|
经过第二周的维修,发现学7号和学10号楼电脑中下述病毒严重,特此通告,望各位同学予以重视,检查个人电脑,杜绝传播。病毒具体信息如下:
病毒名称: virus.win32.xorer.du(卡巴名)
Worm.Win32.DiskGen(瑞星名)
病毒描述:
病毒运行后,复制自身到各驱动器根目录下(除系统盘根目录)并衍生配置文件,实现双击盘幅运行病毒。在%ProgramFiles%目录和部分附属目录下复制自身并衍生病毒文件;修改注册表,添加启动项,对大量反病毒工具和软件映像劫持,锁定对隐藏文件的显示,使用户无法通过文件夹选项显示隐藏文件;禁用系统防火墙服务、自动更新服务、入侵保护服务、帮助服务;删除注册表中安全模式启动需要加载的驱动文件,使用户无法进入安全模式;开启自动播放功能,感染连接到中毒机器的移动磁盘;该病毒会自动关闭标题栏中含有指定字符的窗口或文件;该病毒主要通过移动磁盘进行传播。
中毒症状:
1、机器变慢,这自然不用说了;
2、任务管理器里发现两个lsass.exe和两个smss.exe,非system下的那个必然是病毒;
3、每个盘根下都出现autorun.inf,和pagefile.sys之类的病毒文件;
4、.exe的软件,特别是跟杀毒相关的sreng和windows清理助手等全部报废,.htm的文件也全部被感染;
5、注册表被修改,查启动项的run根本就找不到,msconfig完全没有办法用;
6、正在运行的系统杀毒软件陆续挂掉,卡巴开始还挣扎了两下,报有病毒杀不掉,结果重启之后就彻底被病毒摧毁了;
7、重启完全没有办法进入安全模式。
参考手动杀毒方法
方法一:
首先下载DiskGen专杀工具,对硬盘进行往复多次查杀(一般第一次扫描会查杀出100个个感染文件!)。再按下面的步骤进行清除部分DiskGen不能杀掉的感染文件。
1.下载XDELBox
2.下载SRENG2
3.下载icesword,上述3个都用压缩包放桌面,使用一个解压一个。
4.断开网线
5.复制下列文件路径至剪贴板(注意.log文件是病毒的备份体,但变种太多,个人具体查看自己机器的文件名,以C:\×××××.Log为准,自行修改)
C:\NetApi000.sys
C:\76037.Log
C:\WINDOWS\SYSTEM32\Com\smss.exe
C:\WINDOWS\SYSTEM32\Com\LSASS.exe
C:\WINDOWS\SYSTEM32\Com\netcfg.dll
C:\WINDOWS\SYSTEM32\Com\netcfg.000
C:\WINDOWS\SYSTEM32\dnsq.dll
C:\WINDOWS\SYSTEM32\76037.log
C:\WINDOWS\SYSTEM32\cmd.ftp
C:\pagefile.pif
C:\pagefile.exe
C:\WINDOWS\SYSTEM32\000.cfg0
6.打开xdelbox,右键从剪贴板导入,勾选抑制再生,驱动安全删除模式,然后右键立刻重启删除。
7.系统会自动重启,到选择操作系统界面,选择go xdelbox to del files,然后会删除上述文件,等待系统自动重启到windows
8.不要打开任何分区!双击桌面的icesword压缩包,直接双击icesword.exe,点左边下面的文件,删除每一个本地磁盘根目录下的autorun.inf和pagefile.pif
9.打开sreng2,删除启动项里形如~.exe.125466.exe的文件。点击系统修复-windows shell/ie-全选-修复。系统修复-文件关联-全选-修复。系统修复-高级修复-修复安全模式。系统修复-浏览器加载项-找到路径c:\windows\system32\com\netcfg.dll的那个,删除。
10.这时候,病毒防火墙几其他安全工具已经被病毒破坏,需要卸载后重新安装并升级到最新版本。(诺顿需要08年3月5日的升级包才能有效拦截该病毒。)
方法二:
1、在我的电脑的工具––文件夹选项里选择不“隐藏受保护的操作系统文件”和“隐藏已知文件类型的扩展名”,选“显示系统文件夹的内容”和“显示所有文件和文件夹”。
2、在c:/windows/system32下面找到.dll.v的病毒文件,用提供的专杀工具把它kill掉。
3、用下载的金山AV终结者专杀5查杀病毒,会发现只能查到三个毒,有个broken什么的提示杀不掉,提示要重启来杀,而且之后专杀软件就基本翘翘了,显示正在查,但是动不了,这个时候是关键,不要按照它的要求正常重启电脑,要直接关电源,强行关机。(这一步非常重要,我一开始就是着了这个道,让机器自己重启,结果重启以后情况更糟糕,因为病毒文件会在关机的时候再次写入)
4、重启后再用AV终结者专杀查杀,这下就能顺利查杀了。这个软件可以修复被修改的注册表和安全模式进不去问题。另外说一句,上面那个网页上有下载地址的“磁碟机病毒清除程序”很好用。我下来一并杀了一次,把病毒文件都清理干净了。
5、杀完后把已经翘翘的卡巴等杀毒软件卸载掉,重新启动。
6、重新安装杀毒软件,全盘扫描。
方法三:
1.到网上下载IceSword工具,并将该工具改名,如改成abc.exe 名称,这样就可以突破病毒进程对该工具的屏蔽。然后双击打开IceSword工具,结束一个8位数字的EXE文件的进程,有时可能无该进程。
2.利用IceSword的文件管理功能,展开到C:\Program Files\Common Files\Microsoft Shared\MSINFO\下,删除2个8位随机数字的文件,其扩展名分别为:dat 和dll 。再到%windir%\help\目录下,删除同名的.hlp或者同名的.chm文件,该文件为系统帮助文件图标。
3. 然后到各个硬盘根目录下面删除Autorun.inf 文件和可疑的8位数字文件,注意,不要直接双击打开各个硬盘分区,而应该利用Windows资源管理器左边的树状目录来浏览。有时电脑中毒后可能无法查看隐藏文件,这时可以利用WinRar软件的文件管理功能来浏览文件和进行删除操作。
4.利用IceSword的注册表管理功能,展开注册表项到:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options],删除里面的IFEO劫持项。
当完成以上操作之后,就可以安装或打开杀毒软件了,然后升级杀毒软件到最新的病毒库,对电脑进行全盘杀毒。
计算机与网络协会
2008年3月13日
| 
