（转载）手动剿灭磁碟机完整步骤 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛（转载）手动剿灭磁碟机完整步骤

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

（转载）手动剿灭磁碟机完整步骤

lonsnalaolo 快乐黄口狮帖子:150 注册: 2007-10-30 来自:	发表于： 2008-03-20 15:02 \| 只看楼主短消息资料字号：小中大 1楼（转载）手动剿灭磁碟机完整步骤手动剿灭磁碟机完整步骤准备工作： 1、WSYSCHECK、改扩展名为BAT文件，放桌面备用。 2、破坏DNSQ.DLL的指令保存为k.bat备用：复制内容到剪贴板代码: attrib -r -s -h "%SystemRoot%\System32\dnsq.dll" ren "%SystemRoot%\system32\dnsq.dll" "dnsq.d11.%random%" echo MZ > "%SystemRoot%\System32\dnsq.dll" attrib +s +r +h "%SystemRoot%\System32\dnsq.dll" 3、劫持代码,存为img.reg放桌面备用：复制内容到剪贴板代码: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cacls.exe] "Debugger"="DisabledRun" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ping.exe] "Debugger"="DisabledRun" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rundll32.exe] "Debugger"="DisabledRun" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regsvr32.exe] "Debugger"="DisabledRun" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rar.exe] "Debugger"="DisabledRun" 修复步骤： 1、运行劫持程序：IMG.reg,导入注册表。 2、运行破坏程序：k.bat 3、重启。（无需冷启动，正常重启即可） 4、开机后，以下程序相继报错（内容大致为DNSQ.DLL为无效镜像）： lsass.exe----services.exe---userinit.exe-----explorer.exe---- 都点确定共4个。出现桌面。这时CTFMON.EXE弹出报错窗口，不理。运行wsyscheck.bat. 这时再点那些报错的窗口的“确定”先是点掉CTFMON.EXE，然后是~.exe.随机数字.exe(n个），直到WSYSCHECK窗口出现。 WSYSCHECK窗口出现后会弹出conime.exe报错窗口。不理。拖到一边去。 WSYSCHECK窗口，点红色的lsass.exe进程，（如果下面注入的DLL有dnsq.dll，右键点此文件名字dnsq.dll，选“全局卸载模块”，一般以前的步骤没有出错，不会出现DNSQ.DLL注入了）右键点红色的lsass.exe进程（先）和smss.exe（后）进程，选“终止进程并删除文件”。注意千万不要点错成“禁止这个程序运行”。如果有其他病毒进程~.exe..exe或其他LS.EXE..EXE，同时终止进程并删除文件。点安全检查－－活动文件－－找到红色的DNSQ.DLL－右键－修复所选项。（注意要先终止病毒所有进程后，才可以修复此项，否则前功尽弃。）这时再点掉conime.exe的报错窗口（n 个）至此病毒基本控制。点工具－修复隐藏文件显示－修复 AUTORUN.INF－修复安全模式删除病毒文件： C:\ls.exe.*****.exe C:\037589.log C:\WINDOWS\system32\Com\LSASS.EXE C:\WINDOWS\system32\Com\netcfg.000 C:\WINDOWS\system32\Com\netcfg.dll C:\WINDOWS\system32\Com\SMSS.EXE C:\WINDOWS\system32\随机6位数字.log c:\WINDOWS\system32\drivers\alg.exe c:\windows\system32\antitool.exe c:\windows\system32\000.cfg0 各分区下的pagefile.pif 至此，磁碟机病毒清除完毕。对于被感染的文件，此新变种还没有专杀可以修复。卡巴斯基可以修复10日以前的变种。打开你的杀软，升级到最新版本，等待杀软清除残余病毒吧。注意运行被感染的文件会导致病毒重新加载。防止并免疫病毒的方法正在测试中。再补充一下，结束进程时要先结束删除LSASS.EXE，后结束删除SMSS.EXE，否则，LSASS.EXE会重新生成和加载SMSS.EXE。 2008-03-31 09:28:22
lonsnalaolo 快乐黄口狮帖子:150 注册: 2007-10-30 来自:	分享到：

小企鹅S 锋芒艾服狮帖子:1980 注册: 2007-11-10 来自:南极	发表于： 2008-03-21 20:27 \| 短消息资料字号：小中大 2楼厉害。
小企鹅S 锋芒艾服狮帖子:1980 注册: 2007-11-10 来自:南极

月伴残阳初生襁褓狮帖子:3 注册: 2008-02-29 来自:	发表于： 2008-03-21 21:17 \| 短消息资料字号：小中大 3楼不对,是恐怖! 看得满天小星星~
月伴残阳初生襁褓狮帖子:3 注册: 2008-02-29 来自:

典型水瓶座初生襁褓狮帖子:1 注册: 2006-09-01 来自:	发表于： 2008-03-21 22:05 \| 短消息资料字号：小中大 4楼 wsyscheck.bat在哪里
典型水瓶座初生襁褓狮帖子:1 注册: 2006-09-01 来自:

天国罗刹初生襁褓狮帖子:22 注册: 2004-12-17 来自:	发表于： 2008-03-31 09:40 \| 短消息资料字号：小中大 5楼 ..东西都不全..大哥..你转也转完整啊~
天国罗刹初生襁褓狮帖子:22 注册: 2004-12-17 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT