[讨论] 左青龙右白虎上玄武下朱雀爱毒霸四法宝干掉磁碟机 左青龙, 玄武, 磁碟机, 法宝

一把锈剑

左青龙右白虎上玄武下朱雀爱毒霸四法宝干掉磁碟机


实验环境：

          虚拟机   Microsoft Virtual PC
          操作系统 windows xp
说明：由于本人机子配置不够强悍没有联网测试磁碟机，本文所诉的方法也只是表达我的一种思路，仅供参考。期待安全厂商能够个更好的防御并且能够情理这个病毒，只要大家群策群力就能够欺负磁碟机  。      

2008-3-11 15:06

第一招 此招关键是阉割病毒的自启动运行玄武牌kill_run.bat。结果重新启动电脑以后你也许会发现图

示的错误，如果发现这个说明小阴招已经奏效。我们接下来进行第二招

1. md "%ALLUSERSPROFILE%\「开始」菜单\程序\启动\msvcirt.dll"
   
2. md "%windir%\system32\com\msvcirt.dll"
   
3. md "C:\msvcirt.dll"

复制代码

2008-3-11 15:06

第二招 进行了第一步操作以后发现病毒进程还是存在，可能是随机启动的dnsq.dll在作怪，这时候发现

我们的专杀已经可以运行了，如图所示发现13个病毒特征，OK我们选择清除然后再次重启电脑

2008-3-11 15:06

2008-3-11 15:06

第三招 系统修复现在我们来使用另一款专杀－－av终结者专杀来修复安全模式

2008-3-11 15:06

第四招 清理掉磁碟机下载的其他木马和修复磁碟机感染的文件，由于我是断网测试的磁碟机样本所以这

里没有发现其他下载的木马，对于磁碟机感染的可执行文件，可以尝试使用金山毒霸查杀（最好是到未感染磁碟机的电脑上拷贝毒霸安装目录然后覆盖

掉原来的安装目录以免病毒反复发作）

2008-3-11 15:06

2008-3-11 15:06

2008-3-11 15:06

学习时间：磁碟机貌似很强悍但是人民的力量是无穷的，有时候以毒攻毒未必不是件坏事

1,关于创建msvcirt.dll来阻止磁碟机运行的原理可以尝试通过以下链接了解更多

http://hi.baidu.com/fuxudong/blog/item/550eef54c8701359d1090609.html

http://bbs.pediy.com/showthread.php?t=60849


2,剑盟的网友用修改exe关联的方法来干掉磁碟机想法也很不错的
   
  http://bbs.janmeng.com/thread-721968-1-1.html
3，猫叔（baohe）修改病毒所需cacls.exe和cmd的方法也值得大家尝试
http://forum.ikaka.com/topic.asp?board=28&artid=8430521

[ 本帖最后由 一把锈剑 于 2008-3-11 22:56 编辑 ]

slippy

by 一把锈剑：借用你的沙发 发些新鲜的东西^_^



来自流氓怕武术的思路

http://www.du110.com/viewthread.php?tid=4165

1. attrib -r -s -h "%SystemRoot%\System32\dnsq.dll" && ren
   
2. "%SystemRoot%\system32\dnsq.dll" "dnsq.d11" && echo MZ >
   
3. "%SystemRoot%\System32\dnsq.dll" && attrib +s +r +h
   
4. "%SystemRoot%\System32\dnsq.dll"

复制代码

复制粘贴到命令提示符里，按回车。核心组件已被摧毁，剩下的不必多说了吧。
注：在未完全清除之前会弹出许多的错误提示，不必惊慌，那是因为病毒无法再注入了。只需不断按确定即可。

另一个思路：

http://hi.baidu.com/rmp3/blog/item/57155efbbd34ff126c22eb28.html

封杀磁碟机病毒关键核心文件DNSQ.DLL的有效武器CopyLock
2008-03-10  10:38
CopyLock_1.092 下载见此帖附件:http://www.du110.com/viewthread.php?tid=4155&page=1&extra=page%3D1
（或绿色下载站搜索下也有）
Copylock 汉化版下载地址列表：
http://www.onlinedown.net/soft/5587.htm
http://www.xdowns.com/soft/6/12/2006/Soft_28928.html
http://www.greendown.cn/soft/814.html
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
流氓怕武术论坛 HTTP://WWW.Du110.COM
====================================
这个软件是绿色版，主程序为防止病毒感染，已经改名为CopyLock110.bat，下载解压后运行此文件即可。实际测试时直接执行的原EXE程序，但并没有感染，为稳妥还是改为BAT吧。


软件的使用非常简单，需要注意的是，在中毒后打开软件时，会提示有没有执行的替换任务，问是否保留。选否。
然后在软件的任务列表中，会有3个任务，一个是C:盘根目录的一个随机数字.LOG文件替换为启动文件夹的~.exe.随机数字.exe文件，还有一个任务是COM\LSASS.EXE替换他本身，还有一个DLL文件没有替换目标。。。这三个任务是病毒所为，右键点击相关任务，删除即可。

然后我们要制作一个假的DNSQ.DLL文件，我们就用wupdmgr.exe文件好了，和DNSQ.DLL一样是32256字节，复制出来，改名为DNSQ.DLL备用。

然后点copylock程序界面的“添加”－选“文件替换”，选源文件为我们做的假DNSQ.DLL，选目标文件夹为c:\WINDOWS\system32,当然根据你自己的系统选择相应的分区了。
选好后如下图：



好了，点应用，会提示重启时替换，选择重启。。。
重启后可能会有一个什么错误提示，不记得了，关掉。
现在看看，嘿嘿，所有工具都可以打开了。
打开WSYSCHECK.BAT,删除文件：

C:\WINDOWS\system32\Com\LSASS.EXE
C:\WINDOWS\system32\Com\netcfg.000
C:\WINDOWS\system32\Com\netcfg.dll
C:\WINDOWS\system32\Com\SMSS.EXE
C:\037589.log (6位随机数字.LOG文件）
C:\ls*.exe.随机数字.exe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动    （删除此目录下的~.exe.******.exe）
。。。。。。。。。。

打开杀毒软件，开始杀毒吧，记得把查到的病毒文件选“清除”，不是删除，杀毒软件是可以修复被感染的文件的。
并感谢逍遥浪子和孤单每一天提供的指导和帮助。
别的不多说了。找新样本再试试，不妥之处，欢迎到流氓怕武术论坛指正。。。。

一把锈剑

占楼 磁碟机一边去


查看以下链接 以获得最简便的磁碟机解决方案

http://hi.baidu.com/fuxudong/blog/item/97c2440960086aab2eddd414.html



[ 本帖最后由 一把锈剑 于 2008-3-14 21:34 编辑 ]

w1k2202

真是不错,,,,,好思路啊

镰刀

学习！建议置顶！

tanlimo

都是强招，非常好！

1994

先收下，慢慢学习。。。
顶起来强顶，，

youarechit

有点繁琐。。。但还是可以看明白

86039051

学习了，谢谢LZ！！！！！！！！！！！！！！

Arian

够强悍！

hukai_forever

安全之路很遥远

菲你不可

锈剑太强了

lyq8384618

受教了，谢谢楼主

什么

看的好晕

hqy419

上金山下银海左铁军右毒霸杀病毒再清理消灭机器狗。

水晶王子

严重的支持一个~~~！！！

makubex

沐浴平凡

我还是一直用金山的专杀，现在是6。0，也不错，磁的变种太快了，我们发现病毒及时上报，对大家都好。真是杀的手软，还有杀不掉的。

aaa2117

学习了，谢谢LZ！！！！！！！！！！！！！！

KSDA5572720

很好 很强大