内核级恶魔病毒— 磁碟机 样本（已找到专杀+rappar大师纯手工解决方案）

5551551

原帖由 ALEXBLAIR 于 2008-3-2 21:35 发表
首先，可以十分明确的说，你提供的样本在染毒后，重新启动到安全模式（命令提示符的）
，然后执行如下步骤即可清除病毒
（以卡巴为例子）cd/d %windir%\system32

del /f dnsq.dll

echo .>dnsq.dll

echo W ...

应该不行，有个女大学生被这病毒折腾了三天三夜，她的情况就是进不了安全模式。还有，这东东好像在安全模式下也能启动。（我三天内碰到四五个网友中这毒从南方到东北的都有）

tanlimo

WinPE伺候

5551551

原帖由 hsandstone 于 2008-3-2 20:56 发表
用这个东东可以解决掉。

211976

杀掉又生，我试过无数次了。要是这么容易就可以解决的话那我早承认我是吹了，哪里还配得上“毒王之王”这称号~！

5551551

原帖由 tanlimo 于 2008-3-2 23:48 发表
WinPE伺候

WinPE？不敢和毒王在XP里斗了吧？这就说明你失败了

1201

这病毒我运行了怎么没反应？我用的是麦咖啡。

tanlimo

我这人不爱自虐

深红的雪

1、组策略禁止com\lsass.exe、smss.exe启动
2、将dnsq.dll改名，然后新建一个文本，并改名为dnsq.dll，再覆盖重新生成的dnsq.dll即可。
3、重启一下，就会发现什么软件工具都能启动了。
然后该修复的修复，该删除的删除，完事~~

5551551

原帖由 lengxue624 于 2008-3-2 23:20 发表
去瑞星 去剑盟，N多人都手杀掉了
常去这些地方逛逛，没有杀不了的毒

瑞星网站吗还差不多，瑞星软件就不要提了，样本里还残留有一个瑞星的文件呢，正版瑞星就这样被干掉了

5551551

原帖由 tanlimo 于 2008-3-2 23:59 发表
我这人不爱自虐

其实说的是另一回事。
你想想看，要是都像你说的这样，那杀毒厂商全部改行去做PE得了

5551551

原帖由 rappar 于 2008-3-3 00:10 发表
1、组策略禁止com\lsass.exe、smss.exe启动
2、将dnsq.dll改名，然后新建一个文本，并改名为dnsq.dll，再覆盖重新生成的dnsq.dll即可。
3、重启一下，就会发现什么软件工具都能启动了。
然后该修复的修复，该删除 ...

似乎到了该唱“东方红，太阳升，卡饭出了个~~~”的时候了！
太晚了，明天试下先