铁军 2008-2-28 16:14
史上超强的磁碟机病毒,中毒之后的解决思路
最近看到很多朋友说中了一种超强超无敌的病毒,中毒后,一般用户基本没办法修复。在联络多个网友分析后发现,中的是磁碟机病毒,该病毒有多个变种,如果本文介绍的方法不能解决的,请在论坛发贴求助,主题中最好带“磁碟机”字样,以便论坛版主、管理员、毒霸研发人员跟进。
为让朋友们彻底了解磁碟机病毒的现象,我将染毒测试的全过程描述出来,供大家参考
因为一旦中了磁碟机病毒,几乎所有主流杀毒软件都会被这个病毒废掉,防毒很容易,中毒后则会给你带来不尽的麻烦。相信很多普通用户中了该病毒的唯一出路就是重装,测试环境用了winxp sp3虚拟机,未安装任何杀毒软件。
1.测试前的准备:
我事先下载了AV终结者专杀,毒霸2008安装包,毒霸打狗棒(机器狗专杀),Autoruns,Process Explorer,冰刃,Sreng,还下载了修复安全模式的注册表脚本。作为普通用户,可能在中毒前,手里根本没有这些工具。
建议用正常电脑上网,从置顶的[url=http://bbs.duba.net/thread-21882797-1-1.html]毒霸论坛下载中心[/url]下载这些工具。
[attach]16111428[/attach]
2.运行病毒后,机器本无异常,习惯性的打开任务管理器,立即发现慢了很多。
[attach]16111429[/attach]
3.没多久,发现弹出多个钓鱼网站。
[attach]16111430[/attach]
4.双击桌面上毒霸2008的安装程序,很快该程序卡死,本次安装没有任何进展,安装程序也不会自己关闭。
5.登录毒霸官网下载清理专家安装包,结果发现刚一开始下载,IE的进程条就不动了,病毒应该是对杀毒厂商的网站进行了攻击。
[attach]16111431[/attach]
6.尝试从其它下载站点下载安装包成功
[attach]16111432[/attach]
7.安装清理专家成功,但清理专家打开后就死掉,无法正常运行。
8.尝试安全模式下运行清理专家,结果重启到安全模式就蓝屏重启。
[attach]16111433[/attach]
9.运行autoruns,发现Appinit_dlls有异常加载,文件为c:\windows\system32\dnsq.dll,这个正是磁碟机病毒注入的dll文件,在很多系统进程中都有注入,强行删除或结束该线程会立即导致蓝屏重启。
尝试用autoruns删除病毒修改的加载项,刷新后很快发现又回来了,证明在清除病毒前,修改注册表键是毫无用处的。
[attach]16111434[/attach]
10.准备使用Process Explorer,结果很快该程序失去响应。
[attach]16111435[/attach]
11.运行AV终结者专杀,发现安全模式被破坏,硬盘根目录有autorun.inf,以及(AV终结者变种av_killer.j的感染信息)
[attach]16111436[/attach]
12.运行冰刃和Sreng均宣告失败,运行毒霸打狗棒未发现任何异常,以此可以排除机器狗病毒。
13.运行磁碟机病毒专杀,发现9个病毒特征。当然,选择清除病毒。程序最后提示需要重启,可以尝试立即重启。
[attach]16111437[/attach]
注意:如果是最新的变种,可能重启后,还会有中毒现象。应该重新运行磁碟机病毒专杀,程序提示重启时,暂不重启,双击“一键修复安全模式的注册表文件”,或者重新启动AV终结者专杀或清理专家。以修复安全模式引导系统。
在本例中,磁碟机专杀清除了全部病毒,重启后,未再发现中毒现象。
14.再次运行金山清理专家,查杀恶意软件,把病毒造成的其它破坏全部修复。
[attach]16111438[/attach]
15.尝试重启到安全模式,这次成功了。
[attach]16111439[/attach]
[size=5][color=red][b]特别提醒:[/b][/color][/size]
[b][size=5][color=#ff0000]从磁碟机病毒的现象来看,普通用户在没有获得磁碟机专杀,或专杀无效的情况下,几乎只有重装系统一条路。[/color][/size][/b]
[b][size=5][color=#ff0000][/color][/size][/b]
[b][color=#ff0000][size=3]防远胜过治,并且防毒其实一点也不难,推荐您阅读[/size][url=http://bbs.duba.net/thread-21831353-1-2.html][size=3]【新手必读】简简单单防病毒[/size][/url][size=3]一文。[/size][/color][/b]
[b][color=#ff0000]
[/color][/b][b][size=4][color=#ff0000][size=3]请点击[url=http://bbs.duba.net/thread-21882797-1-1.html]爱毒霸社区下载中心[/url]下载您最需要的安全工具。[/size]
[/color][/size][/b]
[b][size=5][color=#ff0000]如果有哪位朋友有上面描述的这些现象,而且使用磁碟机专杀也搞不定的。请在此跟贴,并注意留意管理人员给你发的论坛短消息,以便我们迅速跟进,解决这个病毒。[/color][/size][/b]
铁军 2008-2-28 17:10
对磁碟机病毒样本的技术分析
病毒详细信息
病毒全名 Win32.VcingT.ph.204808
病毒长度 204808
威胁级别 ★★
中文名称 磁碟机最新变种
病毒类型 混合型病毒,具备感染、蠕虫、木马的综合特征
病毒简介 该病毒运行后,会在各磁盘根目录产生autorun病毒。并感染所以符合条件的exe文件,可能造成用户文件损坏,并从网络下载更多的病毒,其中含有arp欺骗病毒,可能对局域网产生极大影响,毒霸目前可修复所有被绝大多数感染exe文件。
1.病毒运行后,生成以下病毒文件
c:\WINDOWS\system32\Com\lsass.exe
c:\WINDOWS\system32\Com\smss.exe
c:\WINDOWS\system32\Com\netcfg.dll
c:\WINDOWS\system32\Com\netcfg.000
c:\WINDOWS\system32\dnsq.dll
c:\WINDOWS\system32\drivers\alg.exe (ARP病毒)
c:\037589.log
2.在各盘目录下,autorun.inf和相应的pagefile.pif病毒文件。
3.病毒运行后,感染所有非系统分区下符合条件的exe文件及rar,zip压缩包内的exe文件。
4.感染非系统分区下面的htm,html等网页文件,添加挂马代码。
5.破坏众多安全软件的运行。
6.将自己添加到"C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe.xxxxxx"进行自启动(xxxxxx为随机数字)。
[color=Red]据部分网友反馈的情况,这个文件很难被删除,一个解决的思路是,修改“C:\Documents and Settings\All Users\「开始」菜单\程序\启动”文件夹的高级属性,将所有用户组修改此文件夹的权限删除。使用磁碟机专杀之后,立即重启。这样的话,病毒也没办法向这个目录写入文件。[/color]
7.病毒会先访问[url]http://w.XXX.com/r.htm[/url]获取一个病毒文件列表,用户若安装有防火墙可拦截到此操作。
8.病毒通过IE浏览器连接到网络下载上述列表中的的病毒。
9.列表中含有盗号木马,ARP欺骗病毒等,将对同局域网用户造成极大影响,甚至造成局域网瘫痪。
10.可使用毒霸进行被感染文件的修复。
铁军 2008-2-28 17:10
清理磁碟机病毒,首选毒霸新推出的AV终结者/机器狗专杀,最新版本5.4,可以同时查杀AV终结者,磁碟机,机器狗的新变种。
下载地址 :[url=http://kad.www.duba.net/kas/DubaTool_AV_Killer.com]http://kad.www.duba.net/kas/DubaTool_AV_Killer.com[/url]
tanlimo 2008-2-28 17:12
不错,顶起!
一把锈剑 2008-2-28 17:13
貌似这玩意准备蹲进去了
柯柯 2008-2-28 17:21
虚拟机也能蓝屏啊~~
[[i] 本帖最后由 柯柯 于 2008-2-28 17:22 编辑 [/i]]
hooray 2008-2-28 17:51
再顶!!{tsj02} {tsj02} {tsj02}
PH-Winter 2008-2-28 17:51
回复 6楼 的帖子
[color=purple]虚拟机还是很真实的{yxh136}
不过最近虚拟机的漏洞不晓得什么时候才有补丁
p.s. 机器狗和磁碟机才算是比较典型的病毒 比原来的 XX 烧香好多了
hooray 2008-2-28 17:52
再再再顶!!!{tsj06} {tsj06} {tsj06} {tsj06} {tsj06} {tsj06} {tsj06} {tsj06} {tsj06} {tsj06}
{tsj17} {tsj17} {tsj17} {tsj17} {tsj17} {tsj17} {tsj17} {tsj17} {tsj17} {tsj17}
{tsj26} {tsj26} {tsj26} {tsj26} {tsj26} {tsj26} {tsj26}
镰刀 2008-2-28 18:17
[size=6][color=#ff0000]好东西!人工置顶![/color][/size]
bank-w3000 2008-2-28 18:29
我跟楼主处理的方法基本相同。但是,重启之后并没如此幸运,一开始没事,再次运行安全软件还是一样,一点改观也没有,用磁碟机专杀扫描还是相同的病毒。真是败了。不知何时能研究出来更有效的好办法啊。
slippy 2008-2-28 18:45
好帖,一定要顶{yct27}
meteormatt 2008-2-28 19:04
[quote]原帖由 [i]铁军[/i] 于 2008-2-28 16:14 发表 [url=http://bbs.duba.net/redirect.php?goto=findpost&pid=2783103&ptid=21890093][img]http://bbs.duba.net/images/common/back.gif[/img][/url]
最近看到很多朋友说中了一种超强超无敌的病毒,中毒后,一般用户基本没办法修复。在联络多个网友分析后发现,中的是磁碟机病毒,该病毒有多个变种,如果本文介绍的方法不能解决的,请在论坛发贴求助,主题中最好带“ ... [/quote]我昨天倒霉正好中了这个病毒.真郁闷.昨天金山毒霸升级后需要重启电脑.忘记重启就插上了这个U盘.实时监控功能恰好被我关掉了..导致中了这个病毒.
可是做这个病毒的人没想到我是双系统.结果进Vista.用瑞星把XP的系统区先清理了下.详细的过程有空的话我会继续发在这个帖子里的.
先发张还留着的昨天病毒日志里的图.这几天正好实习很累,昨天搞这个病毒烦都烦死了.以后我再也不关闭实时监控了.这个病毒搞的我的XP系统到现在都有后遗症.MediaPlayer11和很多程序都用不了.
annygi 2008-2-28 19:09
[quote]原帖由 [i]铁军[/i] 于 2008-2-28 16:14 发表 [url=http://bbs.duba.net/redirect.php?goto=findpost&pid=2783103&ptid=21890093][img]http://bbs.duba.net/images/common/back.gif[/img][/url]
最近看到很多朋友说中了一种超强超无敌的病毒,中毒后,一般用户基本没办法修复。在联络多个网友分析后发现,中的是磁碟机病毒,该病毒有多个变种,如果本文介绍的方法不能解决的,请在论坛发贴求助,主题中最好带“ ... [/quot]
昨晚奋战更恐怖……哎!
天月来了 2008-2-28 20:34
难得看金山这的好贴
一把锈剑 2008-2-28 20:50
sreng 不能运行的 原因是磁碟机病毒 给他不断的发送消息让他累死的缘故
.text:00402E24 loc_402E24: ; CODE XREF: sub_4029C7+1F0�j
.text:00402E24 ; sub_4029C7+216�j
.text:00402E24 ; sub_4029C7+22C�j
.text:00402E24 ; sub_4029C7+242�j
.text:00402E24 ; sub_4029C7+258�j
.text:00402E24 ; sub_4029C7+280�j ...
.text:00402E24 33 FF xor edi, edi
.text:00402E24
.text:00402E26
.text:00402E26 loc_402E26: ; CODE XREF: sub_4029C7+F9�j
.text:00402E26 ; sub_4029C7+10F�j
.text:00402E26 ; sub_4029C7+135�j
.text:00402E26 ; sub_4029C7+158�j
.text:00402E26 ; sub_4029C7+16E�j
.text:00402E26 ; sub_4029C7+184�j ...
.text:00402E26 8B 35 CC 93 40 00 mov esi, ds:PostMessageA
.text:00402E2C 33 DB xor ebx, ebx
.text:00402E2C
.text:00402E2E
.text:00402E2E loc_402E2E: ; CODE XREF: sub_4029C7+476�j
.text:00402E2E 57 push edi ; lParam
.text:00402E2F 57 push edi ; wParam
.text:00402E30 53 push ebx ; Msg
.text:00402E31 FF 75 08 push [ebp+hWnd] ; hWnd
.text:00402E34 FF D6 call esi ; PostMessageA
.text:00402E34
.text:00402E36 43 inc ebx
.text:00402E37 81 FB F4 01 00 00 cmp ebx, 1F4h ; 500
.text:00402E3D 7C EF jl short loc_402E2E
.text:00402E3D
.text:00402E3F 57 push edi ; lParam
.text:00402E40 57 push edi ; wParam
.text:00402E41 6A 11 push WM_QUERYENDSESSION ; Msg
.text:00402E43 FF 75 08 push [ebp+hWnd] ; hWnd
.text:00402E46 FF D6 call esi ; PostMessageA
.text:00402E46
.text:00402E48 57 push edi ; lParam
.text:00402E49 6A 01 push 1 ; wParam
.text:00402E4B 6A 16 push WM_ENDSESSION ; Msg
.text:00402E4D FF 75 08 push [ebp+hWnd] ; hWnd
.text:00402E50 FF D6 call esi ; PostMessageA
.text:00402E50
.text:00402E52 57 push edi ; lParam
.text:00402E53 57 push edi ; wParam
.text:00402E54 6A 02 push WA_CLICKACTIVE ; Msg
.text:00402E56 FF 75 08 push [ebp+hWnd] ; hWnd
.text:00402E59 FF D6 call esi ; PostMessageA
.text:00402E59
KSDA4391214 2008-2-29 03:25
我之前就中了这个病毒,11,13,14条我都出现过,查杀之后,也能进安全模式了,可是当我启动电脑里的某一个软件时,又再次中毒!然后我把之前用金山查杀的有病毒的文件的软件都卸了重安,到现在一个星期了,没有再中!可是电脑现在运行的超慢,连用WMP听歌的时候声音都断断续续的,这是不是说明,我电脑里还有着潜在的雌碟机病毒呢?
forumz 2008-2-29 08:10
LZ的方法很好, 只是非系统分区上被感染的EXE文件暂时没有工具可以修复, 试了毒霸2008最新病毒库(能检测出中了毒,但清理的手法是将文件删除,因为选择了清理病毒前先备份,所以在隔离区好在还有备份的文件在,否则就真是惨死了),瑞星专杀(ravDiskGen)等都无法清理修复. 我也在 [url]http://bbs.duba.net/thread-21889547-1-1.html[/url] 这张贴帖里面提交了被感染的EXE文件样本. 希望管理员能跟进,分析一下如何能修复被感染的exe文件, 先感谢DUBA的各位技术人员了. 谢谢~
forumz 2008-2-29 08:12
[quote]原帖由 [i]KSDA4391214[/i] 于 2008-2-29 03:25 发表 [url=http://bbs.duba.net/redirect.php?goto=findpost&pid=2784828&ptid=21890093][img]http://bbs.duba.net/images/common/back.gif[/img][/url]
我之前就中了这个病毒,11,13,14条我都出现过,查杀之后,也能进安全模式了,可是当我启动电脑里的某一个软件时,又再次中毒!然后我把之前用金山查杀的有病毒的文件的软件都卸了重安,到现在一个星期了,没 ... [/quote]
因为你的启动的是一个非系统分区的执行文件, 这个病毒会感染非系统分区(例如D,E,F...)上的EXE执行文件,各类网页文件(htm,html,asp,php...)还有压缩包(rar,zip)内的EXE文件, 所以你执行了一个被感染的执行文件,病毒当然复发了. 很痛苦的.
colorimaging 2008-2-29 14:11
{yct43} 晚了,才看到此帖,上星期俺刚刚帮朋友处理过这病毒机,俺用的是GHOST,铁兄厉害啊。
ncoalh 2008-2-29 16:05
我也中过,真是很牛的病毒。讲一下我的经历吧。
我家有个台老电脑,装了电信公司送的驱逐舰,忽然有一天发现金山的BBS上不去了,金山清理专家也死了,第一反映是中毒了。
然后想了N种办法下载杀毒工具,首先是金山、瑞星、江民、卡巴的官方网站根本上不去,上了一半浏览器就会被关闭,IE和火狐都不行。其次是想在什么新浪、华军软件园上去下载,还是不行,最牛的是用迅雷下载杀软,迅雷也会被终结。接下来是到一些什么深度之类的论坛,还是不行。最后到了一个叫什么霏凡的软件站,下了一个Nod32新发的ESS3.0,也许是新出现的洋货,病毒还不认识它,装上后运行了大概五分钟才死掉,趁着这五分钟内ESS把其中的几个蠕虫隔离住,我到金山网站下载了AV终结者和金山毒霸,不过由于Nod32对木马不感冒,等到它死掉后,硬盘都不能打开了。
后来是在地址栏里输入了C:\才进去,启动了AV终结者,胜利终于走向我这边,等我装好金山后再退到安全模式启动杀毒,这个世界就安宁了。
个人感觉:第一,金山的资源不是白占的,安全才是硬道理。第二,虽然Nod32不能认出很多中国的病毒,但是中国的病毒也不认识它,有时还是有用的。第三,下次杀毒一定要保留样本,有几个进程的名称我在网上查不到资料,其中有一个叫lnnvkip.exe不知大家见过没?
okhqyes 2008-2-29 17:18
原来第三张图的网站是钓鱼网站
幸好我不理它
w1k2202 2008-2-29 22:39
[quote]原帖由 [i]okhqyes[/i] 于 2008-2-29 17:18 发表 [url=http://bbs.duba.net/redirect.php?goto=findpost&pid=2786853&ptid=21890093][img]http://bbs.duba.net/images/common/back.gif[/img][/url]
原来第三张图的网站是钓鱼网站
幸好我不理它 [/quote]
我也才知道那个是钓鱼网站...{tsj01}
不过,看后,已经会修这个病毒了..{tsj11}
86039051 2008-3-1 10:04
我的电脑2月28日就中了这个病毒,谢谢LZ提供了这个方法,现在终于杀了病毒,不过杀完这个毒后,我本人再装了卡巴斯基来全电脑杀毒,再杀了300多个毒,现在我的电脑终于正常,谢谢了,我被这个病毒折磨了我2天,哈哈!!!!!!
menace 2008-3-1 11:33
现在中毒后的日子难过啊
sbwynnss 2008-3-1 12:46
我中了!
我中了!跟你说的一样,幸好看到了你的贴子.
669787589 2008-3-1 13:49
支持下
hqy419 2008-3-1 15:08
好文章,学习!
lzf8881005sc 2008-3-1 15:19
顶王~~
{tsj21} {tsj01} {tsj19} {tsj19} {tsj19} {tsj19} {tsj21} {tsj21} {tsj01} {tsj01}
帽子 2008-3-1 17:35
求助
你好,斑竹,我用金山杀毒时,出现了一个在windows\system\d3xiwcpy.dll 的病毒,金山杀不了,有时好死机,求求你帮我把,我qq是 348953126 !!!!!(请加我)
linying1991 2008-3-1 21:23
我的呢 ?冰刃运行不了,改名改后缀都没用,这病毒真厉害
ksde0018978 2008-3-1 22:38
来晚了也得顶啊,防胜过过杀,受惠了 谢谢{tsj09}
KSDBEX06165484 2008-3-1 23:42
求助
请问这两个是什么病毒,有没有专杀工具?
win32.Troj.AgentT.nc.28160
win32.TrojDownloader.AgrntT.cz.147456
ksdbex01718746 2008-3-2 17:12
{tsj27} 顶
ilovesongyi 2008-3-3 00:17
我的问题是所有的杀毒软件都会被自动关闭。。用了那个LSASS专杀的工具,直接被关了,重装了系统才好。。
ilovesongyi 2008-3-3 00:21
AV终结者还没有启动就被LSASS。EXE给关了。。
最恨病毒 2008-3-3 04:56
磁碟机
怎么起一名字叫磁碟机,是不是通过光盘感染的?
qsq8 2008-3-3 09:01
吹得不错啊,不知能不能行 [url]http://www.qsq8.com[/url]
KSDA2528706 2008-3-3 14:00
555555
好东西,就是不知道能不能解决,一个月前我中了这个毒是从装3遍不行再来个全盘格式化,一个月之后我又中了他了 ,才知道他叫 磁碟机。 现在最好希望斑竹的解决方案对我有用,因为我连那张弹出来的广告网页都一样的。哈哈
xn89393581 2008-3-3 21:03
顶~~~我们网吧就是中这个毒~一直清理不掉~所有机子从新刻盘后~没过几天又出现这种毒~现在看到这帖~觉得很好~~应该多学习下处理~~~
谢谢~
