“磁碟机”病毒已经成为近期各大反病毒论坛求助量最大的问题之一，中毒计算机可能出现以下一种或多种异常现象：
1、系统运行缓慢、频繁出现死机、蓝屏、报错等现象；
2、进程中出现两个lsass.exe和两个smss.exe，且病毒进程的用户名是当前登陆用户名；
3、杀毒软件被破坏，无法正常开启，多种安全辅助工具无法正常开启；
4、系统时间被篡改；
5、病毒感染.exe文件导致其图标发生变化；
6、无法进入安全模式；
7、隐藏文件无法显示；
8、组策略被破坏。

应对策略如下：

[初级用户] 使用“磁碟机”专杀工具处理
下载地址：http://download.rising.com.cn/zsgj/ravDiskGen.exe

优化版“磁碟机”专杀工具（推荐使用）
下载地址：http://forum.ikaka.com/topic.asp?board=109&artid=8436751

<使用前必读>
1、务必事先断开网络，最简单的方法是拔掉网线或禁用网卡；关闭已启动的其他应用程序；
2、判断专杀工具本身是否已被感染（见附图），通过对比不难发现染毒文件的图标明显发生变化，属性中缺少“版本”标签，文件大小也比正常的大；
3、第一次运行专杀工具查杀时，如果专杀发现计算机感染有磁碟机病毒，会提示重启计算机，选择重启后立即打开专杀工具进行第二次查杀；
4、如查杀过程中出现异常（如专杀工具自动关闭、异常报错、电脑重启、发现病毒提示清除失败等），无需理会，重启后用专杀工具重新进行杀毒即可；
5、专杀工具查杀不到病毒后，请修复或重新安装本机的杀毒软件、防火墙；
6、杀毒软件正常运行后需立即升级，再使用最新版本的杀毒软件在断网情况下全盘扫描（一定要全盘扫描，不要只查杀C盘！）；
7、如操作中遇到任何问题，请在反病毒论坛内发帖求助，标题注明“磁碟机病毒咨询”，以便问题尽快解决。
8、如果发现1.3专杀运行后即提示发现磁碟机，需要重启，重启后再次运行专杀工具仍有此提示。这是因为本地硬盘任意分区根目录下存在免疫文件夹autorun.inf和c:\windows\system32\中生成了dnsq.dll文件夹，且无法删除导致的，可以将每个分区根目录下的autorun.inf和c:\windows\system32\中生成了dnsq.dll文件夹进行改名后再运行专杀

[高级用户]可参考以下手工处理方法：

1、猫叔的《菜鸟也能灭掉“磁碟机”》
http://forum.ikaka.com/topic.asp?board=28&artid=8427464

2、清新阳光的《利用瑞星主动防御碾死"磁碟机"新变种(pagefile.pif,lsass.exe.smss.exe)》
http://forum.ikaka.com/topic.asp?board=28&artid=8413635

3、使用XDelBox删除病毒文件（仅限操作系统安装在C:\Windows目录）
XDelBox使用方法：http://forum.ikaka.com/topic.asp?board=28&artid=8381032
使用时一定拔掉所有移动存储设备，将下面分隔线中的的文件路径全部复制，然后打开XDelBox直接使用右键菜单的“剪贴板导入不检查路径”导入，勾选“抑制再生”、“驱动安全删除模式”、“备份文件”，最后选择右键菜单的“立刻重启删除”。
———————————————————————————————————————
C:\WINDOWS\system32\Com\LSASS.EXE
C:\WINDOWS\system32\Com\netcfg.000
C:\WINDOWS\system32\Com\netcfg.dll
C:\WINDOWS\system32\Com\SMSS.EXE
C:\WINDOWS\system32\dnsq.dll
C:\037589.log
———————————————————————————————————————
重启计算机后会看到一个请选择要启动的操作系统的提示，倒计时5秒，
第一个选项是你自己的Windows系统，
第二个选项是XDelBox的Go XDelBox To Del Files，
默认自动选择第二项，会进入类似DOS的界面，这期间什么操作都不用做，等待它自动运行即可，
待病毒文件删除后会自动重启回到Windows系统，
此时不要双击或右键单击打开任何分区，用冰刃删除每个分区下的autorun.inf和pagefile.pif
最后升级杀毒软件到最新版，全盘杀毒。
———————————————————————————————————————

常用工具下载：
XDelBox下载：
http://www.dodudou.com/down/    打开后选择【原创软件】，下载“XDELBOX 磁碟机专用测试版”

冰刃下载：http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip

windows清理助手下载：http://www.arswp.com/download.html

修复被破坏的“隐藏受保护的操作系统文件（推荐）”选项：
http://img.namipan.com/downfile/16da398cfcdf2ddffad9c580c3f94f13656e29038e020000/%E9%9A%90%E8%97%8F%E5%8F%97%E4%BF%9D%E6%8A%A4%E7%9A%84%E6%93%8D%E4%BD%9C%E7%B3%BB%E7%BB%9F%E6%96%87%E4%BB%B6.zip

清理临时文件工具ATF-Cleaner-cn下载：
http://img.namipan.com/downfile/40e62f751ebd7f3e378fc6247a66b25dc428dbbc3fcd0000/ATF-Cleaner-cn.zip

IframeKill下载：（快速清除网页文件中的恶意代码）
http://img.namipan.com/downfile/00e5b209abc5ced57d8136dad2390f2329c884dac24f0300/IframeKill.zip

有样本吗？发到huoxigkal@126.com，谢谢

本人整理了一下关于磁碟机的帖子，希望对大家有些帮助

磁碟机中招后的“症状”
http://forum.ikaka.com/topic.asp?board=109&artid=8436482                   发布时间:2008-3-18      baohe 

也谈磁碟机的一般处理方法
http://forum.ikaka.com/topic.asp?board=109&artid=8436590                    发布时间:2008-3-18      baohe

已中招的进来看----优化版专杀工具
http://forum.ikaka.com/topic.asp?board=109&artid=8436751                    发布时间:2008-3-18      koako

磁碟机病毒免疫补丁
http://forum.ikaka.com/topic.asp?board=28&artid=8436317                    发布时间:2008-3-17      ceshi123

磁 碟 机自动化瘫痪程序 Build 171
http://forum.ikaka.com/topic.asp?board=28&artid=8436148                    发布时间:2008-3-17      FlowerCode

关于“鱼目混珠”问题 
http://forum.ikaka.com/topic.asp?board=28&artid=8433144                     发布时间:2008-3-7        baohe

用瑞星2008“应用程序访问控制”挡住“磁碟机” 
http://forum.ikaka.com/topic.asp?board=28&artid=8431404                    发布时间:2008-3-2        baohe

磁碟机变种更新频繁，用户应注重系统防护 
http://forum.ikaka.com/topic.asp?board=28&artid=8431122                     发布时间:2008-3-1        baohe

再谈“菜鸟级用户应对磁碟机中招”问题
http://forum.ikaka.com/topic.asp?board=28&artid=8430521                   发布时间：2008-2-28      baohe

磁碟机处理方法 
http://forum.ikaka.com/topic.asp?board=28&artid=8429958                  发布时间：2008-2-26      千寻旅

菜鸟也能灭掉“磁碟机”
http://forum.ikaka.com/topic.asp?board=28&artid=8427464                   发布时间：2008-2-17      baohe

瑞星2008主动防御设置与“磁碟机”的预防 
http://forum.ikaka.com/topic.asp?board=28&artid=8420587                    发布时间:2008-1-24        baohe

蛇打七寸——再战新版“磁碟机”
http://forum.ikaka.com/topic.asp?board=28&artid=8420324                    发布时间:2008-1-23        baohe

“磁碟机”病毒的作者看过来！
http://forum.ikaka.com/topic.asp?board=28&artid=8418945&page=1           发布时间:2008-1-19        baohe

利用Xdelbox, Process Explorer等联合绞杀磁碟机新变种
http://forum.ikaka.com/topic.asp?board=28&artid=8417985                   发布时间:2008-1-17        newcenturymoon

瑞星2008主动防御与SSM联手对抗“磁碟机”
http://forum.ikaka.com/topic.asp?board=28&artid=8414667                   发布时间:2008-1-8        baohe

再次调侃“磁碟机”新变种 
http://forum.ikaka.com/topic.asp?board=28&artid=8414392                   发布时间:2008-1-8        baohe

利用瑞星主动防御碾死"磁碟机"新变种
http://forum.ikaka.com/topic.asp?board=28&artid=8413635                   发布时间:2008-1-5        newcenturymoon

手动剿灭磁 碟 机完整步骤
http://forum.ikaka.com/topic.asp?board=109&artid=8437254                               转自剑盟

攻防兼备　宣战磁碟机病毒                                 
http://forum.ikaka.com/topic.asp?board=109&artid=8437257                                转自IXPUB技术社区

磁碟机杀毒解决方案
http://forum.ikaka.com/topic.asp?board=109&artid=8437265                               转自当当网

Lsass.exe、smss.exe、alg.exe病毒的分析
http://forum.ikaka.com/topic.asp?board=109&artid=8437268                               转自新剑病毒资讯

磁碟机变种简单分析
http://forum.ikaka.com/topic.asp?board=109&artid=8437270                                转自新剑病毒资讯