中了据说是磁碟机变种的病毒，高手们帮帮忙

jshzdh

刚看到上面这篇文章，我发现我的机器的wuauclt.exe文件运行时加载了一串命令行，估计先关闭自动更新再启动，会有效果吧

jshzdh

杀软对没有病毒本体 都是脚本和命令行的这种木马有啥办法呢 只能靠专杀了 杀完了以后又怎样防呢

claysoil

实际上在运行那个不明来源的exe文件后，mcafee删除了不少感染了病毒的html文件，我的风云防火墙也提示SMSS.exe和LSASS.exe有阻止ping.exe（也许是别的，具体的忘了）的行为，我一看是system32里的exe文件，就把它放行了，结果放毒上山，重启后就成这样了。以后防火墙的提示得看清楚了。

按照上述方法处理后，mcafee的图标在右下角还是没有显示。应该在注册表里怎么修改呢？

[ 本帖最后由 claysoil 于 2007-12-20 21:52 编辑 ]

ouran

楼主遭遇的似乎是利用映像劫持的反制性木马或者恶意程序

1.只要能运行Wsyscheck0830，你就能干掉它

2.启动Wsyscheck0830之后，在＂软件设置＂中选择＂禁止进程和线程创建＂（此时，你不能运行别的工具，当然，如果没有映像劫持，你可以提前运行安全工具，然后执行此操作）

3.选择结束相关木马进程并删除文件，并在Wsyscheck0830的＂工具＂栏中选择清除autorun.inf．

4.系统级的进程中的木马或者病毒线程用卸载＂模块＂的方式，千万别结束整个进程，否则就是蓝屏和重启，呵呵，要区别脏水和孩子．

5.卸载模块之后，用Wsyscheck0830的＂文件管理＂，将其定位，删除

以上几个过程需要谨慎，细心，耐心，不然重启动木马又激活了

6.重新启动，修复映像劫持，运行sreng等其它工具，消灭残余
当然以上办法针对的是　非文件性病毒或者木马．对于文件性病毒，hips似乎也没有多大作用，包括mcafee的访问保护

[ 本帖最后由 ouran 于 2007-12-20 22:52 编辑 ]

fifa45

重装系统就好了

ronin

禁止CMD运行，禁止伪装WINDOS进程，禁止在windows和system32根目录生成exe文件，禁止不明程序调用IE进程，也可以制定规则保护macfee的启动项不会给删除

jshzdh

病毒很利害，McAfee识别不了，带毒文件一运行就会删除所有杀毒软件(mcafee有进程保护，关闭不了)和防火墙、木马克星等等，删除注册表中启动项，破坏文件隐藏属性，添加自启动项，破坏安全模式，带毒环境下运行的执行文件被破坏，同时自动访问病毒网页下载病毒……


  折腾了3天，终于解决问题

有两种办法供参考：第1种：用WINPE光盘启动，清除硬盘带毒文件(利用lsass.exe、smss.exe专杀工具)，下载地址http://bbs.360safe.com/viewthrea ... 7&page=1#pid2134127

之后可以重新安装和恢复

                  2、在带毒系统中用进程工具(大部分工具会被破坏)结束多余的lsass.exe进程，删除c:\windows\system32\com\下病毒文件和自启动项.exe文件，修复注册表，用LsassKiller清除全盘带毒文件，重新启动，修复注册表自启动项(可以利用一些工具软件)


基本搞惦

[ 本帖最后由 jshzdh 于 2007-12-22 22:10 编辑 ]

claysoil

原帖由 jshzdh 于 2007-12-22 18:41 发表
病毒很利害，McAfee识别不了，带毒文件一运行就会删除所有杀毒软件(mcafee有进程保护，关闭不了)和防火墙、木马克星等等，删除注册表中启动项，破坏文件隐藏属性，添加自启动项，破坏安全模式，带毒环境下运行的执行 ...

楼上，没那么简单。我的电脑重装好几次，都还没有完全搞定。
病毒会感染exe文件，你重装之后，当运行它感染的exe文件时，又会重新生成SMSS.exe和LSASS.exe，netcfg.dll，netcfg.ooo，以及各盘下生成autorun.exe 和pagefile.pif。它不感染c盘的exe文件，只感染其他盘的exe文件，所以重装没有用。

解决的方法就是把它感染的exe全部删除，但现在可能还没有哪个杀毒软件能完全杀得一干二净。

在就是装防火墙防止重新生成SMSS.exe和LSASS.exe，很多防火墙有这个功能。

我这几天用卡巴斯基和avg更新到最新病毒库，在安全模式下全盘杀毒了几次，杀出了很多被感染的exe文件，这两天病毒没有再出现。

jshzdh

呵呵，我的电脑是修复的，不想重装。可公司其他在局域网的电脑基本上是重新安装的，重新安装之前必须先全盘杀毒。


有的为了省事，都是将硬盘硬盘拆卸下来批量杀毒，再重新安装系统，要不然重装或者GHOST都会重新中毒。

另外，杀毒或者安装时要断网，病毒运行时在后台自动下载病毒并更新


     自启动软件需要手工修复，病毒运行时会清除注册表中所有自启动项下进程。

[ 本帖最后由 jshzdh 于 2007-12-22 22:11 编辑 ]

jshzdh

楼上的，修复注册表可以用下面的工具，这个工具杀毒识别率不高，修复注册表还可以(对注册表熟悉的可以用其他工具)

http://xzhsoft.blog.sohu.com/70855600.html