AUTO病毒变种

claysoil

刚写的可能不够清楚，把我的问题再总结如下吧

中了据说是磁碟机变种的病毒，高手们帮帮忙

中了这么一个病毒，会在c:\windows\system32\com\下生成SMSS.exe和LSASS.exe以及netcfg.dll和netcfg.000两个文件，并在各磁盘下生成autorun.exe和pagefile.pif，还会在“程序－启动”里放一个～.exe的文件,并会生成SMSS.exe和LSASS.exe两个进程（关联c:\windows\system32\com\下的SMSS.exe和LSASS.exe），并且不能正常终止。

我的360和冰刃均不能打开（即使把冰刃另改个名字），用windows优化大师清理流氓软件，当它试图清理pagefile.pif时系统会自动重启。用另一个软件系统进程结束工具syscheck将LSASS.exe结束后，系统在一分钟后会重启。

我在winpe下把system32\com\下的SMSS.exe和LSASS.exe，netcfg.dll和netcfg.000，以及除c盘外的其他盘下的autorun.exe和pagefile.pif均删除，但是重启后，病毒在杀毒软件启动之前又会发作，重新生成SMSS.exe和LSASS.exe进程。

重装了3次了，都没有解决问题。

再补充一下，我的mcafee会删除SMSS.exe，但它又会自动生成一个新的SMSS.exe，就这样重复。

重启后，右下角看不到mcafee图标，但进程里还有相关进程。

当我想把～.exe压缩成一个winrar文件时，～.exe会自动运行，感染htm后缀名的文件。

而且解压winrar文件时，某些文件不能完全解压出来。

从网上下了个360豪华版（带卡巴6.0），用优盘想考到我的电脑，结果插入usb后，那个文件会被自动删除，晕倒。

我电脑上的绿色版360文件夹里，只要有360的文件名的文件都被病毒给咔嚓了。

中那个中毒后，安全模式进不去，会蓝屏，而且把我一个主板烧掉了，刚换回一个二手主板，进安全模式时还是会蓝屏，就不敢进第二次了，上次就是两次没进的去安全模式，蓝屏，然后主板就挂了。



谁能给个专杀啊？

ronin

这个厉害，咖啡没有作用

claysoil

似乎搞定了，呵呵。
我先安装了一个防火墙（风云）把所有的监控都打开，并设置为开机启动。

下了一个syscheck，把LSASS.exe和SMSS.exe两个进程终止，就可以用用冰刃将c:\windows\system32\com\下的SMSS.exe和LSASS.exe以及netcfg.dll和netcfg.000，各磁盘下的autorun.exe和pagefile.pif和“程序－启动”里的～.exe的文件统统删掉，然后风云防火墙就阻止了重新生成上述文件，

最重要的一点就是把c盘根目录下的pagefile.pif删除。

接着下了一个新的360，把流氓软件清理了一下，之后修复安装了mcafee，

重新开机之后就一切正常了，然后360又进行了一下更新，再进行流氓扫描，发现了安全模式不正常，并进行了清理。

看来问题解决了！呵呵

别的防火墙也应该可以用，

都怪我为了看英超直播，从网上下载了一个文件，为了安装把mcafee访问保护关了，就这样中毒了，挂了一个主板（也可能不是因为病毒引起的）。

这提醒我们，网上不明来源的软件千万不要装，病毒就是这样来的，

用mcafee的访问保护轻易不要关，防火墙还是要装一个的。

就这样了，希望中毒的人也可以这样把它解决掉。

[ 本帖最后由 claysoil 于 2007-12-20 14:40 编辑 ]

dsd1982

是 变身广告a 啦

解决步骤
1 拔网线

2 windows清理助手查杀木马和注册表 改名防止劫持
清楚auto文件 和pagefile。pif

3卡巴红伞全盘扫毒 别偷懒 漏一个exe你就白忙了 这步最好在winpe下进行免得他们杀软自身都被感染

4 ok后装彩影的arp防火墙 禁用cmd  修复安全模式

claysoil

楼上说的对，360已经把这个变身广告a删除了，但重启后又发现mcafee图标右下角还是没有，它的3个进程还在，奇怪了。昨天用mcafee杀了一个晚上，结果今天还是照旧，现在在装卡巴，希望能彻底把病毒元搞定。

dsd1982

我在网上找到的一篇行为分析 zt的
行为分析：

1、释放病毒副本：

%Systemroot%\system32\Com\lsass.exe 94208 字节
%Systemroot%\system32\Com\smss.exe 9365 字节
%Systemroot%\system32\Com\netcfg.dll 40960 字节

2、添加启动文件夹，开机启动：

C:\Documents and Settings\当前用户名\「开始」菜单\程序\启动\~.pif

另外netcfg.dll尝试加载Shellhooks注册表项，但没有实现。

3、调用cacls，本身不判断文件系统（FAT或NTFS），后解除目录Com的权限，设为完全控制。

参数为：C:\winnt\system32\com /e /t /g admin:F

4、连接网络121.11.245.1**（ 广东省惠州市 电信）下载一个ARP病毒

释放到：%Systemroot%\system32\drivers\alg.exe 15181 字节

5、查找硬盘的文件，如名称里有“360”字样则删除。

6、可能会关闭一些窗口：

"ollydbg"
"softice"
"ida"
"asm"
"360"
"木马"
"清除"
..................

7、另外那个仿系统文件的smss.exe，应该和主体lsass.exe是互斥体，也起着进程守护的作用。

8、查找磁盘，生成Auorun.inf和pagefile.pif。

9、跳过C盘，开始感染EXE文件，但并不全部感染。

感染时先把文件加载内存中，提取其图标资源，最后删除原文件，把修改过的文件栲贝回去。

因为这样，所以图标会变模糊，可能是无法读32位的....（知道的大牛请指导下）

PS：运行感染的文件，会释放一个filename.exe.log。但是仍无法执行

用PE工具对比下，基本上文件是报废了，区段被覆盖，DOS头、入口等都发生变化``

10、感染文件时如果发现Zip和Rar格式的，则用Rar自解压命令释放EXE文件，感染后重新打包放回原处！

汗一个....高科技了

11、查找硬盘的htm、html、asp、spx、php、jsp网页文件，插入一段框架代码（16进制加密）

解后得：h**p://js.k0102.com/01.asp。

被和谐了汗，打不开！

sam.to

Scanned file:   Com.rar  - Infected
Com.rar/Com/comadmin.dll - OK
Com.rar/Com/comempty.dat - OK
Com.rar/Com/comexp.msc - OK
Com.rar/Com/comrepl.exe - OK
Com.rar/Com/comrereg.exe - OK
Com.rar/Com/LSASS.EXE - OK
Com.rar/Com/mtsadmin.tlb - OK
Com.rar/Com/netcfg.000 - infected by Virus.Win32.Xorer.cd
Com.rar/Com/netcfg.dll - infected by Virus.Win32.Xorer.cd
Com.rar/Com/SMSS.EXE - infected by Virus.Win32.Xorer.ca

未报的上报

[ 本帖最后由 kato9096 于 2007-12-20 18:14 编辑 ]

luhaikongzy

汗，各位大哥的方法挺有用的，毒是能杀，但是系统破损无法修复了。说不定还有其它没被发现的问题的，还是重装一次保险的。

hao8219

小红伞拒绝访问

BLHIZW

SMSS.exe和LSASS.exe   这两个进程有问题吗?