1   1  /  1  页   跳转

菜鸟也能灭掉“磁碟机”

收藏
本主题由 版主 天月来了 于 2008-6-22 19:18:36 执行 关闭主题/取消 操作
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-02-17 11:36 | 显示全部 短消息 资料
字号: 1楼

菜鸟也能灭掉“磁碟机”

这个“磁碟机”已经更新过N个版本了。目前所见的新版磁碟机貌似都比较NB。中招后,菜鸟们大多四处找专杀解决问题。磁碟机专杀良莠不齐,某些专杀还行,另一些则根本就不管用。

自从“磁碟机”更新到具备驱动程序NetApi00.sys(最新版变为NetApi000.sys)后,它便NB起来。IceSword、SRENG等手工杀毒工具貌似统统被这个驱动废掉了。其实也没完全废掉。昨天在剑盟发了一个戏弄磁碟机的帖子(http://bbs.janmeng.com/thread-711635-1-1.html),即可说明问题。但那帖子中叙述的操作涉及注册表改动,菜鸟级的朋友难以完成。
我一直在观察这个驱动的加载过程。发现了一个规律:目前为止见到的所有磁碟机变种,均通过调用系统程序cmd.exe加载此驱动。

行了。菜鸟级的杀毒办法有了:
0、关闭所有安全软件。将病毒放入系统(样本来自:http://bbs.janmeng.com/thread-708406-1-2.html,瑞星目前还不报毒。)
1、用改名大法将system32和dllcache目录下的cmd.exe临时改名为cm.dll(图)。重启系统看看。



[用户系统信息]Opera/9.22 (Windows NT 5.1; U; zh-cn)

附件附件:

下载次数:3012
文件类型:image/pjpeg
文件大小:
上传时间:2008-2-17 11:36:38
描述:
预览信息:EXIF信息



最后编辑2008-04-11 21:17:17
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-02-17 11:37 | 显示全部 短消息 资料
字号: 2楼

2、重启系统后,检查system32和dllcache目录。发现改名后的cm.dll都在,但是,system32目录下出现了一个怪怪的cmd.exe(见下图)。这个cmd.exe的logo不同于正常的cmd.exe,该不会是病毒现从I386目录里找来的吧?汗!估计这DD不能运行。

附件附件:

下载次数:2831
文件类型:image/pjpeg
文件大小:
上传时间:2008-2-17 11:37:06
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-02-17 11:37 | 显示全部 短消息 资料
字号: 3楼

3、不管这些,先看看病毒文件能否手工删除(如果那个cmd.exe管用,NetApi000.sys即可加载,病毒已经完整运行了。病毒文件是删不掉的)。
结果:所有病毒文件被一一删除了。
4、删除system32目录下那个异常的cmd.exe。将system32和dllcache目录下的cm.dll改回cmd.exe。

注:我的电脑只有一个分区。处理到这里,就完事了。多分区系统,非系统分区还有病毒。这样处理完后并不能彻底解决问题,还需用杀软全盘杀毒。切记!

附件附件:

下载次数:2957
文件类型:image/pjpeg
文件大小:
上传时间:2008-2-17 11:37:33
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-02-17 20:45 | 显示全部 短消息 资料
字号: 4楼

引用:
【闪电风暴的贴子】好像cmd.exe不能加载驱动吧...
………………

用工具跟踪一下“磁碟机”的运行过程
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-02-25 21:58 | 显示全部 短消息 资料
字号: 5楼

引用:
【瑞猩工程师白痴的贴子】我电脑中毒了  版主让我到这帖子看看

可是 我给cmd.exe改名为cm.dll后.不到一秒钟
系统又自动生成一个cmd.exe
郁闷死
而且大小图标都是一样的 也是可以运行的

怎么回事呢???
还有dllcache这个文件我在system32的文件下根本没有找到!@
………………

1、先按下图关闭“WINDOWS文件保护”。杀完毒后,将CMD和CACLS文件名改回正常后,再开启“WINDOWS文件保护”。另请注意操作顺序:I386文件夹——>dllcache文件夹——>system32文件夹。
2、dllcache文件是隐藏的。简单的办法——用WINRAR可以找到。

附件附件:

下载次数:492
文件类型:image/pjpeg
文件大小:
上传时间:2008-2-25 21:58:31
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-03-28 15:29 | 显示全部 短消息 资料
字号: 6楼

引用:
【酔儛篂纞ゞ海的贴子】我照你说的改名重启了.但是出现一个cmd.exe图标和原来的图标是一样的....能不能删啊?
………………

这个帖子的办法已经很老了。
建议用下面帖子中的方法:http://forum.ikaka.com/topic.asp?board=109&artid=8436590
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT