磁碟机病毒清理方法
病毒行为:
这是一个具有ARP 欺骗的下载者病毒,在下载病毒到本地运行的同时还生成大量AUTO病毒文件。该病毒还具有具有映象劫持功能,可以对一些安全工具和调试xxxx进行拦截,并不断改写注册表破坏安全安全模式,阻止用户修复系统。
1.病毒运行后,会释放以下文件:
%system32%\com\smss.exe
%system32%\com\netcfg.dll
%system32%\com\netcfg.000
%system32%\dnsq.dll
%system32%\drivers\alg.exe
在每个盘目录下生成自己的副本 pagefile.pif 及 AUTORUN.INF 文件.
2.该病毒会破坏安全模式和禁用了文件选项的显示隐藏文件的选项等恶意操作,使用户无法启动安全模式,
并且使隐藏文件无法被显示.由于该病毒是不断修改注册表,也使一些安全工具(金山清理专家等)
无法成功修复安全模式.
病毒自己不在注册表创建 RUN,却把RUN 项删的干干净净,使得一些的常用软件,安全工具等,不能开机自启动.
3.该病毒具有映象劫持功能,可以对一些安全工具和调试xxxx进行拦截.
会对以下一些安全工具和调试xxxx拦截:
OLLYDBG
IDA
MetaPad
SOFTICE
一些安全软件如 ICESWORD ,360.... 也会被关闭.
4.病毒会将自己拷贝到 %system32%\Com下,更名为 LSASS.EXE,并释放SMSS.EXE 和 ALG.EXE ,{zh1}运行LSASS.EXE, SMSS.EXE 和 ALG.EXE. 由于病毒的进程名和系统的 LSASS,SMSS 进程名相同,使任务管理器无法结束它.
5.该病毒会远程注入 dnsq.dll 到其它进程中,在其它进程中启动一个线程来不断监视病毒的进程是否被关闭.若检测到被关闭,就自动再启动病毒进程. 如果被一些杀毒软件和安全工具阻止创建了,被注入的其它进程就会调用 SYSTEM32 目录下的 SHUTDOWN.EXE 来关闭计算机( ^_^ 病毒作者真是淘气啊! ).
6.病毒会模拟资源管理器的右键菜单,使用户不易察觉病毒被自动运行,当用户利用资源管理器打开分区时,无论是直接运行或右键打开都会运行病毒.
7.该病毒会启动一个 IE 进程来连接站点 http://w.c**o.com/r.htm 和 http://*s.k**02.com/**.asp,并下载恶意脚本执行.
8.该病毒会生成多个组件,并注册为 IE 插件. 它的行为特征属恶意软件,会利用 REGSVR32.EXE 为 netcfg.dll 注册多个的CLASSSID, 杀毒软件通常不能xx干净,会有大量残留. 建议使用金山清理专家xx.
9. %system32%\drivers\alg.exe 是个ARP 病毒,利用 WinPcap 来收发网络包,对整个局域网内的所有 IP 进行 ARP 攻击.并在截获的是数据包内插入恶意代码, 该代码会从 http://1**.*1.2*5.1*0/setup.exe 下载病毒的{zx1}版本到本地运行.使被攻击的局域网内其它用户中毒.
它的xx办法是:
首先关掉网线
1。运行msconfig,察看启动项,关掉所以启动项
2。打开查看文件夹选项---显示所有文件(包括系统的哦)
3。如果还不能显示的话,运行注册表,查找"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL\? 在右边修改 CheckedValue 的值为1
4。结束进程alg.exe,SMSS.EXE,LSASS.EXE,这时会引发系统自动关机,在”运行“里运行命令shutdown? -a
要快哦,只有一分钟时间。
5。切换到C:\WINDOWS\system32\Com目录下,删除SMSS.EXE,netcfg.dll,netcfg.000,切换到C:\WINDOWS\system32\drivers\删除alg.exe,如果你第三步失败的话就运行cmd,也切换到相应目录写命令attrib -h -s? *.*? ,”*.* “是病毒的名字
6。然后到各个盘的根目录下删除pagefile.pif,以及autorun.inf
7。切换到C:\WINDOWS\system32\目录下删除dnsq.dll
8。运行注册表,查找并删除dnsq.dll,pagefile.pif的相关键值
9。恢复杀毒软件的启动项,重启
如果exe文件感染的话,用专用工具修复下,真不行就丢了吧,呵呵