“磁碟机”病毒已经成为近期各大反病毒论坛求助量最大的问题之一,中毒计算机可能出现以下一种或多种异常现象:
1、系统运行缓慢、频繁出现死机、蓝屏、报错等现象;
2、进程中出现两个lsass.exe和两个smss.exe,且病毒进程的用户名是当前登陆用户名;
3、杀毒软件被破坏,无法正常开启,多种安全辅助工具无法正常开启;
4、系统时间被篡改;
5、病毒感染.exe文件导致其图标发生变化;
6、无法进入安全模式;
7、隐藏文件无法显示;
8、组策略被破坏。
应对策略如下:
[初级用户] 使用“磁碟机”专杀工具处理下载地址:
http://download.rising.com.cn/zsgj/ravDiskGen.exe优化版“磁碟机”专杀工具(推荐使用)下载地址:
http://forum.ikaka.com/topic.asp?board=109&artid=8436751<使用前必读>
1、务必事先断开网络,最简单的方法是拔掉网线或禁用网卡;关闭已启动的其他应用程序;
2、判断专杀工具本身是否已被感染(见附图),通过对比不难发现染毒文件的图标明显发生变化,属性中缺少“版本”标签,文件大小也比正常的大;
3、第一次运行专杀工具查杀时,如果专杀发现计算机感染有磁碟机病毒,会提示重启计算机,选择重启后立即打开专杀工具进行第二次查杀;
4、如查杀过程中出现异常(如专杀工具自动关闭、异常报错、电脑重启、发现病毒提示清除失败等),无需理会,重启后用专杀工具重新进行杀毒即可;
5、专杀工具查杀不到病毒后,请修复或重新安装本机的杀毒软件、防火墙;
6、杀毒软件正常运行后需立即升级,再使用最新版本的杀毒软件在断网情况下全盘扫描(一定要全盘扫描,不要只查杀C盘!);
7、如操作中遇到任何问题,请在反病毒论坛内发帖求助,标题注明“磁碟机病毒咨询”,以便问题尽快解决。
8、如果发现1.3专杀运行后即提示发现磁碟机,需要重启,重启后再次运行专杀工具仍有此提示。这是因为本地硬盘任意分区根目录下存在免疫文件夹autorun.inf和c:\windows\system32\中生成了dnsq.dll文件夹,且无法删除导致的,可以将每个分区根目录下的autorun.inf和c:\windows\system32\中生成了dnsq.dll文件夹进行改名后再运行专杀 [高级用户]可参考以下手工处理方法:1、猫叔的《菜鸟也能灭掉“磁碟机”》
http://forum.ikaka.com/topic.asp?board=28&artid=84274642、清新阳光的《利用瑞星主动防御碾死"磁碟机"新变种(pagefile.pif,lsass.exe.smss.exe)》
http://forum.ikaka.com/topic.asp?board=28&artid=84136353、使用XDelBox删除病毒文件(仅限操作系统安装在C:\Windows目录)
XDelBox使用方法:
http://forum.ikaka.com/topic.asp?board=28&artid=8381032使用时一定拔掉所有移动存储设备,将下面分隔线中的的文件路径全部复制,然后打开XDelBox直接使用右键菜单的
“剪贴板导入不检查路径”导入,勾选“抑制再生”、“驱动安全删除模式”、“备份文件”,最后选择右键菜单的“立刻重启删除”。
———————————————————————————————————————
C:\WINDOWS\system32\Com\LSASS.EXE
C:\WINDOWS\system32\Com\netcfg.000
C:\WINDOWS\system32\Com\netcfg.dll
C:\WINDOWS\system32\Com\SMSS.EXE
C:\WINDOWS\system32\dnsq.dll
C:\037589.log
———————————————————————————————————————
重启计算机后会看到一个请选择要启动的操作系统的提示,倒计时5秒,
第一个选项是你自己的Windows系统,
第二个选项是XDelBox的Go XDelBox To Del Files,
默认自动选择第二项,会进入类似DOS的界面,这期间什么操作都不用做,等待它自动运行即可,
待病毒文件删除后会自动重启回到Windows系统,
此时不要双击或右键单击打开任何分区,用冰刃删除每个分区下的autorun.inf和pagefile.pif最后升级杀毒软件到最新版,全盘杀毒。
———————————————————————————————————————
常用工具下载:
XDelBox下载:
http://www.dodudou.com/down/ 打开后选择【原创软件】,下载
“XDELBOX 磁碟机专用测试版”冰刃下载:
http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zipwindows清理助手下载:
http://www.arswp.com/download.html修复被破坏的“隐藏受保护的操作系统文件(推荐)”选项:
http://img.namipan.com/downfile/16da398cfcdf2ddffad9c580c3f94f13656e29038e020000/%E9%9A%90%E8%97%8F%E5%8F%97%E4%BF%9D%E6%8A%A4%E7%9A%84%E6%93%8D%E4%BD%9C%E7%B3%BB%E7%BB%9F%E6%96%87%E4%BB%B6.zip清理临时文件工具ATF-Cleaner-cn下载:
http://img.namipan.com/downfile/40e62f751ebd7f3e378fc6247a66b25dc428dbbc3fcd0000/ATF-Cleaner-cn.zipIframeKill下载:(快速清除网页文件中的恶意代码)
http://img.namipan.com/downfile/00e5b209abc5ced57d8136dad2390f2329c884dac24f0300/IframeKill.zip附件:
9252632008226121042.jpg 
