再谈“菜鸟级用户应对磁碟机中招”问题 bbs.ikaka.com

baohe - 2008-2-28 10:45:00

以前发过帖子，谈过菜鸟也能暂时解决磁碟机中招问题。但多数人按照那个流程做不下来。还有人说不能彻底解决感染文件的问题。
是的。这个办法只是去除系统分区的病毒文件。单分区系统，这样就能搞掂了（磁碟机不感染系统分区文件）。
多分区系统的非系统分区依然有被病毒感染的文件；用户运行这些被感染文件，依然会完全激活磁碟机病毒。
被感染文件数目的多寡，取决于每个用户非系统分区存放的文件类型及数量。总之，非系统分区的被感染文件要靠杀软或专杀工具解决，因为数量较大，且去除被感染文件中的病毒代码也不是手工操作能胜任的。
此外，搞掂系统分区的所有病毒文件后，只要暂时不进非系统分区，不会再次激活此毒。

为了说明问题，如下图所示，彻底让我的系统中了这个2008－02－25新出的磁碟机变种。然后，再用更改系统文件名的办法搞掂系统分区的病毒。详细过程如下（仅供有实际动手能力者参考）：

1、（图最下部棕色框）：彻底关闭所有安全软件。
2、（图中部粉色框）：去掉先前定义的预防“磁碟机”的“软件限制策略。
以上两步的目的是确保磁碟机病毒能实机完整运行。
3、运行磁碟机样本setup.exe。
4、（图下部三个绿色框）：按照I386、dllcache、system32的顺序，依次去除这三个文件夹中cmd.exe、cacls.exe的后缀。此过程中，“WINDOWS文件保护机制”被触发，操作过程中会出现系统报警：WINDOWS系统程序被替换为不可识别的版本。这是我们改动cmd.exe和cacls.exe文件名的结果。依次在提示框中点击“取消”、“是”即可。
5、重启系统。
6、（图上部红色框）：重启系统后，因为无cmd.exe和cacls.exe可用，磁碟机病毒无法完整运行。IceSword、SRENG等常用工具已可正常使用。手工删除系统分区的所有病毒文件即可。
非系统分区根目录下的autorun.inf和pagefile.pif也可手工删除。至于非系统分区的被感染文件————等待杀软更新后或找管用的专杀工具处理。

[用户系统信息]Opera/9.26 (Windows NT 5.1; U; zh-cn)

附件: 1558472008228103403.jpg

天月来了 - 2008-2-28 11:05:00

猫再次强调这个

估计还是没多少人能听你的。

Aasetup - 2008-2-28 11:10:00

还是很实用的方法, 我至少不用光盘来清理了. 谢谢猫叔

baohe - 2008-2-28 11:15:00

引用:

【天月来了的贴子】猫再次强调这个

估计还是没多少人能听你的。

………………

能帮多少算多少吧

侠者秋水 - 2008-2-28 12:21:00

哎，很多人连隐藏文件都不会显示，文件在哪都不会找
他们只会运行专杀

spiritfire - 2008-2-28 14:15:00

引用:

【baohe的贴子】
能帮多少算多少吧
………………

猫叔，中此毒之后，再装SSM可以亡羊补牢么？

forumz - 2008-2-28 14:22:00

用之前安铁诺的 auk_diskgen 专杀还是能清理病毒本体文件的, 但对被感染了的exe执行文件就暂时没有专杀能够修复了,昨天已经提交了新的病毒样本给瑞星, 希望更新的 rav_diskgen 专杀能够及时推出, 打救广大磁碟机病毒的受害者

xiaoxiongjoy - 2008-2-28 14:30:00

收藏了

天月来了 - 2008-2-28 14:36:00

引用:

【spiritfire的贴子】
猫叔，中此毒之后，再装SSM可以亡羊补牢么？
………………

不行

冰雪之花 - 2008-2-28 15:02:00

该用户帖子内容已被屏蔽

冰雪之花 - 2008-2-28 15:02:00

该用户帖子内容已被屏蔽

baohe - 2008-2-28 16:34:00

引用:

【spiritfire的贴子】
猫叔，中此毒之后，再装SSM可以亡羊补牢么？
………………

中毒后，现装SSM？估计没门儿了（没试过）。
这么说吧：
就算你已经安装了SSM，但没加载运行。中此毒之后，你运行SSM，会报：SSM驱动丢失，请重新安装SSM。

silences - 2008-2-28 17:22:00

有的学了 .....

jmbt - 2008-2-28 17:46:00

好贴

sako - 2008-2-29 1:15:00

引用:

【天月来了的贴子】猫再次强调这个

估计还是没多少人能听你的。

………………

的确,新手的方法,还原不行就重装
猫叔的一片苦心!

xqy2005 - 2008-2-29 9:45:00

dllcache这个目录我都找不到了呀！！！依次去除这三个文件夹中cmd.exe、cacls.exe的后缀

baohe - 2008-2-29 10:25:00

引用:

【xqy2005的贴子】dllcache这个目录我都找不到了呀！！！依次去除这三个文件夹中cmd.exe、cacls.exe的后缀
………………

dllcache是个隐藏目录。
system32————能找到吧？
找到了system32，看下图：

附件: 1558472008229101404.jpg

turry - 2008-2-29 11:37:00

可怜猫叔一片苦心

中分 - 2008-2-29 11:47:00

强烈关注学习。

撞飞一头牛 - 2008-2-29 23:34:00

...........不明白你在说什么

sako - 2008-3-1 8:58:00

学习学习,已经教化好几个重装新手了

aaccbbdd - 2008-3-1 12:09:00

学习了。猫叔太强了。

evil病毒 - 2008-3-3 10:55:00

请问猫叔，I386在那个文件目录下啊？

baohe - 2008-3-3 11:06:00

引用:

【evil病毒的贴子】请问猫叔，I386在那个文件目录下啊？
………………

不是每个电脑都有I386
有I386目录的————在系统分区根目录下。

ldq419 - 2008-3-8 11:51:00

猫叔，用了你的方法，结果Lsass.exe的确是不启动，但是在进程相里还有个lsass.exe.23687.exe的进程。而且smss.exe也存在。还是看不到隐藏文件，打不开sreng.exe.....另外组策略下的那个文件保护那，改不了设置。他报错说试图在标记为删除的注册表项上进行不合法操作。

baohe - 2008-3-8 11:58:00

引用:

【ldq419的贴子】【回复“baohe”的帖子】
猫叔，用了你的方法，结果Lsass.exe的确是不启动，但是在进程相里还有个lsass.exe.23687.exe的进程。而且smss.exe也存在。还是看不到隐藏文件，打不开sreng.exe.....另外组策略下的那个文件保护那，改不了设置。他报错说试图在标记为删除的注册表项上进行不合法操作。
………………

相对于“日新月异”的磁碟机变种，这个帖子的方法已经很老了。
磁碟机的预防见：http://forum.ikaka.com/topic.asp?board=28&artid=8431404

中招之后的处理，像你这种情况，需要“设置为自动加载运行的SSM”之类的HIPS配合解决问题————一一禁止那些lsass.exe.23687.exe之类的病毒程序运行。然后，删除病毒文件。
如果根本就没安装这类HIPS，估计比较困难了。

ldq419 - 2008-3-8 12:07:00

引用:

【baohe的贴子】
相对于“日新月异”的磁碟机变种，这个帖子的方法已经很老了。
磁碟机的预防见：

中招之后的处理，像你这种情况，需要“设置为自动加载运行的SSM”之类的HIPS配合解决问题————一一禁止那些lsass.exe.23687.exe之类的病毒程序运行。然后，删除病毒文件。
如果根本就没安装这类HIPS，估计比较困难了。
………………

先谢猫叔，但是，现在我的电脑....怎么办....

瑞星卡卡安全论坛