Board logo

标题: 磁碟机病毒解决跟进贴.... [打印本页]
作者: Arul    时间: 2008-3-6 20:24     标题: 磁碟机病毒解决跟进贴....

小站的电脑高手们,我的电脑中了一个叫GXGXY的病毒。网上说这是个引导区病毒。重装不能解决,杀毒软件不能打开。我想知道有没有专杀OR解决的办法。真的请求各位帮忙了。  还有,我是双硬盘的。如果一个盘中毒了,另一个盘是否也不能幸免? 中毒了的那个盘,会不会所有分区都被感染? 跪求了。我电脑很多重要资料。能不能解决都麻烦告知。。。。看到的麻烦PM我,或者发EM去406666768@QQ.COM  或者直接加Q....

[ 本帖最后由 Arul 于 2008-3-8 22:23 编辑 ]
作者: 喵喵の狗狗    时间: 2008-3-6 20:26

引导区病毒可以扩散的,推荐是dm分成一个整区然后再分成几个分区这样解决,当然你有diskman改分区表也可以。
作者: Arul    时间: 2008-3-6 20:32

猫猫.能不能加我Q,我想详细问下.....406666768真的麻烦你了.
作者: 喵喵の狗狗    时间: 2008-3-6 20:33

全是在dos上操作的……你不会我也帮不上你啊……除非你电脑在深圳……
作者: Arul    时间: 2008-3-6 20:38

啊...........有人说这个是ARP欺骗病毒....请问这样的话,有解决的办法么.....
作者: 喵喵の狗狗    时间: 2008-3-6 20:43

杀毒步骤:
1、打开C盘,C:\WINDOWS\system32\drivers\etc\,找到一个无扩展名的hosts的文件;
2、用记事本打开hosts;
3、在记事本里最后添加如下几行,然后保存:
127.0.0.1       xx.gxgxy.net
127.0.0.1       x.gxgxy.net
127.0.0.1        y.gxgxy.net
127.0.0.1       360.gxgxy.net
127.0.0.1       *.gxgxy.net
修改后的记事本样本为:
# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host

127.0.0.1       localhost
127.0.0.1       xx.gxgxy.net
127.0.0.1       x.gxgxy.net
127.0.0.1       y.gxgxy.net
127.0.0.1       360.gxgxy.net
127.0.0.1       *.gxgxy.net
4、重新启动电脑。
作者: Arul    时间: 2008-3-6 20:46

啊.这样啊. 先谢谢了.会不会有什么副作用的..?HOST好象是和网络有关系的?
作者: 喵喵の狗狗    时间: 2008-3-6 20:47

作者: Arul    时间: 2008-3-6 20:52

真的真的感谢猫猫啊....
作者: Arul    时间: 2008-3-7 20:47

好了.这个病毒应该完美解决了. 我总结一下,希望能为这里的各位尽一点力了. 首先,这个病毒是磁碟机病毒的变种(这是网上查来的)会在系统生成
C:\WINDOWS\system32\Com\lsass.exe
C:\WINDOWS\system32\Com\netcfg.000
C:\WINDOWS\system32\Com\netcfg.dll
C:\WINDOWS\system32\Com\smss.exe
C:\WINDOWS\system32\drivers\alg.exe
C:\WINDOWS\system32\AntiTool.exe
C:\WINDOWS\system32\dnsq.dll
C:\037589.log

这些文件,然后会不断地有QQ号申请之类的网站弹出.有点名气的杀毒公司的软件基本都不能打开.但凡在流揽器中输入包含以上名字的搜索时,IE就会被强行关闭.我当时就几乎绝望了.  喵喵提供的方法我后来在网上也有人提到.不过有人解释到那只能起到抑制作用.  后来经过一翻的搜索.找到了以下软件:360的打包专杀, XDBOX(文件DOS删除,中毒后运行不可) DUBATOOL(这个很重要,中毒后可用) AUK_DISKGENKILLER 磁盘机专杀(中毒后勉强运行) .  这些软件,务必下载在桌面,尽量用WINRAR打开来运行.确保这些软件没被感染(感染到就废了) 用这些软件一一清楚病毒后.再用WINDOW优化大师.MAGICSET,来清理残留.(以上工作,请在短网线后做)  都清理完后.安装一个ARP防火墙.打开后.设置开机运行.然后,重启(先不连网).看看ARP能不能自动运行.如果可以,就成功了大半了.   以下步骤可以连网进行了,下载ICESWORD 彻底粉碎在各个分区里的PAGEFILE.PIF  和AUTORUN.INF这2个文件. 然后.重启一次.看看是否还存在.之后.安装好杀毒软件.全盘进行最后的清理.这时再搜出的木马,病毒等,应该都能清除了.  再最后.用IFRAMEKILL 修复机器里的HTML文件....到此.杀毒过程算是结束了....希望别再复发.这种病毒在内网很猖狂.外网比较收敛...希望对大家有点帮助.如果以后还有什么特别,我会更新说明....XDBOX的使用方法是复制文件路径(我上面给出了)然后黏贴进去(不理会路径) 然后就重启杀毒,这时会先进入DOS模式,删掉病毒文件,然后就会再重启,进入WINDOW...              做完上面的一切后,最后再进入安全模式杀一遍...    待续
作者: xiaoru    时间: 2008-3-8 10:23

C:\WINDOWS\system32\Com\lsass.exe
C:\WINDOWS\system32\Com\smss.exe
C:\WINDOWS\system32\drivers\alg.exe
进程里有这三[m_吃惊]
作者: 喵喵の狗狗    时间: 2008-3-8 10:26

C:\WINDOWS\system32\Com\lsass.exe
C:\WINDOWS\system32\Com\smss.exe
C:\WINDOWS\system32\drivers\alg.exe
这三个都是系统基本进程啊……他是说有可能被感染
作者: Arul    时间: 2008-3-8 22:05

后继报道来了. 经过以上的操作后.这个病毒其实还是没有彻底清除的.症状是:AUK_DISKGENKILLER这个软件会被强行关闭.隐藏受保护的操作系统文件消失了.   以下,是后继解决办法

[ 本帖最后由 Arul 于 2008-3-8 22:26 编辑 ]
作者: 再见苏摩    时间: 2008-3-8 22:07

GXGXY

冠希冠希淫
作者: Arul    时间: 2008-3-8 22:16

在确定.各大杀毒软件,除那个AUK都能正常运行之后.冷启一次电脑(就是按RESTART) 等进入桌面后.直接点"开始"->"运行" 然后,输入CMD.  进入DOS界面后.先到C盘根目录,输入 ATTRIB -S -H -R AUTORUN.INF(回车)  然后输入: DEL AUTORUN.INF(回车)   之后,对PAGEFILE.PIF这个文件进行相同操作.   之后.在每个盘中都进行相同的操作.  确定都OK后.进入C盘.
(进入盘的办法,直接输入C: (回车))    进入WINDOWS里的SYSTEM32 这个文件夹(进入文件夹方法:CD WINDOWS(回车))   之后对.DNSQ.DLL 文件,进行刚刚的操作.  OK后,.进入SYSTEM32里的COM文件夹. 对LSASS.EXE SMSS.EXE(这2个已经不是系统进程了.系统进程不在COM文件夹了.这2个是病毒生成的,请警惕)   进行同样的操作.OK后.冷启!     桌面出现后.使用ICESWORD 对COM文件夹进行粉碎. 冷启.    用卡巴,DUBATOOL_AV_KILLER 360COMKILL全面杀一次.把轻微感染的都搞好了.. 再最后,把瑞星的RAVDISGEN下载下来.再全面的杀一次.   之后.进入安全模式.断网,再全面查杀.    到这里,又再次告一段落,希望别再有后继报道了......       待续

[ 本帖最后由 Arul 于 2008-3-8 22:25 编辑 ]
作者: ρs懶洋洋De囡囡    时间: 2008-3-8 22:27

用"陈冠希"的方法可以解决...
作者: hfmouse    时间: 2008-3-9 00:00

原帖由 喵喵の狗狗 于 2008-3-8 10:26 发表
C:\WINDOWS\system32\Com\lsass.exe
C:\WINDOWS\system32\Com\smss.exe
C:\WINDOWS\system32\drivers\alg.exe
这三个都是系统基本进程啊……他是说有可能被感染



有可能是伪装成这三个文件,而把原来的文件改名存放的方法


PS。。建议lz说一下被感染的过程,提前预防这样比较有用
作者: Arul    时间: 2008-3-9 09:56

感染过程:上星期,我用储存卡装东西去打印,打印完后,回宿舍第一时间就杀毒了(该死的我忘记按SHIFT了) 然后,卡巴理所当然地报病毒.我也理所当然地点删除.也没仔细留意病毒/木马的类型,  杀好后,突然出现系统进程的错误,是一个叫CAXXXX的进程,然后卡巴被关闭,之后就系统报错,重启.  再进入系统后,卡巴已经打不开.我才知道,这下严重了....   我是校园网用户.我建议所有校园网用户都装上个ARP防火墙+卡巴.最近磁碟机和ARP欺骗都比较泛滥.... 另外,在你不确定你的U盘,光碟里时候有病毒,都尽量按SHIFT来阻止自动运行. 或者修改注册表来禁止自动运行.   平常多上上杀毒软件的专杀区.下个软件来扫描.费不了多少时间的...血的教训.               不知道是否已经完全清除了,   待续

[ 本帖最后由 Arul 于 2008-3-9 09:57 编辑 ]



欢迎光临 浆糊论坛-RO小站 (http://bbs.rohome.cn/) Powered by Discuz! 7.2