难道磁碟机又变种了吗?
我的磁碟机病毒显示日期是1月15日的.
按照置顶的方法不行了.
症状:
1:::右下角绿色雨伞变黄,停止监控,1分钟后黄色雨伞消失.
2:::查看进程,多出smss.exe‖lsass.exe‖pagefile.pif‖alg.exe‖,并且无法结束.(如图1)
3:::点开文件夹选项-查看,无法显示系统隐藏文件,没有"隐藏受保护的操作系统文件(推荐)"的选择框,可能病毒为了保护自己闭屏了.(如图2)
4:::打开com文件夹,无法显示隐藏的病毒smss.exe和lsass.exe.但是在com文件夹下建立同名文件系统显示重复名称,不能建立,然后用winrar观看com文件夹下,隐藏的病毒文件有smss.exe和lsass.exe.还有几个附加的病毒.(如图3)
5:::桌面被病毒新建文件夹cooperator.(如图4)
6:::开始-msconfig-启动,出现~.exe260187并且无法禁止启动.(如图5)
7:::所有盘下出现pagefile.pif和autorun.inf,杀掉会反复出来,并且会自动感染所有盘.
8:::安全模式进不了.
9:::运行gpedit.msc打开组策略-计算机配置-Windows设置-安全设置-软件限制策略-没有其它规则和"新散列规则",被病毒kill了.(如图6)
我和这个病毒搏斗了3天3夜,目前还是没办法啊.
下面是我试验无效的办法.
1:::冰刃被闭屏,总之被闭屏的还有很多,总结起来就是一句话.其他能打开的结束不了病毒的进程,貌似针对冰刃的.
2:::开机后在病毒还没启动到进程前迅速去com文件夹,建立同名的病毒文件,利用一个文件夹不能同名建立的原则,失败.病毒直接可以kill掉你建的同名文件,生成新的smss.exe和lsass.exe.
3:::不管是手动修改,还是导如其他机器正常的注册表,都无法显示"系统文件".
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL下面的CheckedValue,数值是1,正确 .NOHIDDEN下面的CheckedValue,数值是2,正确.一切都正确,但是无法显示隐藏的系统文件.分别删除后重新建立也无法显示,失败中.
4:::无法建立"新散列规则"隔离病毒以便结束进程,失败中.
5:::进瑞星文件夹找到DefCfg.exe,双击运行后,可以出现图1的样子,但是点添加后,主动防御消失,准确说是被病毒闭屏了.基本其他所有辅助软件都打不开.失败中
备注:综合起来的经验,
1:::无法结束进程是关键,但是前提病毒已经把所有能结束他进程的漏洞都kill了,病毒环环相扣,无懈可击.
2:::把其他什么都弄掉,只要进程在,重起后问题依旧.
[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
