再谈“菜鸟级用户应对磁碟机中招”问题

载入中…

再谈“菜鸟级用户应对磁碟机中招”问题

作者：佚名文章来源：本站原创点击数：更新时间：2008-3-1

以前发过帖子，谈过菜鸟也能暂时解决磁碟机中招问题。但多数人按照那个流程做不下来。还有人说不能彻底解决感染文件的问题。
是的。这个办法只是去除系统分区的病毒文件。单分区系统，这样就能搞掂了（磁碟机不感染系统分区文件）。
多分区系统的非系统分区依然有被病毒感染的文件；用户运行这些被感染文件，依然会完全激活磁碟机病毒。
被感染文件数目的多寡，取决于每个用户非系统分区存放的文件类型及数量。总之，非系统分区的被感染文件要靠杀软或专杀工具解决，因为数量较大，且去除被感染文件中的病毒代码也不是手工操作能胜任的。
此外，搞掂系统分区的所有病毒文件后，只要暂时不进非系统分区，不会再次激活此毒。

为了说明问题，如下图所示，彻底让我的系统中了这个2008－02－25新出的磁碟机变种。然后，再用更改系统文件名的办法搞掂系统分区的病毒。详细过程如下（仅供有实际动手能力者参考）：

1、（图最下部棕色框）：彻底关闭所有安全软件。
2、（图中部粉色框）：去掉先前定义的预防“磁碟机”的“软件限制策略。
以上两步的目的是确保磁碟机病毒能实机完整运行。
3、运行磁碟机样本setup.exe。
4、（图下部三个绿色框）：按照I386、dllcache、system32的顺序，依次去除这三个文件夹中cmd.exe、cacls.exe的后缀。此过程中，“WINDOWS文件保护机制”被触发，操作过程中会出现系统报警：WINDOWS系统程序被替换为不可识别的版本。这是我们改动cmd.exe和cacls.exe文件名的结果。依次在提示框中点击“取消”、“是”即可。
5、重启系统。
6、（图上部红色框）：重启系统后，因为无cmd.exe和cacls.exe可用，磁碟机病毒无法完整运行。IceSword、SRENG等常用工具已可正常使用。手工删除系统分区的所有病毒文件即可。
非系统分区根目录下的autorun.inf和pagefile.pif也可手工删除。至于非系统分区的被感染文件————等待杀软更新后或找管用的专杀工具处理。

[用户系统信息]Opera/9.26 (Windows NT 5.1; U; zh-cn)

【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】

上一篇文章：机器狗病毒

下一篇文章：感染下载者[Win32.MicBind.a.82954]