磁碟机病毒解决方案汇总
NOD32解决法
装nod32,更新,拔网线查杀,杀毒800多
又用磁碟机专杀一个都杀不到,解决!!
Nod32 2.7 更新服务器 FTP资源搜索
上次镜像时间:2008-03-04 08:45:21
下载:??????? NOD32 2.7.39 简体中文标准版???????? |??????? 离线病毒库 2946 (20080313)
===================================
详细安装设置步骤:
===================================
解压缩后,选择里面的setup,双击,会出现安装界面,三种安装模式,建议选择“典型”,然后点击下面的“下一步”,会让你同意使用协议,用着这么好的杀毒软件,也别管他说什么了,选择“我同意”,点击“下一步”,等出现选择更新的模式及服务器,用户名,密码什么的,先不管,勾一下“以后再设定更新参数”,点击“下一步”,默认选择“启动ThreatSence Net预警系统”和选择“启动不受欢迎软件侦测”,这里要说的是,建议“启用不受欢迎软件侦测”,这个作用是防止某些类似于曾经的3721,现在的雅虎助手,GOOGLE BAR什么的恶意软件的安装。点击“下一步”,勾选“我希望自动加载文件实时监控”,点击“下一步”,所有参数完成,点击“下一步”,稍后,选择 “立即重新启动”。重新启动系统后,当屏幕中间出现NOD32可爱的大眼睛之后,托盘底部会有一个NOD32的图标,说明你安装成功,而且NOD32正在保护你的电脑。ENJOY IT!
===================================
升级服务器设置方法:
===================================
双击托盘NOD32图标,再出现的窗口中点升级,这时右面出现升级窗口,单击“设置”,弹出设置窗口,单击“服务器”下拉框右侧的“服务器”按钮,弹出服务器窗口,“添加”输入升级地址(表格中的升级服务器地址)确定,这时在“服务器”下拉框中选择刚刚填入的地址,确定即可,升级超快,开着自动升级就是了,反正占不了多少内存。
===================================
?
不要再运行任何已/未安装可执行文件。弄个PE盘,进系统直接指向硬盘把C盘上的相关病毒都改名(直接删我还没试过),然后修复安全模式,然后修改相关注册表。要删除的文件和修改的注册表网上都有,我就不列出了。大家可以收集一下。C盘拯救好后,安全模式下重启系统。打开“打开隐藏受保护操作系统文件”选项,然后用资源管理器进入其他盘符(却摸双击打开),记住不要运行任何硬盘上的可执行文件(已被病毒注入,可从图标及版本信息等看出),删除任何隐藏的文件,删除所有exe文件及.com文件。专杀工具{zh0}改个名字并先刻录在光盘等不可写的工具上运行。然后用SRENG (System Repair Engineer)修复系统(也是在光盘上刻录好并运行)。
经过实践,此方法基本可以xx查杀“磁碟机”及其变种病毒,只要操作过程不要大意,否则一切就得重新开始。
另外,本方法只适用于系统盘及所有软件都装在C盘下的情况。(记住:所谓C盘装系统,应用程序装其他盘有利于系统的运行效率、安全等的说法都是以讹传讹,系统关键在于自己的维护习惯)。
记得告诉大家,如何无法自己辨认硬盘上所有.exe和.com后缀的可执行文件是否被感染,请用光盘外挂的杀毒软件或者把硬盘拆下来作为外挂盘用杀毒软件修复所有文件。但我个人建议还是删除所有的上述两种格式的文件。
?
?
最开始曾尝试过sysinternal的工具,但是autoruns没法用,procxp开一会儿就挂
cmd貌似只能开很短的时间
不过当时至少我知道了lsass和smss
后来用开始运行
cmd /c dir c:\lsass.exe /a /s > c:\1.txt
cmd /c dir c:\smss.exe /a /s > c:\1.txt
确认了在system32\com下
早先曾在那个老乡的机器上能运行autoruns,当时看到了在app_init_dlls里有个system32\dnsq.dll
这个是很不正常的,因为这个项所设置的dll将会在基本所有的应用程序启动时调用
据我所知卡巴会加了这个项,其他的,基本可以确认不是好东西
然后,稍微看了下各个分区的根目录,的确有autorun.inf的存在,而且关联了一个pagefile.pif
autorun.inf的属性是 +rsh, pagefile.pif是+sh
尝试进入安全模式,结果蓝屏
用xp的启动盘试着看能不能用命令恢复控制台处理,但是效果实在太差
于是便想着找了张win pe的盘,那天晚上用的大概是木林什么的,反正以前没用过
启动进入系统,先注意了下那几个文件的时间,然后再一个一个删掉
smss大概只有44k左右
其他的基本都是93k
显示所有隐藏文件
发现那个同学c盘根目录下有好多~.exe.****.exe格式的文件,隐藏属性
于是在 c:看了看
dir ~.exe* /a /s
发现好多这样的exe
而且在开始菜单的启动目录里也有
于是就
del ~.exe* /a /s
删了这些
后来注意了下system32\com,发现有几个dll是和lsass时间相同,想必也是病毒
删之
接下来就是用特征法来查其他文件
也就是根据文件的大小、创建时间来搜索,再一个一个排除
记得当时是查到了好几个.log文件
把这些删了之后
重启系统,就好了
