铁军 2008-3-3 11:08
以极难杀的磁碟机病毒为实例,解说中毒现象和清除思路
[color=#ff0000]史上超强的磁碟机病毒,中毒之后的解决思路[/color]
最近看到很多朋友说中了一种超强超无敌的病毒,中毒后,一般用户基本没办法修复。在联络多个网友分析后发现,中的是磁碟机病毒,该病毒有多个变种,如果本文介绍的方法不能解决的,请在论坛发贴求助,主题中最好带“磁碟机”字样,以便论坛版主、管理员、毒霸研发人员跟进。
为让朋友们彻底了解磁碟机病毒的现象,我将染毒测试的全过程描述出来,供大家参考
因为一旦中了磁碟机病毒,几乎所有主流杀毒软件都会被这个病毒废掉,防毒很容易,中毒后则会给你带来不尽的麻烦。相信很多普通用户中了该病毒的唯一出路就是重装,测试环境用了winxp sp3虚拟机,未安装任何杀毒软件。
1.测试前的准备:
我事先下载了AV终结者专杀,毒霸2008安装包,毒霸打狗棒(机器狗专杀),Autoruns,Process Explorer,冰刃,Sreng,还下载了修复安全模式的注册表脚本。作为普通用户,可能在中毒前,手里根本没有这些工具。
建议用正常电脑上网,从置顶的[url=http://bbs.duba.net/thread-21882797-1-1.html][color=#800080]毒霸论坛下载中心[/color][/url]下载这些工具。
[img]http://bbs.duba.net/attachments/month_0802/20080228_98f98c114be3623e259figrr8aJ88WlS.png[/img]
2.运行病毒后,机器本无异常,习惯性的打开任务管理器,立即发现慢了很多。
[img]http://bbs.duba.net/attachments/month_0802/20080228_110fbd07e37bc63fd992l3ll81Ql3IZw.png[/img]
3.没多久,发现弹出多个钓鱼网站。
[img]http://bbs.duba.net/attachments/month_0802/20080228_711589085379b5d6265fr4zRgwRR0DZg.png[/img]
4.双击桌面上毒霸2008的安装程序,很快该程序卡死,本次安装没有任何进展,安装程序也不会自己关闭。
5.登录毒霸官网下载清理专家安装包,结果发现刚一开始下载,IE的进程条就不动了,病毒应该是对杀毒厂商的网站进行了攻击。
[img]http://bbs.duba.net/attachments/month_0802/20080228_32ea68465c0ad066f119dtAtqt4iEHfO.png[/img]
6.尝试从其它下载站点下载安装包成功
[img]http://bbs.duba.net/attachments/month_0802/20080228_19b92545bb8d35b1c4e3QAF6W7zKnfPf.png[/img]
7.安装清理专家成功,但清理专家打开后就死掉,无法正常运行。
8.尝试安全模式下运行清理专家,结果重启到安全模式就蓝屏重启。
[img]http://bbs.duba.net/attachments/month_0802/20080228_4ee5f168db3910f5328c5cp09VwgFFZ9.png[/img]
9.运行autoruns,发现Appinit_dlls有异常加载,文件为c:\windows\system32\dnsq.dll,这个正是磁碟机病毒注入的dll文件,在很多系统进程中都有注入,强行删除或结束该线程会立即导致蓝屏重启。
尝试用autoruns删除病毒修改的加载项,刷新后很快发现又回来了,证明在清除病毒前,修改注册表键是毫无用处的。
[img]http://bbs.duba.net/attachments/month_0802/20080228_1fcef0e52e6265d525f6rUsU4lXoPwZQ.png[/img]
10.准备使用Process Explorer,结果很快该程序失去响应。
[img]http://bbs.duba.net/attachments/month_0802/20080228_2413412f53124a9c1971ermAuVk8phJP.png[/img]
11.运行AV终结者专杀,发现安全模式被破坏,硬盘根目录有autorun.inf,以及(AV终结者变种av_killer.j的感染信息)
[img]http://bbs.duba.net/attachments/month_0802/20080228_5b26e99856e030ccd4d5PVLYhf4pS4RE.png[/img]
12.运行冰刃和Sreng均宣告失败,运行毒霸打狗棒未发现任何异常,以此可以排除机器狗病毒。
13.运行磁碟机病毒专杀,发现9个病毒特征。当然,选择清除病毒。程序最后提示需要重启,可以尝试立即重启。
[img]http://bbs.duba.net/attachments/month_0802/20080228_fc737a5406e641d41ca30io5YwQqJ3LD.png[/img]
注意:如果是最新的变种,可能重启后,还会有中毒现象。应该重新运行磁碟机病毒专杀,程序提示重启时,暂不重启,双击“一键修复安全模式的注册表文件”,或者重新启动AV终结者专杀或清理专家。以修复安全模式引导系统。
在本例中,磁碟机专杀清除了全部病毒,重启后,未再发现中毒现象。
14.再次运行金山清理专家,查杀恶意软件,把病毒造成的其它破坏全部修复。
[img]http://bbs.duba.net/attachments/month_0802/20080228_ee42ebca2e2d3315d9c3Vn1h30DOnHzP.png[/img]
15.尝试重启到安全模式,这次成功了。
[img]http://bbs.duba.net/attachments/month_0802/20080228_5bfa0fbad78bf1096b4d4FBV3w7yQ1QQ.png[/img]
[size=5][color=#ff0000][b]特别提醒:[/b][/color][/size]
[b][size=5][color=#ff0000]从磁碟机病毒的现象来看,普通用户在没有获得磁碟机专杀,或专杀无效的情况下,几乎只有重装系统一条路。[/color][/size][/b]
[b][color=#ff0000][size=3]防远胜过治,并且防毒其实一点也不难,推荐您阅读[/size][url=http://bbs.duba.net/thread-21831353-1-2.html][size=3][color=#0066cc]【新手必读】简简单单防病毒[/color][/size][/url][size=3]一文。[/size][/color][/b]
[b][color=#ff0000]
[/color][/b][b][size=4][color=#ff0000][size=3]请点击[url=http://bbs.duba.net/thread-21882797-1-1.html][color=#800080]爱毒霸社区下载中心[/color][/url]下载您最需要的安全工具。[/size][/color][/size][/b]
cainiao882 2008-3-3 14:41
我的办公电脑中的就是 这个病毒
是不是必须下载 磁碟机病毒专杀 才可以处理 ? 我的联想电脑有磁盘保护系统,怎样取消保护后利用专杀进行处理 ? 为什么有磁盘保护还是感染上了这种病毒?
qq2303 2008-3-3 16:25
{tsj19} 现在市面上的杀毒软件琳琅满目,选择杀毒软件不是看软件的知名度,而是找到真正适合自己的杀毒软件。金山毒霸会是我要选择的吗?
teyqiu 2008-3-4 08:52
这篇帖子很好啊。{tsj01}
c317628248 2008-3-6 18:23
求助
我的金山杀毒软件不知道是怎么了 老是不能文件实时防毒。邮件监控,恶意行为拦截 重装了系统也是这样 说什么运行环境不稳定或文件损坏。。怎么办
13912977104 2008-3-7 21:52
求助
我的金山杀毒软件不知道是怎么了 老是不能文件实时防毒。恶意行为拦截 重启了就说什么运行环境不稳定或文件损坏。。怎么办.......
xc81877996 2008-3-7 23:54
文章分析的好..
刚好前两天见过这个病毒..呵呵.
现在用360的机器狗4.0配合DY1.4可杀..
这里有见识了.
l505994 2008-3-10 01:29
你们说了这么多.那什么是磁机啊
yangj 2008-3-10 19:22
希望您能回答
当我用金山清理专家为系统大分时,发现了可疑文件,如下:[attach]16118319[/attach]
这是它的详细信息:
[attach]16118320[/attach]
我应该怎么处理它回更好?
张三毛 2008-3-12 09:55
很好!版主很有学问。{tsj30}
chengang 2008-3-15 09:29
好好啊
好好啊
KSDA4285881 2008-3-19 20:59
我只知道中文上网是个恶意软件,请十楼的把中文上网删了,以免把自己机子也给感染了。555……我已经被感染了,只好在朋友家玩我心爱的QQ宠物了。555…………
zhou_yiwei 2008-3-21 13:20
学习了.
liuchun121 2008-3-23 11:05
学习
ksdc0274119 2008-3-23 20:59
好久没有这么详细的杀毒报告了!!!!
hqy419 2008-3-26 07:49
铁老大辛苦了,谢谢!
liuchun121 2008-3-26 22:18
学习
380355221 2008-4-1 13:12
求助
所有exe文件不可以打开 杀完毒后过半小时再杀还是有 我C盘装了冰点还原所以没事 但其它盘的应用程序都不可以开 {tsj32} {tsj03} {tsj03} 请教教我该怎么做
zhoutianxiong 2008-4-2 09:24
这个病毒的确是非常强大的,碰到过,也杀过
KSDA3309561 2008-4-4 20:41
{tsj13}
langziran 2008-4-5 20:18
求助
[b][i][size=7][color=red]我的电脑不知道中了什么病毒所有的杀毒软件都打不开了希望各位朋友帮我分析一下谢谢各位了。{tsj08} {tsj08} {tsj08} [/color][/size][/i][/b]
langziran 2008-4-5 20:50
求助
我的电脑不知道是怎么回事所有的杀毒软件都打不开希望大家帮忙分析一下谢谢各位了{tsj08} {tsj08} {tsj08}
hongbawudi 2008-4-8 23:02
多了去了,用AV专杀试试!
mingelz 2008-4-16 09:42
一个月前我的电脑就是因为同事用时直接双击U盘盘符,于是中招了……
害得我重装系统。。。。
KSDB8066165 2008-4-17 10:27
教你简单杀磁碟
直接去网站上杀你们说的真是太麻烦了,[url=http://shadu.baidu.com/KingDuBa/index.jsp]http://shadu.baidu.com/KingDuBa/index.jsp[/url] 不过就是免费时间有点间隔
ll81709743 2008-4-20 00:17
好文章啊
chaodabo 2008-4-28 08:45
胡说吧,手动可以杀掉,不麻烦的。只要活用文件夹替换方法,一般没什么病毒杀不掉的。
旋风中心 2008-5-4 20:57
[quote]原帖由 [i]c317628248[/i] 于 2008-3-6 18:23 发表 [url=http://bbs.duba.net/redirect.php?goto=findpost&pid=2804054&ptid=21891665][img]http://bbs.duba.net/images/common/back.gif[/img][/url]
我的金山杀毒软件不知道是怎么了 老是不能文件实时防毒。邮件监控,恶意行为拦截 重装了系统也是这样 说什么运行环境不稳定或文件损坏。。怎么办 [/quote]
恩 似乎咱们有着同样一个问题 每次开机要手动把他们启动才可以
gayle 2008-5-6 16:51
真是好东西啊 谢谢老大
闪电快乐 2008-6-13 21:15
支持!
呵呵!不错。{chinaz13}
lppy2008 2008-6-15 12:47
病毒越来越多了
──━★风 2008-6-20 16:11
貌似好象中过
{yct51}
j543200 2008-6-26 18:30
好文章啊 顶下~~~~~
liguogang 2008-7-4 16:24
谢谢,谢谢{chinaz13} {chinaz9}
页:
[1]
