瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 也谈磁碟机的一般处理方法【讨论】

1   1  /  1  页   跳转

也谈磁碟机的一般处理方法【讨论】

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-03-18 12:08 | 显示全部 短消息 资料
字号: 1楼

也谈磁碟机的一般处理方法【讨论】

1、先运行附件中的“磁碟机瘫痪工具”csrss.exe(见附图)
2、磁碟机被这个csrss.exe瘫痪后,IceSword等工具已可正常使用。用IceSword或WINRAR找到并删除系统分区的下列病毒文件(这是常见的系统装在C分区的病毒文件位置;系统装在其它分区者请注意自己的系统盘符):
C:\037589.log
C:\windows\system32\205016.log(这个.log文件名的数字部分可能有变化)
C:\windows\system32\com\LSASS.EXE
C:\windows\system32\com\SMSS.EXE
C:\windows\system32\com\netcfg.000
C:\windows\system32\com\netcfg.dll
C:\windows\system32\dnsq.dll(动态插入应用程序进程)
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe
C:\Documents and Settings\当前用户名\「开始」菜单\程序\启动\~.exe
各分区根目录下的:
autorun.inf和pagefile.pif
3、用专杀或升级杀软病毒库后查杀非系统分区的被感染文件。

附件已随FlowerCode更新。再次感谢FlowerCode对本社区的支持!哪位有更好的妙招,欢迎贡献出来,与大家分享。
[用户系统信息]Opera/9.26 (Windows NT 5.1; U; zh-cn)

附件附件:

下载次数:1470
文件类型:application/octet-stream
文件大小:
上传时间:2008-3-18 12:08:48
描述:

最后编辑2008-04-09 11:49:13
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-03-18 12:09 | 显示全部 短消息 资料
字号: 2楼

瘫痪磁碟机工具的运行界面

附件附件:

下载次数:2681
文件类型:image/pjpeg
文件大小:
上传时间:2008-3-18 12:09:47
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-03-18 16:38 | 显示全部 短消息 资料
字号: 3楼

引用:
【FlowerCode的贴子】非常感谢 baohe 大版主对我的程序的支持。 ^_^

程序已更新至 Build 171,可清除 17 日变种,欢迎参与测试。
………………

喂!老大!
谢谢你的工具撒~~
不过,你那个网站我进不去啊。
发个过来,行不?
先代网友们谢谢您了
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-03-19 22:34 | 显示全部 短消息 资料
字号: 4楼

引用:
【孑弋的贴子】把非系统区格了行不行?
………………

如果你的非系统分区没有重要文件,当然可以。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-03-20 21:55 | 显示全部 短消息 资料
字号: 5楼

引用:
【孑弋的贴子】但是我发现格了以后还有smss和lsass这两个进程,会不会还有问题?
………………

注意常识性问题:
进程,不能仅看程序名,还要看路径。
安装在C盘的系统进程:
C:\windows\system32\lsass.exe
C:\windows\system32\smss.exe
磁碟机进程:
C:\windows\system32\Com\lsass.exe
C:\windows\system32\Com\smss.exe

看进程,不要用系统自带的那个进程管理器(很垃圾)。
用IceSword看进程。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-03-21 17:09 | 显示全部 短消息 资料
字号: 6楼

引用:
【Kevin997的贴子】老大,小弟紧急求助,我的情况如下,很怀疑是磁碟机的变种.
进入XP后桌面空白,只能呼唤任务管理器,刚呼唤没有任何问题,可以进行关机操作,一旦点击进程会发现进程数瞬间增加至卡死,最终出现VC++提示框,内容为"进程lsass.exe无法正常关闭,如要关闭,请XXX".
可怕的是进安全模式也是如此,向各位大侠求助

恶心的是我现在不能进系统和安全模式
………………

请用WINRAR查看系统分区有无本贴说的那些文件。
如果有,按本帖叙述的流程处理即可。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-03-23 22:32 | 显示全部 短消息 资料
字号: 7楼

引用:
【23的终结的贴子】【回复“baohe”的帖子】
1.2版的查杀,显示没有病毒,但是那些病毒依然没杀掉,这怎么办?
………………

1、确定你中的病毒是“磁碟机”。这步很重要。这两天,不少非磁碟机中招用户盲目认定自己中了磁碟机,实际中的是其它病毒。按照磁碟机处理,用磁碟机专杀,费了很大劲,就是杀不掉(也不可能杀掉)。
2、确定你所中的病毒确为磁碟机后,参考本贴处理即可。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-03-27 19:51 | 显示全部 短消息 资料
字号: 8楼

引用:
【xjyaaa的贴子】磁碟机瘫痪工具怎么运行啊?
………………

双击那个csrss.exe即可
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT