|
如何判定是否种了磁碟机:
1.某些常用安全软件打不开,或打开后立即被关闭;
2.无法进入Windows安全模式;
3.无法正常显示系统隐藏文件;
4.任务管理器中有两个lsass.exe和smss.exe进程;
5.使用Winrar浏览\system32\com\目录有以下病毒文件:
o systemroot%\system32\com\lsass.exe
o %systemroot%\system32\com\smss.exe
o %systemroot%\system32\com\netcfg.dll
o %systemroot%\system32\com\netcfg.000
6.硬盘根目录下有pagefile.pif和autorun.inf文件;
7.系统目录下存在dnsq.dll文件。
感染该病毒后主要有如下症状:
1、系统运行缓慢、频繁出现死机、蓝屏、报错等现象;
2、进程中出现两个lsass.exe和两个smss.exe ,且病毒进程的用户名是当前登陆用户名;
3、杀毒软件被破坏,多种安全软件无法打开,安全站点无法访问;
4、系统时间被篡改,无法进入安全模式,隐藏文件无法显示;
5、在所有磁盘中添加autorun.inf和pagefile.pif,使得用户双击打开磁盘的同时运行病毒,从而可以U盘、活动硬盘传播
。
6、病毒感染.exe文件导致其图标发生变化;
7、会对局域网发起ARP攻击,并篡改下载链接为病毒链接,从病毒服务器下载最新病毒;
8、弹出钓鱼网站
磁碟机病毒的主要传播渠道是:
1、U盘/移动硬盘/数码存储卡
2、局域网ARP攻击
3、感染文件
4、恶意网站下载
5、其它木马下载器下载
病毒分析:
病毒运行后会在每个磁盘下生成pagefile.exe和Autorun.inf文件,并每隔几秒检测文件是否存在,修改注册表键值,破坏“显示系统文件”功能。每隔一段时间会检测自己破坏过的显示文件、安全模式、Ifeo、病毒文件等项,如被修改则重新破坏。病毒执行后,会删除病毒主体文件。同时病毒会监lsass.exe、smss.exe、dnsq.dll文件,如果假设不存在的话则重新生成。当拷贝失败后,病毒会调用rd
/s /q命令删除原来的文件,再重新写入。病毒会连接恶意网址下载大量木马病毒。
1.从以下网址下载脚本http://www.****.****/*.htm、.....。
2.生成名为”MCI Program Com Application”的窗口。
3.程序会删除注册表
SOFTWARE\Microsoft\Windows\CurrentVersion\Run项下的所有键值。
4.查找带以下关键字的窗口,查找带以下关键字的窗口,如果找到则向其发消息将其退出:RsRavMon、McShield、PAVSRV…
5.启动regsvr32.exe进程,把动态库netcfg.dll注到该进程中。
6.遍历磁盘,在所有磁盘中添加autorun.inf和pagefile.pif,使得用户打开磁盘的同时运行病毒。
7.通过calcs命令启动病毒进程得到完全控制权限,使得其他进程无法访问该进程。
8.感染可执行文件,当找个可执行文件时,把正常文件放在自己最后一个节中,通过病毒自身所带的种子值对正常文件进行加密。
预防方案:
1、关闭U盘的“自动播放功能”。运行可执行程序时先进行杀毒。
2、及时升级系统漏洞。
3、将病毒库升级到最新,并开启防病毒软件的实时监控。
手工查杀方法:
这个“磁碟机”一般中招后病毒均通过调用系统程序cmd.exe加载此驱动。
行了。从CMD入手 :
1、关闭所有安全软件。
2、用改名大法将system32和dllcache目录下的cmd.exe临时改名为cm.dll(一定要改两个目录的文件)。重启系统看看。
3、重启系统后,检查system32和dllcache目录。发现改名后的cm.dll都在,但是,system32目录下出现了一个怪怪的cmd.exe。这个cmd.exe的logo不同于正常的cmd.exe
这个cmd是无法运行的,这个就是病毒现从I386目录里找出来的,那病毒也无法运行了。
4、接下来将所有病毒文件手工删除(如果那个cmd.exe管用,那么NetApi000.sys可加载既病毒即可加载,病毒已经完整运行了。病毒文件是删不掉的)。
5、病毒文件清理干净以后,删除system32目录下那个异常的cmd.exe。将system32和dllcache目录下的cm.dll改回cmd.exe。
(此方法涉及修改系统文件,初学者慎用!)
此方法可以在专杀工具无法开启的情况下使用。, 在病毒不能运行的情况下再开启杀毒软件或者专杀工具 事半功倍
[1]
[2] [3]
[4]
[下一页]
|