铁军

最近看到很多朋友说中了一种超强超无敌的病毒，中毒后，一般用户基本没办法修复。在联络多个网友分析后发现，中的是磁碟机病毒，该病毒有多个变种，如果本文介绍的方法不能解决的，请在论坛发贴求助，主题中最好带“磁碟机”字样，以便论坛版主、管理员、毒霸研发人员跟进。

为让朋友们彻底了解磁碟机病毒的现象，我将染毒测试的全过程描述出来，供大家参考

因为一旦中了磁碟机病毒，几乎所有主流杀毒软件都会被这个病毒废掉，防毒很容易，中毒后则会给你带来不尽的麻烦。相信很多普通用户中了该病毒的唯一出路就是重装，测试环境用了winxp sp3虚拟机，未安装任何杀毒软件。

1.测试前的准备：
我事先下载了AV终结者专杀，毒霸2008安装包，毒霸打狗棒（机器狗专杀），Autoruns，Process Explorer，冰刃，Sreng，还下载了修复安全模式的注册表脚本。作为普通用户，可能在中毒前，手里根本没有这些工具。

建议用正常电脑上网，从置顶的毒霸论坛下载中心下载这些工具。

1.png (312.63 KB)

2008-2-28 16:14

2.运行病毒后，机器本无异常，习惯性的打开任务管理器，立即发现慢了很多。

2.png (273.74 KB)

2008-2-28 16:14

3.没多久，发现弹出多个钓鱼网站。

3.png (361.97 KB)

2008-2-28 16:14

4.双击桌面上毒霸2008的安装程序，很快该程序卡死，本次安装没有任何进展，安装程序也不会自己关闭。

5.登录毒霸官网下载清理专家安装包，结果发现刚一开始下载，IE的进程条就不动了，病毒应该是对杀毒厂商的网站进行了攻击。

4.png (131.7 KB)

2008-2-28 16:14

6.尝试从其它下载站点下载安装包成功

5.png (188.4 KB)

2008-2-28 16:14

7.安装清理专家成功，但清理专家打开后就死掉，无法正常运行。

8.尝试安全模式下运行清理专家，结果重启到安全模式就蓝屏重启。

6.png (51.61 KB)

2008-2-28 16:14

9.运行autoruns，发现Appinit_dlls有异常加载，文件为c:\windows\system32\dnsq.dll，这个正是磁碟机病毒注入的dll文件，在很多系统进程中都有注入，强行删除或结束该线程会立即导致蓝屏重启。

尝试用autoruns删除病毒修改的加载项，刷新后很快发现又回来了，证明在清除病毒前，修改注册表键是毫无用处的。

7.png (29.59 KB)

2008-2-28 16:14

10.准备使用Process Explorer，结果很快该程序失去响应。

8.png (27.82 KB)

2008-2-28 16:14

11.运行AV终结者专杀，发现安全模式被破坏，硬盘根目录有autorun.inf，以及（AV终结者变种av_killer.j的感染信息）

9.png (48.82 KB)

2008-2-28 16:14

12.运行冰刃和Sreng均宣告失败，运行毒霸打狗棒未发现任何异常，以此可以排除机器狗病毒。

13.运行磁碟机病毒专杀，发现9个病毒特征。当然，选择清除病毒。程序最后提示需要重启，可以尝试立即重启。

10.png (13.75 KB)

2008-2-28 16:14

注意：如果是最新的变种，可能重启后，还会有中毒现象。应该重新运行磁碟机病毒专杀，程序提示重启时，暂不重启，双击“一键修复安全模式的注册表文件”，或者重新启动AV终结者专杀或清理专家。以修复安全模式引导系统。

在本例中，磁碟机专杀清除了全部病毒，重启后，未再发现中毒现象。

14.再次运行金山清理专家，查杀恶意软件，把病毒造成的其它破坏全部修复。

11.png (59.51 KB)

2008-2-28 16:14

15.尝试重启到安全模式，这次成功了。

12.png (36.04 KB)

2008-2-28 16:14

特别提醒：
从磁碟机病毒的现象来看，普通用户在没有获得磁碟机专杀，或专杀无效的情况下，几乎只有重装系统一条路。

防远胜过治，并且防毒其实一点也不难，推荐您阅读【新手必读】简简单单防病毒一文。

请点击爱毒霸社区下载中心下载您最需要的安全工具。

如果有哪位朋友有上面描述的这些现象，而且使用磁碟机专杀也搞不定的。请在此跟贴，并注意留意管理人员给你发的论坛短消息，以便我们迅速跟进，解决这个病毒。

铁军

病毒详细信息
病毒全名  Win32.VcingT.ph.204808
病毒长度  204808
威胁级别  ★★
中文名称  磁碟机最新变种
病毒类型  混合型病毒，具备感染、蠕虫、木马的综合特征
病毒简介  该病毒运行后，会在各磁盘根目录产生autorun病毒。并感染所以符合条件的exe文件，可能造成用户文件损坏，并从网络下载更多的病毒，其中含有arp欺骗病毒，可能对局域网产生极大影响，毒霸目前可修复所有被绝大多数感染exe文件。

1.病毒运行后，生成以下病毒文件
c:\WINDOWS\system32\Com\lsass.exe
c:\WINDOWS\system32\Com\smss.exe
c:\WINDOWS\system32\Com\netcfg.dll
c:\WINDOWS\system32\Com\netcfg.000
c:\WINDOWS\system32\dnsq.dll
c:\WINDOWS\system32\drivers\alg.exe (ARP病毒)
c:\037589.log

2.在各盘目录下，autorun.inf和相应的pagefile.pif病毒文件。

3.病毒运行后，感染所有非系统分区下符合条件的exe文件及rar,zip压缩包内的exe文件。

4.感染非系统分区下面的htm,html等网页文件，添加挂马代码。

5.破坏众多安全软件的运行。

6.将自己添加到"C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe.xxxxxx"进行自启动(xxxxxx为随机数字)。

据部分网友反馈的情况，这个文件很难被删除，一个解决的思路是，修改“C:\Documents and Settings\All Users\「开始」菜单\程序\启动”文件夹的高级属性，将所有用户组修改此文件夹的权限删除。使用磁碟机专杀之后，立即重启。这样的话，病毒也没办法向这个目录写入文件。

7.病毒会先访问http://w.XXX.com/r.htm获取一个病毒文件列表，用户若安装有防火墙可拦截到此操作。

8.病毒通过IE浏览器连接到网络下载上述列表中的的病毒。

9.列表中含有盗号木马，ARP欺骗病毒等，将对同局域网用户造成极大影响，甚至造成局域网瘫痪。

10.可使用毒霸进行被感染文件的修复。

铁军

清理磁碟机病毒，首选毒霸新推出的AV终结者/机器狗专杀，最新版本5.4，可以同时查杀AV终结者，磁碟机，机器狗的新变种。

下载地址 ：http://kad.www.duba.net/kas/DubaTool_AV_Killer.com

tanlimo

不错，顶起！

一把锈剑

貌似这玩意准备蹲进去了

柯柯

虚拟机也能蓝屏啊~~

[ 本帖最后由 柯柯 于 2008-2-28 17:22 编辑 ]

hooray

再顶！！

PH-Winter

虚拟机还是很真实的

不过最近虚拟机的漏洞不晓得什么时候才有补丁

p.s. 机器狗和磁碟机才算是比较典型的病毒 比原来的 XX 烧香好多了

hooray

再再再顶！！！ {tsj06} {tsj06} {tsj06} {tsj06} {tsj06} {tsj06} {tsj06}
{tsj17} {tsj17} {tsj17} {tsj17} {tsj17} {tsj17} {tsj17}
{tsj26} {tsj26} {tsj26} {tsj26}

镰刀

好东西!人工置顶!

bank-w3000

我跟楼主处理的方法基本相同。但是，重启之后并没如此幸运，一开始没事，再次运行安全软件还是一样，一点改观也没有，用磁碟机专杀扫描还是相同的病毒。真是败了。不知何时能研究出来更有效的好办法啊。

slippy

好帖，一定要顶

meteormatt

引用:

原帖由 铁军 于 2008-2-28 16:14 发表
最近看到很多朋友说中了一种超强超无敌的病毒，中毒后，一般用户基本没办法修复。在联络多个网友分析后发现，中的是磁碟机病毒，该病毒有多个变种，如果本文介绍的方法不能解决的，请在论坛发贴求助，主题中最好带“ ...

我昨天倒霉正好中了这个病毒.真郁闷.昨天金山毒霸升级后需要重启电脑.忘记重启就插上了这个U盘.实时监控功能恰好被我关掉了..导致中了这个病毒.
可是做这个病毒的人没想到我是双系统.结果进Vista.用瑞星把XP的系统区先清理了下.详细的过程有空的话我会继续发在这个帖子里的.
先发张还留着的昨天病毒日志里的图.这几天正好实习很累,昨天搞这个病毒烦都烦死了.以后我再也不关闭实时监控了.这个病毒搞的我的XP系统到现在都有后遗症.MediaPlayer11和很多程序都用不了.

annygi

[quote]原帖由 铁军 于 2008-2-28 16:14 发表
最近看到很多朋友说中了一种超强超无敌的病毒，中毒后，一般用户基本没办法修复。在联络多个网友分析后发现，中的是磁碟机病毒，该病毒有多个变种，如果本文介绍的方法不能解决的，请在论坛发贴求助，主题中最好带“ ... [/quot]


昨晚奋战更恐怖……哎！

天月来了

难得看金山这的好贴

一把锈剑

sreng 不能运行的 原因是磁碟机病毒  给他不断的发送消息让他累死的缘故


.text:00402E24                   loc_402E24:                   ; CODE XREF: sub_4029C7+1F0j
.text:00402E24                                                 ; sub_4029C7+216j
.text:00402E24                                                 ; sub_4029C7+22Cj
.text:00402E24                                                 ; sub_4029C7+242j
.text:00402E24                                                 ; sub_4029C7+258j
.text:00402E24                                                 ; sub_4029C7+280j ...
.text:00402E24 33 FF             xor     edi, edi
.text:00402E24
.text:00402E26
.text:00402E26                   loc_402E26:                   ; CODE XREF: sub_4029C7+F9j
.text:00402E26                                                 ; sub_4029C7+10Fj
.text:00402E26                                                 ; sub_4029C7+135j
.text:00402E26                                                 ; sub_4029C7+158j
.text:00402E26                                                 ; sub_4029C7+16Ej
.text:00402E26                                                 ; sub_4029C7+184j ...
.text:00402E26 8B 35 CC 93 40 00 mov     esi, ds:PostMessageA
.text:00402E2C 33 DB             xor     ebx, ebx
.text:00402E2C
.text:00402E2E
.text:00402E2E                   loc_402E2E:                   ; CODE XREF: sub_4029C7+476j
.text:00402E2E 57                push    edi                   ; lParam
.text:00402E2F 57                push    edi                   ; wParam
.text:00402E30 53                push    ebx                   ; Msg
.text:00402E31 FF 75 08          push    [ebp+hWnd]            ; hWnd
.text:00402E34 FF D6             call    esi ; PostMessageA
.text:00402E34
.text:00402E36 43                inc     ebx
.text:00402E37 81 FB F4 01 00 00 cmp     ebx, 1F4h             ; 500
.text:00402E3D 7C EF             jl      short loc_402E2E
.text:00402E3D
.text:00402E3F 57                push    edi                   ; lParam
.text:00402E40 57                push    edi                   ; wParam
.text:00402E41 6A 11             push    WM_QUERYENDSESSION    ; Msg
.text:00402E43 FF 75 08          push    [ebp+hWnd]            ; hWnd
.text:00402E46 FF D6             call    esi ; PostMessageA
.text:00402E46
.text:00402E48 57                push    edi                   ; lParam
.text:00402E49 6A 01             push    1                     ; wParam
.text:00402E4B 6A 16             push    WM_ENDSESSION         ; Msg
.text:00402E4D FF 75 08          push    [ebp+hWnd]            ; hWnd
.text:00402E50 FF D6             call    esi ; PostMessageA
.text:00402E50
.text:00402E52 57                push    edi                   ; lParam
.text:00402E53 57                push    edi                   ; wParam
.text:00402E54 6A 02             push    WA_CLICKACTIVE        ; Msg
.text:00402E56 FF 75 08          push    [ebp+hWnd]            ; hWnd
.text:00402E59 FF D6             call    esi ; PostMessageA
.text:00402E59

KSDA4391214

我之前就中了这个病毒，１１，１３，１４条我都出现过，查杀之后，也能进安全模式了，可是当我启动电脑里的某一个软件时，又再次中毒！然后我把之前用金山查杀的有病毒的文件的软件都卸了重安，到现在一个星期了，没有再中！可是电脑现在运行的超慢，连用ＷＭＰ听歌的时候声音都断断续续的，这是不是说明，我电脑里还有着潜在的雌碟机病毒呢？

forumz

LZ的方法很好, 只是非系统分区上被感染的EXE文件暂时没有工具可以修复, 试了毒霸2008最新病毒库(能检测出中了毒,但清理的手法是将文件删除,因为选择了清理病毒前先备份,所以在隔离区好在还有备份的文件在,否则就真是惨死了),瑞星专杀(ravDiskGen)等都无法清理修复. 我也在 http://bbs.duba.net/thread-21889547-1-1.html  这张贴帖里面提交了被感染的EXE文件样本. 希望管理员能跟进,分析一下如何能修复被感染的exe文件, 先感谢DUBA的各位技术人员了. 谢谢~

forumz

引用:

原帖由 KSDA4391214 于 2008-2-29 03:25 发表
我之前就中了这个病毒，１１，１３，１４条我都出现过，查杀之后，也能进安全模式了，可是当我启动电脑里的某一个软件时，又再次中毒！然后我把之前用金山查杀的有病毒的文件的软件都卸了重安，到现在一个星期了，没 ...

因为你的启动的是一个非系统分区的执行文件, 这个病毒会感染非系统分区(例如D,E,F...)上的EXE执行文件,各类网页文件(htm,html,asp,php...)还有压缩包(rar,zip)内的EXE文件, 所以你执行了一个被感染的执行文件,病毒当然复发了. 很痛苦的.

colorimaging

  晚了，才看到此帖，上星期俺刚刚帮朋友处理过这病毒机，俺用的是GHOST，铁兄厉害啊。