瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 也谈磁碟机的一般处理方法【讨论】

1234567   1  /  7  页   跳转

也谈磁碟机的一般处理方法【讨论】

收藏
baohe
头像
大版主
  • 帖子:72569
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-03-18 12:08 | 只看楼主 短消息 资料
字号: 1楼

也谈磁碟机的一般处理方法【讨论】

1、先运行附件中的“磁碟机瘫痪工具”csrss.exe(见附图)
2、磁碟机被这个csrss.exe瘫痪后,IceSword等工具已可正常使用。用IceSword或WINRAR找到并删除系统分区的下列病毒文件(这是常见的系统装在C分区的病毒文件位置;系统装在其它分区者请注意自己的系统盘符):
C:\037589.log
C:\windows\system32\205016.log(这个.log文件名的数字部分可能有变化)
C:\windows\system32\com\LSASS.EXE
C:\windows\system32\com\SMSS.EXE
C:\windows\system32\com\netcfg.000
C:\windows\system32\com\netcfg.dll
C:\windows\system32\dnsq.dll(动态插入应用程序进程)
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe
C:\Documents and Settings\当前用户名\「开始」菜单\程序\启动\~.exe
各分区根目录下的:
autorun.inf和pagefile.pif
3、用专杀或升级杀软病毒库后查杀非系统分区的被感染文件。

附件已随FlowerCode更新。再次感谢FlowerCode对本社区的支持!哪位有更好的妙招,欢迎贡献出来,与大家分享。
[用户系统信息]Opera/9.26 (Windows NT 5.1; U; zh-cn)

附件附件:

下载次数:1416
文件类型:application/octet-stream
文件大小:
上传时间:2008-3-18 12:08:48
描述:

最后编辑2008-04-09 11:49:13
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72569
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-03-18 12:09 | 只看楼主 短消息 资料
字号: 2楼

瘫痪磁碟机工具的运行界面

附件附件:

下载次数:2555
文件类型:image/pjpeg
文件大小:
上传时间:2008-3-18 12:09:47
描述:
预览信息:EXIF信息
gototop
 
天月来了
头像
版主
  • 帖子:76896
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-03-18 16:12 | 短消息 资料
字号: 3楼

这来看的所有求助者必须注意了

所有涉及的工具和杀毒软件,都必须是在系统分区中,包括下载的专杀都必须是放在系统分区中使用。

如果在运行这个“磁碟机瘫痪工具”前将相关工具下载在非系统分区,很可能会被病毒感染。

切记,安装在非系统分区的杀毒软件最好放弃使用。

目前可以临时下载江民和金山的免费30天的杀毒软件安装升级后全盘杀毒。

或者这里下载国外的一个绿色的免安装的杀毒软件试全盘杀毒。
下载Dr.Web CureIt 到系统分区里, 全盘扫描。
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exeftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

不过这次的任何杀毒软件的全盘杀毒,都有可能删除不能清除感染的文件,所以有重要文件的电脑,要谨慎杀毒。
gototop
 
FlowerCode
头像
拙长孩提狮
  • 帖子:46
  • 注册: 2007-04-21
  • 来自:0GiNr
发表于: 2008-03-18 16:35 | 短消息 资料
字号: 4楼

非常感谢 baohe 大版主对我的程序的支持。 ^_^

程序已更新至 Build 171,可清除 17 日变种,欢迎参与测试。
gototop
 
baohe
头像
大版主
  • 帖子:72569
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-03-18 16:38 | 只看楼主 短消息 资料
字号: 5楼

引用:
【FlowerCode的贴子】非常感谢 baohe 大版主对我的程序的支持。 ^_^

程序已更新至 Build 171,可清除 17 日变种,欢迎参与测试。
………………

喂!老大!
谢谢你的工具撒~~
不过,你那个网站我进不去啊。
发个过来,行不?
先代网友们谢谢您了
gototop
 
FlowerCode
头像
拙长孩提狮
  • 帖子:46
  • 注册: 2007-04-21
  • 来自:0GiNr
发表于: 2008-03-18 16:38 | 短消息 资料
字号: 6楼

另外此程序成功执行后(即弹出操作完毕的提示后)以下文件均已被自动删除:

C:\windows\system32\com\LSASS.EXE
C:\windows\system32\com\SMSS.EXE
C:\windows\system32\com\netcfg.000
C:\windows\system32\com\netcfg.dll
C:\windows\system32\dnsq.dll

这个“C”是指系统盘符,动态获取的。

此程序还会自动搜索各分区根目录下的 autorun.inf 和 pagefile.pif 并删除,并删除 All Users 启动文件夹中所有 exe 文件,以免病毒复活。
gototop
 
FlowerCode
头像
拙长孩提狮
  • 帖子:46
  • 注册: 2007-04-21
  • 来自:0GiNr
发表于: 2008-03-18 16:39 | 短消息 资料
字号: 7楼

引用:
【FlowerCode的贴子】非常感谢 baohe 大版主对我的程序的支持。 ^_^

程序已更新至 Build 171,可清除 17 日变种,欢迎参与测试。
………………

我以后更新后都会在卡卡上这帖更新的:
http://forum.ikaka.com/topic.asp?board=28&artid=8436148
gototop
 
友好人士
头像
锋芒艾服狮
  • 帖子:1287
  • 注册: 2005-12-21
  • 来自:
发表于: 2008-03-19 00:44 | 短消息 资料
字号: 8楼

已经许久没见高手现身卡卡了,FlowerCode大侠好样的
gototop
 
神龙飞天
头像
锋芒艾服狮
  • 帖子:1541
  • 注册: 2003-07-11
  • 来自:
发表于: 2008-03-19 01:06 | 短消息 资料
字号: 9楼

引用:
【baohe的贴子】
喂!老大!
谢谢你的工具撒~~
不过,你那个网站我进不去啊。
发个过来,行不?
先代网友们谢谢您了
………………


那个网站是www.0ginr.com,那个0是数字0
gototop
 
FlowerCode
头像
拙长孩提狮
  • 帖子:46
  • 注册: 2007-04-21
  • 来自:0GiNr
发表于: 2008-03-19 08:43 | 短消息 资料
字号: 10楼

引用:
【友好人士的贴子】已经许久没见高手现身卡卡了,FlowerCode大侠好样的
………………

很久很久以前(想想大约是 2000 年左右)在这注册过,那时候还不叫卡卡社区。

后来论坛改版了几次,帐号被删除了。
gototop
 
<<上一主题|下一主题>>
1234567   1  /  7  页   跳转
页面顶部
Powered by Discuz!NT