星安全软件入选央采项目
我的主题
我的帖子
我的精华
我的好友
文本模式