12345   1  /  5  页   跳转

菜鸟也能灭掉“磁碟机”

收藏
本主题由 版主 天月来了 于 2008-6-22 19:18:36 执行 关闭主题/取消 操作
baohe
头像
大版主
  • 帖子:72569
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-02-17 11:36 | 只看楼主 短消息 资料
字号: 1楼

菜鸟也能灭掉“磁碟机”

这个“磁碟机”已经更新过N个版本了。目前所见的新版磁碟机貌似都比较NB。中招后,菜鸟们大多四处找专杀解决问题。磁碟机专杀良莠不齐,某些专杀还行,另一些则根本就不管用。

自从“磁碟机”更新到具备驱动程序NetApi00.sys(最新版变为NetApi000.sys)后,它便NB起来。IceSword、SRENG等手工杀毒工具貌似统统被这个驱动废掉了。其实也没完全废掉。昨天在剑盟发了一个戏弄磁碟机的帖子(http://bbs.janmeng.com/thread-711635-1-1.html),即可说明问题。但那帖子中叙述的操作涉及注册表改动,菜鸟级的朋友难以完成。
我一直在观察这个驱动的加载过程。发现了一个规律:目前为止见到的所有磁碟机变种,均通过调用系统程序cmd.exe加载此驱动。

行了。菜鸟级的杀毒办法有了:
0、关闭所有安全软件。将病毒放入系统(样本来自:http://bbs.janmeng.com/thread-708406-1-2.html,瑞星目前还不报毒。)
1、用改名大法将system32和dllcache目录下的cmd.exe临时改名为cm.dll(图)。重启系统看看。



[用户系统信息]Opera/9.22 (Windows NT 5.1; U; zh-cn)

附件附件:

下载次数:2856
文件类型:image/pjpeg
文件大小:
上传时间:2008-2-17 11:36:38
描述:
预览信息:EXIF信息



最后编辑2008-04-11 21:17:17
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72569
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-02-17 11:37 | 只看楼主 短消息 资料
字号: 2楼

2、重启系统后,检查system32和dllcache目录。发现改名后的cm.dll都在,但是,system32目录下出现了一个怪怪的cmd.exe(见下图)。这个cmd.exe的logo不同于正常的cmd.exe,该不会是病毒现从I386目录里找来的吧?汗!估计这DD不能运行。

附件附件:

下载次数:2672
文件类型:image/pjpeg
文件大小:
上传时间:2008-2-17 11:37:06
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72569
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-02-17 11:37 | 只看楼主 短消息 资料
字号: 3楼

3、不管这些,先看看病毒文件能否手工删除(如果那个cmd.exe管用,NetApi000.sys即可加载,病毒已经完整运行了。病毒文件是删不掉的)。
结果:所有病毒文件被一一删除了。
4、删除system32目录下那个异常的cmd.exe。将system32和dllcache目录下的cm.dll改回cmd.exe。

注:我的电脑只有一个分区。处理到这里,就完事了。多分区系统,非系统分区还有病毒。这样处理完后并不能彻底解决问题,还需用杀软全盘杀毒。切记!

附件附件:

下载次数:2782
文件类型:image/pjpeg
文件大小:
上传时间:2008-2-17 11:37:33
描述:
预览信息:EXIF信息
gototop
 
LMhust
头像
特邀体验者
  • 帖子:2953
  • 注册: 2006-03-12
  • 来自:
论坛8周年活动礼物就爱不长大论坛9周年纪念10温馨圣诞瑞星金牌用户
发表于: 2008-02-17 14:01 | 短消息 资料
字号: 4楼

这个病毒的动作真是每次都一样。

继续观望中。
gototop
 
侠者秋水
头像
快乐黄口狮
  • 帖子:205
  • 注册: 2007-06-14
  • 来自:
发表于: 2008-02-17 14:52 | 短消息 资料
字号: 5楼

果然很简单就可以干掉....
gototop
 
侠者秋水
头像
快乐黄口狮
  • 帖子:205
  • 注册: 2007-06-14
  • 来自:
发表于: 2008-02-17 14:59 | 短消息 资料
字号: 6楼

没有剑盟的帐号啊,版主可不可以把那个帖子贴出来吖
gototop
 
spiritfire
头像
锋芒艾服狮
  • 帖子:1266
  • 注册: 2006-10-22
  • 来自:
发表于: 2008-02-17 15:29 | 短消息 资料
字号: 7楼

学习了,猫叔手段创意无限。
gototop
 
天月来了
头像
版主
  • 帖子:76896
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-02-17 16:03 | 短消息 资料
字号: 8楼

说到底还是猫猫观察的仔细。
gototop
 
silences
头像
健康舞勺狮
  • 帖子:235
  • 注册: 2008-01-10
  • 来自:
发表于: 2008-02-17 16:08 | 短消息 资料
字号: 9楼

确实  这招不错
gototop
 
超级游戏迷
头像
卡卡技术团队
  • 帖子:25779
  • 注册: 2007-01-14
  • 来自:
卡卡名人堂论坛9周年纪念瑞星金牌用户
发表于: 2008-02-17 16:10 | 短消息 资料
字号: 10楼

引用:
【baohe的贴子】2、重启系统后,检查system32和dllcache目录。发现改名后的cm.dll都在,但是,system32目录下出现了一个怪怪的cmd.exe(见下图)。这个cmd.exe的logo不同于正常的cmd.exe,该不会是病毒现从I386目录里找来的吧?汗!估计这DD不能运行。
………………

不得不说一句:病毒作者想的真周到……
gototop
 
<<上一主题|下一主题>>
12345   1  /  5  页   跳转
页面顶部
Powered by Discuz!NT