中了据说是磁碟机变种的病毒，高手们帮帮忙

claysoil

我会在三楼更新处理这个病毒的最新进展。


我中了这一个病毒，会在c:\windows\system32\com\下生成SMSS.exe和LSASS.exe以及netcfg.dll和netcfg.000两个文件，并在各磁盘下生成autorun.exe和pagefile.pif，还会在“程序－启动”里放一个～.exe的文件,并会生成SMSS.exe和LSASS.exe两个进程（关联c:\windows\system32\com\下的SMSS.exe和LSASS.exe），并且不能正常终止。

我的360和冰刃均不能打开，用windows优化大师清理流氓软件，当它试图清理pagefile.pif时系统会自动重启。用另一个软件系统进程结束工具syscheck将LSASS.exe结束后，系统在一分钟后会重启。

我在winpe下把system32\com\下的SMSS.exe和LSASS.exe，netcfg.dll和netcfg.000，以及除c盘外的其他盘下的autorun.exe和pagefile.pif均删除，但是重启后，病毒在杀毒软件启动之前又会发作，重新生成SMSS.exe和LSASS.exe进程。

重装了3次了，都没有解决问题。

再补充一下，我的mcafee会删除SMSS.exe，但它又会自动生成一个新的SMSS.exe，就这样重复。

重启后，右下角看不到mcafee图标，但进程里还有相关进程。

当我想把～.exe压缩成一个winrar文件时，～.exe会自动运行，感染htm后缀名的文件。

而且解压winrar文件时，某些文件不能完全解压出来。

从网上下了个360豪华版（带卡巴6.0），用优盘想考到我的电脑，结果插入usb后，那个文件会被自动删除，晕倒。

谁能给个专杀啊？



ps：那个病毒是我从http://www.eplbbs.com/zb.asp（我认为这是一个以看免费英超直播来传播病毒的网站）上下载的，有两个插件，是手动下载的，高手可以去看看，下载下来测试一下。



[ 本帖最后由 claysoil 于 2007-12-21 13:48 编辑 ]

ronin

样本区有这个病毒，在虚拟机试了，规则给突破，重启后，右下角看不到mcafee图标，但进程里还有相关进程，这个比较奇怪

claysoil

2007.12.20:
说说我的处理方法：
先安装了一个防火墙（风云）把所有的监控都打开，并设置为开机启动。

下了一个syscheck，把LSASS.exe和SMSS.exe两个进程终止，就可以用用冰刃将c:\windows\system32\com\下的SMSS.exe和LSASS.exe以及netcfg.dll和netcfg.000，各磁盘下的autorun.exe和pagefile.pif和“程序－启动”里的～.exe的文件统统删掉。当运行某个被感染的exe文件时，风云会提示它要在c:\windows\system32\com\创建上面的两个文件SMSS.exe和LSASS.exe，这时就在对话框选择添加规则，并点击阻止，这样风云防火墙就阻止了重新生成上述文件。（记得删除那个被感染的exe文件，不然以后还是给你带来麻烦）


最重要的一点就是把c盘根目录下的pagefile.pif删除。

接着下了一个新的360，把流氓软件清理了一下，之后修复安装了mcafee，

重新开机之后就一切正常了，然后360又进行了一下更新，再进行流氓扫描，发现了安全模式不正常，并进行了清理。

看来问题解决了！呵呵

别的防火墙也应该可以用，

都怪我为了看英超直播，从网上下载了一个文件，为了安装把mcafee访问保护关了，就这样中毒了，挂了一个主板（也可能不是因为病毒引起的）。

这提醒我们，网上不明来源的软件千万不要装，病毒就是这样来的，

用mcafee的访问保护轻易不要关，防火墙还是要装一个的。

就这样了，希望中毒的人也可以这样把它解决掉。

后续：

我看就把这个做个连载吧，直到把它处理掉
（不知道做这个病毒的人会不会看到这个帖子，在百度搜“磁碟机变种”，第五个就是这个帖子）。

2007.12.21-10:00：
昨天晚上用卡巴7杀了一个晚上，今天早上病毒又出现了，右下角卡巴有两个图标，其中一个鼠标一移动到那里 就不见了，另一个一直在，把鼠标放在上面只显示卡巴的版本和数据库发布时间，不过鼠标右击没有任何反应。
中午用360安全卫士诊断工具检测的结果：
继续求助。

2007.12.22-20:00：
病毒会感染exe文件，你重装之后，当运行它感染的exe文件时，又会重新生成SMSS.exe和LSASS.exe，netcfg.dll，netcfg.ooo，以及各盘下生成autorun.exe 和pagefile.pif。它不感染c盘的exe文件，只感染其他盘的exe文件，所以重装没有用。

解决的方法就是把它感染的exe全部删除，但现在可能还没有哪个杀毒软件能完全杀得一干二净。

在就是装防火墙防止重新生成SMSS.exe和LSASS.exe，很多防火墙有这个功能。

我这几天用卡巴斯基和avg更新到最新病毒库，在安全模式下全盘杀毒了几次，杀出了很多被感染的exe文件，昨天晚上到现在病毒没有再出现。

[ 本帖最后由 claysoil 于 2007-12-22 21:03 编辑 ]

ronin

mcafee其实很脆弱，要安装软件时候关闭保护

claysoil

这一点却是不好，没有完美的软件

ronin

只是将注册表的启动项删除了，麦咖啡规则顶住了，卡巴和江民牺牲了

gzjhf

用的是什么规则？

jshzdh

病毒会破坏你执行的文件，如WINRAR.exe,QQ.exe,其他杀毒软件、防火墙等等，在后台自动下载病毒，冰刃和其他工具都会被破坏，今天我用优化大师进程管理工具清除掉病毒进程，用最新版本查杀修复也不行，显示系统正常，但被病毒感染文件(一般是像QQ.exe和QQ.exe.txt两个文件)始终存在，病毒在内存中运行时好像禁止访问XX的博客。我分析病毒制造者在跟踪XX的专杀工具，并且已经替换了系统文件(如wuauclt.exe, smss.exe,csrss.exe等系统system32目录下文件比较可疑)。我是通过360打补丁时被劫持，误安装带毒补丁造成系统中毒的。重装和GHOST恢复等恢复均无法清除，系统中很多执行文件被破坏，被破坏的文件更改时间也不显示。

    mcafee会删除SMSS.exe，但它又会自动生成一个新的SMSS.exe，而且内存中可能有带毒文件，mcafee识别不了，执行部分EXE文件会被病毒破坏，同时生成如xxx.exe和xxx.exe.txt文件，xxx为文件名。

[ 本帖最后由 jshzdh 于 2007-12-20 20:45 编辑 ]

yaker

好厉害！３６０打补丁都被劫持了？

jshzdh

杀软无效 局域网内恶性arp病毒斗争纪


杀软无效 局域网内恶性arp病毒斗争纪
最近12天内突然发现已经基本被扑灭的arp有回探的趋势,本来以为此病毒用arp防火墙就可以很轻松的解决


但是两个星期在学校局域网内的杀毒经历却使人精疲力尽,仅用此文介绍与此病毒斗争的经历以及病毒不断进化的事实希望和大家一

起解决这个问题


在此病毒刚开始的时候,大部分情况是网络时段时通.所有asp网页上方均被加入google的广告,右下角弹出送200q币的仿腾讯消息.很

多人说校内的网站被人黑了.但我们检查过服务器网段均访问一切正常,结合发现很多校外较大形的网站也出现此问题.我们认定是网

页在病毒发作的网段被劫持,在网页源码上加入代码<script src = hxxp://121.11.245.180/1.js></script>外联这个木马站点（xx替换成tt） .被加入广告和色情.我们用卡巴司机和dr web以及

360和windows清理助手反复查杀,发现主要携带者为优盘-- 1: autorun.inf 连接pagefile.pif(dos属性)  2:是doorxx类型病毒携带

当这两者被干掉后arp消失,网络通畅.小广告消失.hehe当时还是很高兴 优盘病毒不过如此吗


4天后这些问题在我们连续捉住十台机器后依然没有结束,反而越来越烈.我们使用交大的arpdetect不断检测出arp攻击甚至一台机器

的发包超过网关20倍.同时还多台机器发作.此次我们根据ip地址去查,被骗的很惨,病毒机真实ip与设备显示发包ip吻合率不到20%

白跑楼上楼下不计其数.终于见识了伪造ip的arp的厉害,tmd甚至把自己变成交换机.还好根据我们的mac记录和购买的几十万的流量检

测设备能90%检测到真实的地址.而这次病毒机的情况有了新变化 door作为载体已经不存在了 ,不过360安全卫士启动出现问题 经典

的内存0000000x问题然后退出,windows清理助手启动杀毒后不断显示你是否同意推出windows清理助手.最后消失,卡巴斯基和小红伞

均查不出病毒 .安全模式蓝瓶.最后只能请出win pe盘在运行绿色windows清理助手,查出autorun+pagefile.pif已然还在 但是在

windows/system32/com下查出了新东西lsass.exe netcfg.000 netcfg.dll smss.exe (360显示为变身蠕虫.广告)生成时间非常接近 和此目录下的其他文件则时

间相差很远 必是病毒 另外还查处有病毒下载器.不禁心中一凉,不会是arp欺骗下载exe病毒+优盘双重传播吧.好待pe能搞定他


今天下午7点开始给领导办公室查毒,皆为卡巴斯基 红伞 drweb 查不出病毒而360和清理助手军报错被前行退出.汗我已经对杀软失望

了 把是否有毒的判断依据定位为木马专杀工具是否正常,真可悲.令我大为不解的是在pe下用windows清理助手和360全盘查杀完后病

毒再次出现反复如此.pe下不可能出现病毒被系统级保护,需重启杀毒的问题.被此病毒晃点2,3次后我把问题集中到启动系统时的进程

上  真是令人汗颜 我看到很多随即生成的类似xjhdhds.exe进程 ~e.exe进程 以及一闪就退出的360arp防护墙 他关安全卫士还能理

解,关arp防火墙干吗? 正在不解中  随后令人震惊的ping.exe和cmd.exe进程出现了 汗原来pe下杀掉的毒又从假冒网关上下回来了

system32下出现dnsq.dll dnsq.dll.log wpcap.dll wpcap.dll.log 000.cfg0等最新时间生成的文件 杀软和安全工具都不报

还能说什么呢 这下真是碰到能自动更新的病毒了 从下载器以量取胜在到现在从网上下载不断进化的病毒 再加上劫持广告流量
我们都准备投降了

杀软对没有病毒本体 都是脚本和命令行的这种木马有啥办法呢 只能靠专杀了 杀完了以后又怎样防呢,我曾经遇到

开着arp防火墙用ie7上微软的msn网站结果被下载一堆.exe ie直接死掉出现dos窗口 还好红伞事后扫描全干掉 可当时没挡住

局域网算是完了 大家以后用adsl吧