12
返回列表 发新帖
楼主: claysoil
收起左侧

[求助] 中了据说是磁碟机变种的病毒,高手们帮帮忙

[复制链接]
jshzdh
发表于 2007-12-20 21:07:43 | 显示全部楼层
刚看到上面这篇文章,我发现我的机器的wuauclt.exe文件运行时加载了一串命令行,估计先关闭自动更新再启动,会有效果吧
jshzdh
发表于 2007-12-20 21:16:52 | 显示全部楼层
杀软对没有病毒本体 都是脚本和命令行的这种木马有啥办法呢 只能靠专杀了 杀完了以后又怎样防呢
claysoil
 楼主| 发表于 2007-12-20 21:49:07 | 显示全部楼层
实际上在运行那个不明来源的exe文件后,mcafee删除了不少感染了病毒的html文件,我的风云防火墙也提示SMSS.exe和LSASS.exe有阻止ping.exe(也许是别的,具体的忘了)的行为,我一看是system32里的exe文件,就把它放行了,结果放毒上山,重启后就成这样了。以后防火墙的提示得看清楚了。

按照上述方法处理后,mcafee的图标在右下角还是没有显示。应该在注册表里怎么修改呢?

[ 本帖最后由 claysoil 于 2007-12-20 21:52 编辑 ]
ouran
发表于 2007-12-20 22:29:10 | 显示全部楼层
楼主遭遇的似乎是利用映像劫持的反制性木马或者恶意程序

1.只要能运行Wsyscheck0830,你就能干掉它

2.启动Wsyscheck0830之后,在"软件设置"中选择"禁止进程和线程创建"(此时,你不能运行别的工具,当然,如果没有映像劫持,你可以提前运行安全工具,然后执行此操作)

3.选择结束相关木马进程并删除文件,并在Wsyscheck0830的"工具"栏中选择清除autorun.inf.

4.系统级的进程中的木马或者病毒线程用卸载"模块"的方式,千万别结束整个进程,否则就是蓝屏和重启,呵呵,要区别脏水和孩子.

5.卸载模块之后,用Wsyscheck0830的"文件管理",将其定位,删除

以上几个过程需要谨慎,细心,耐心,不然重启动木马又激活了

6.重新启动,修复映像劫持,运行sreng等其它工具,消灭残余
当然以上办法针对的是 非文件性病毒或者木马.对于文件性病毒,hips似乎也没有多大作用,包括mcafee的访问保护

[ 本帖最后由 ouran 于 2007-12-20 22:52 编辑 ]
fifa45
头像被屏蔽
发表于 2007-12-21 00:14:10 | 显示全部楼层
重装系统就好了
ronin
发表于 2007-12-21 09:50:26 | 显示全部楼层
禁止CMD运行,禁止伪装WINDOS进程,禁止在windows和system32根目录生成exe文件,禁止不明程序调用IE进程,也可以制定规则保护macfee的启动项不会给删除
jshzdh
发表于 2007-12-22 18:41:18 | 显示全部楼层
病毒很利害,McAfee识别不了,带毒文件一运行就会删除所有杀毒软件(mcafee有进程保护,关闭不了)和防火墙、木马克星等等,删除注册表中启动项,破坏文件隐藏属性,添加自启动项,破坏安全模式,带毒环境下运行的执行文件被破坏,同时自动访问病毒网页下载病毒……


  折腾了3天,终于解决问题

有两种办法供参考:第1种:用WINPE光盘启动,清除硬盘带毒文件(利用lsass.exe、smss.exe专杀工具),下载地址http://bbs.360safe.com/viewthrea ... 7&page=1#pid2134127

之后可以重新安装和恢复

                  2、在带毒系统中用进程工具(大部分工具会被破坏)结束多余的lsass.exe进程,删除c:\windows\system32\com\下病毒文件和自启动项.exe文件,修复注册表,用LsassKiller清除全盘带毒文件,重新启动,修复注册表自启动项(可以利用一些工具软件)


基本搞惦

[ 本帖最后由 jshzdh 于 2007-12-22 22:10 编辑 ]
claysoil
 楼主| 发表于 2007-12-22 20:04:35 | 显示全部楼层
原帖由 jshzdh 于 2007-12-22 18:41 发表
病毒很利害,McAfee识别不了,带毒文件一运行就会删除所有杀毒软件(mcafee有进程保护,关闭不了)和防火墙、木马克星等等,删除注册表中启动项,破坏文件隐藏属性,添加自启动项,破坏安全模式,带毒环境下运行的执行 ...

楼上,没那么简单。我的电脑重装好几次,都还没有完全搞定。
病毒会感染exe文件,你重装之后,当运行它感染的exe文件时,又会重新生成SMSS.exe和LSASS.exe,netcfg.dll,netcfg.ooo,以及各盘下生成autorun.exe 和pagefile.pif。它不感染c盘的exe文件,只感染其他盘的exe文件,所以重装没有用。

解决的方法就是把它感染的exe全部删除,但现在可能还没有哪个杀毒软件能完全杀得一干二净。

在就是装防火墙防止重新生成SMSS.exe和LSASS.exe,很多防火墙有这个功能。

我这几天用卡巴斯基和avg更新到最新病毒库,在安全模式下全盘杀毒了几次,杀出了很多被感染的exe文件,这两天病毒没有再出现。
jshzdh
发表于 2007-12-22 22:06:39 | 显示全部楼层
呵呵,我的电脑是修复的,不想重装。可公司其他在局域网的电脑基本上是重新安装的,重新安装之前必须先全盘杀毒。


有的为了省事,都是将硬盘硬盘拆卸下来批量杀毒,再重新安装系统,要不然重装或者GHOST都会重新中毒。

另外,杀毒或者安装时要断网,病毒运行时在后台自动下载病毒并更新


     自启动软件需要手工修复,病毒运行时会清除注册表中所有自启动项下进程。

[ 本帖最后由 jshzdh 于 2007-12-22 22:11 编辑 ]
jshzdh
发表于 2007-12-22 22:19:32 | 显示全部楼层
楼上的,修复注册表可以用下面的工具,这个工具杀毒识别率不高,修复注册表还可以(对注册表熟悉的可以用其他工具)

http://xzhsoft.blog.sohu.com/70855600.html
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-28 17:30 , Processed in 0.082016 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表