碟机”的{zx1}变种,已将专杀工具升级至V1.0.0.4版,提醒用户及时升级更新。新版增加功能:
1:加入{zx1}广谱查毒修复引擎库(2008-03-19)。 2:重绘专杀主程序窗口和关于窗口,防止被{zx1}“磁碟机”病毒变种关闭。 3:改进专杀工具的升级模块,尽量防止ARP病毒对升级更新时产生的干扰。
症状1、系统安装在C盘的,用WINRAR可以看到磁碟机释放的文件(目前为止,磁碟机病毒主体文件名及其路径是固定的): C:\037589.log C:\windows\system32\205016.log(这个.log文件名的数字部分可能有变化) C:\windows\system32\com\LSASS.EXE C:\windows\system32\com\SMSS.EXE C:\windows\system32\com\netcfg.000 C:\windows\system32\com\netcfg.dll C:\windows\system32\dnsq.dll(动态插入应用程序进程) C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe C:\Documents and Settings\当前用户名\「开始」菜单\程序\启动\~.exe 各分区根目录下还会有: autorun.inf和pagefile.pif 症状2、感染磁碟机后,IceSword、SRENG等常用工具不能正常运行。
病毒运行后,会在C盘根目录下释放病毒驱动NetApi000.sys,该驱动用来恢复SSDT,把杀毒软件挂的钩子全部卸掉。这样,杀毒软件的很多功能将无法使用,如文件监控、注册表监控等。同时,病毒会在系统里释放smss.exe等病毒文件,实现进程保护,使很难彻底查杀。 |