此病毒的变种只会释放如下文件:可采用断电解决方案 %System%\com\lsass.exe 95,744 字节 (md5:1E05A4F77A3A65BFC7C9F2E42C7C0B5E) %System%\com\smss.exe 40,960 字节(md5:2C5834F823066354D9E92396ECACA50D) %System%\dnsq.dll 32,256 字节(md5:46E993717175142DCDFFBDD53E30CA9D) C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe.??????.exe (随机6~8位数字) (md5:13949CF3910B0D255439136EC1B6CD78)或者(md5:7F3537DD29D7006D204EBBA77770384E) C:\Documents and Settings\"当前用户"\「开始」菜单\程序\启动\~.exe.??????.exe (随机6~8位数字) (md5:13949CF3910B0D255439136EC1B6CD78)或者(md5:7F3537DD29D7006D204EBBA77770384E) 每个磁盘根目录下都会释放下面两个文件,包括系统盘 X:\AUTORUN.INF 172 字节(md5:106B537598BCE8003D787F4C47E6ECB9) X:\pagefile.pif 95,744 字节(md5:1E05A4F77A3A65BFC7C9F2E42C7C0B5E)
此变种是从“开始菜单”的“启动”项启动,向系统进程注入 dnsq.dll ,然后从“启动”项里删除自己,(拦截系统关机函数,用户关机时再次写入)
因为此病毒拦截了多个系统API函数,所以想要手动查杀该病毒不是太容易,因为此病毒会阻止 冰刃、SReng 等工具启动。。。
下面只说一种方法,“断电” 1. 首先保证你的启动项里没有 ~.exe.???????.exe 格式的文件(?代表随机6~8位数字) 方法是,启动cmd ,进入“C:\Documents and Settings\All Users\「开始」菜单\程序\启动\”,利用 attrib 命令查看,是否有残余的 ~.exe.?????.exe ,若有,请删除,命令如下: attrib -s -h ~.exe* del ~.exe* 2. 上面步骤还包括你的其它用户的启动项哦,等你都搞定后,现在,不要操作你的电脑了, 找到你的电脑电源插板,拔掉电源再插上, 3. 等你的系统重新启动,切忌,不要打开“我的电脑”等操作,否则病毒就会重新发作,刚才的操作步骤就白费啦 i. "开始"-"运行",输入 cmd 启动命令行窗口 ii. 依次在您的分区根目录下输入以下命令:(X:代表你的C、D、E等所有分区盘符,不要忘记你的移动硬盘 U盘哦) X:>attrib -s -h -r autorun.inf X:>attrib -s -h -r pagefile.pif X:>del autorun.inf X:>del pagefile.pif 4. 下面可以接着用cmd窗口删除其它的病毒文件(此处C是你的系统盘) C:>cd windows\system32 (假如你的是2000系统,则命令是cd winnt\system32 ) C:\windows\system32> attrib -s -h -r dnsq.dll C:\windows\system32> del dnsq.dll C:\windows\system32> cd com C:\windows\system32\com> attrib -s -h -r lsass.exe C:\windows\system32\com> attrib -s -h -r smss.exe C:\windows\system32\com> del lsass.exe C:\windows\system32\com>del smss.exe
好了,以上的步骤是专门针对此变种的,对其它变种可能不适合。
|