‹‹ 上一主题 | 下一主题 ››
发新话题
打印

[提问] 好郁闷的病毒,如何杀掉???

windic

学前班

帖子
精华
0 
威望
1 度 
金币
26 枚 
最后登录
2008-11-18 
1# 发表于 2008-3-2 21:53  只看该作者

好郁闷的病毒,如何杀掉???

原来是中了一个pagefile.pif的病毒,就是ARP病毒,症状是在每个盘生成autorun.inf和pagefile.pif文件,在c:\windows\system32\com下生成smss.exe、lsass.exe、dsnq.dll三个文件,并感染部分exe文件。
后来在DOS下删除以后重装系统,并删除受感染的文件。
但是发现没有能够彻底清除,我的江民有时候还是报警,使用bootscan杀毒却杀不出任何东西。用光盘开机到DOS下发现除了C盘,所有的盘都有一个autorun.inf文件夹,使用deltree无法删除,打开进去,里面有.和..等等几个文件夹,无法打开,也无法用deltree删除,c:\windows\system32\com下有lsass.exe文件,可以删除。
请教各位大侠,这个病毒和360命名的Dummycom木马症状类似,但是无法使用其专杀工具彻底删除,那么应该怎么杀呢???
拜托各位了。

[ 本帖最后由 windic 于 2008-3-2 21:57 编辑 ]

TOP

ttwt

学前班

帖子
25 
精华
0 
威望
0 度 
金币
35 枚 
最后登录
2008-10-6 
2# 发表于 2008-3-2 23:10  只看该作者
我好像也中了这个病毒,希望那位大侠及时帮帮忙!

TOP

恨·天

唯一不会背叛自己的只有技术 ...

正式版主

Rank: 9Rank: 9Rank: 9

堕落的不是我,而是整个世界! .. . ...

帖子
2151 
精华
4 
威望
26 度 
金币
8372 枚 
性别
男 
来自
〓玛法大陸〓 
最后登录
2008-12-2 
3# 发表于 2008-3-3 09:25  只看该作者
转的。。。

近看到周围很多人的电脑中毒,明显症状就是在硬盘分区右键菜单多了一个’auto’的选项。到目前为止所接触的中毒案例中,除了早些的sxs.exe就是最近的pagefile.pif。
今天遇到的中毒情况是这样的,xp的系统进程出现两个lsass和两个smss,硬盘分区的右键菜单也出现了’auto选项’。机器上正好装了360,就查看了一下进程,发现lsass和smss两个同样的名称的进程中各有一个是在C:\WINDOWS\system32\Com目录下,所以直接将这两个进程结束,到该目录下手工将lsass/smss删除。

然后处理autorun的问题,win+r运行cmd,然后cd命令进入系统盘,attrib -H -S autorun.inf将autorun文件显示出来,用写字板打开,看到shell\auto\pagefile.pif这些东西,知道是pagefile.pif的问题了,attrib -H -S pagefile.pif,然后将autorun.inf和pagefile.pif手工删除,类似的将其他分区的autorun、pagefile.pif清理掉,然后就是要清理注册表,win+r,regedit,查找pagefile.pif,发现在…..mountpoints2\{……}\shell\autorun\command下找到的键值显示的是’c:\pagefile.pif’,ok,就是这个,直接删除,F3继续查找,将类似的键值全部删除,此时双击硬盘分区,右键菜单正常,分区可以直接打开,杀毒过程完成。还好分区不是很多,要是太多的话,可以考虑批处理命令了。

删除磁盘根目录下的pagefile.pif文件的批处理代码: @echo on
g:
cd \
attrib -s -h -r pagefile.pif
del pagefile.pif /F
attrib -s -h -r *.inf
del autorun.inf /F
d:
cd \
attrib -s -h -r pagefile.pif
del pagefile.pif /F
attrib -s -h -r *.inf
del autorun.inf /F
e:
cd \
attrib -s -h -r pagefile.pif
del pagefile.pif /F
attrib -s -h -r *.inf
del autorun.inf /F
f:
cd \
attrib -s -h -r pagefile.pif
del pagefile.pif /F
attrib -s -h -r *.inf del autorun.inf /F
@echo 任意键重启
pause
shutdown -r -t 00

                                                         综合查询搜索网站 点击登陆

TOP

windic

学前班

帖子
精华
0 
威望
1 度 
金币
26 枚 
最后登录
2008-11-18 
4# 发表于 2008-3-3 11:02  只看该作者
谢谢楼上的朋友,但这个还是删不掉,不知道为什么

TOP

xubin_123456789

学前班

帖子
精华
0 
威望
0 度 
金币
11 枚 
最后登录
2008-3-14 
5# 发表于 2008-3-13 17:48  只看该作者
前几天我朋友也中了,这个是磁碟机变种,能够截杀时下流行的杀软.可搜索专杀.但是它会感染exe文件,html,js,htm文件.而且把压缩包里面的这些文件解压缩以后感染后然后再打包,损坏安全模式,我朋友重装了很多次.
  最后他在做系统前把其他盘的压缩文件,exe,js,html,htm全删了,重做系统后在网上下了个专杀,搞定了.够折腾的

TOP

lq490910698

二年级

Rank: 2Rank: 2

帖子
334 
精华
0 
威望
1 度 
金币
872 枚 
性别
男 
来自
辽宁省沈阳市和平区 
最后登录
2008-12-1 
6# 发表于 2008-3-13 17:54  只看该作者
这个东西没专杀工具吧!@~我好像也有过,最后做系统啦!·好郁闷
Do not , for one repulse , give up the purpose that you resolved to effect

TOP

wuwen

学前班

帖子
13 
精华
0 
威望
0 度 
金币
49 枚 
最后登录
2008-9-15 
7# 发表于 2008-3-13 23:23  只看该作者
可以用《Autorun病毒防御者》这个软件杀一下,原来我的也中过,连卡巴斯基都给杀掉了,就是用这个给清除掉的。

TOP

chenpuwk

学前班

帖子
35 
精华
0 
威望
0 度 
金币
60 枚 
最后登录
2008-8-21 
8# 发表于 2008-3-29 21:48  只看该作者
3楼的

那个方法也是杀不掉的啊
首先用ntsd -c q -p PID结束相关进程  然后在用LZ3那个文件  最后看一下启动项 服务等能让木马开机时加载的地方

  那个病毒是加载到进程中
lsass
winlogon 几个系统进程文件啊

TOP

vp_5202

一年级

Rank: 1

帖子
125 
精华
0 
威望
0 度 
金币
92 枚 
性别
男 
最后登录
2008-12-1 
9# 发表于 2008-6-8 20:14  只看该作者
嘿嘿  提供一个我最喜欢的办法吧
    你把 pagefile.pif  提交给你的杀毒软件厂商  出不了多久 应该就可以解决了
  比手动方便多了  特别是感染了文件的病毒
不过就没有多大的技术含量了
呵呵

TOP

‹‹ 上一主题 | 下一主题 ››
发新话题

Processed in 0.091853 second(s), 5 queries, Gzip enabled