校园网上落雪木马(也有叫磁碟机病毒的)已经肆虐很长一段时间了,一直都没有一个100%的解决办法。我只能说说我的解决方法。
第一,如果你电脑资料不多,还不如全盘格式化。然后用
无毒的U盘往电脑里拷杀软和辅助安全工具如360安全卫士。用
AutoGuarder免疫电脑中各盘,关闭自动播放。(
AutoGuarder也能杀autorun病毒,但不建议直接用他来杀毒,容易使系统崩溃,今天遇到三个都这样,运行AutoGuarder之后毒还没杀完,直接重启,之后再也进不了系统。)记得从资源管理器打开U盘,千万不要双击。然后再把资料拷回电脑。
3 j! @4 y* D7 k2 f/ ^% Q4 Q第二、如果实在不能全格,用
xdelbox1.5r添加如下文件:
* N: E% v7 e% Y z3 a) k" L
C:\Windows\system32\Com\lsass.exe
- V# q9 R: y3 I. D" r
C:\Windows\system32\Com\smss.exe
* C! f8 S1 z& }6 Y8 N9 A' {C:\Windows\system32\drivers\alg.exe
r8 h1 p( [; J0 {' `
C:\Windows\system32\Com\netcfg.dll
' E) G/ q- Z" r4 z+ S! _C:\Windows\system32\Com\netcfg.000
2 U% C- t' ?7 C( |4 m1 LC:\AUTORUN.INF
3 z! j( @3 F7 ^, }& J5 dC:\pagefile.pif
4 g8 A% v7 E; S+ ?, JD:\AUTORUN.INF
! r* k4 ^7 r& F# f5 h) ]D:\pagefile.pif
( ]- K+ F: v3 u% i* s' ?E:\pagefile.pif
2 c6 Y. M' z; k9 \F:\AUTORUN.INF
; I: H4 Y+ ^; kF:\pagefile.pif
S, r* J! D0 }; n$ Z) |: Q勾上抑制重新生成,去掉备份文件的那个勾,重启杀毒。
) U |) d; H3 ~( t- i, H* l
随后用AutoGuarder查杀下残余病毒和篡改的注册表。此时不会出现杀毒使系统崩溃的问题。
" Q) m/ [7 N7 G* f! ~! ~8 G$ _
用SREngPS.EXE(
http://download.kztechs.com/files/sreng2.zip)修复安全模式。在启动项里查看是否有kdvxshma.dll,名字我记不清了,路径在system32下,SREngPS用红色显示的。也需要用xdelbox删除。方法如上。有的时候SREngPS提示重置安全模式失败,但是任然可以进入安全模式。也有的时候根本就修复不了,任然进不了安全模式。听天由命了。怀疑是病毒没有清楚完全的。希望大家推荐更好的修复安全模式的工具。
' }0 F7 ]7 e; n
最后如果你能进入安全模式,那么说明病毒已经基本清理完毕。用杀软安全模式下全盘扫毒,看有没其他病毒。
1 l' _6 U1 g3 S& y
建议用卡巴,今天遇到三个用瑞星的,都没防住这个毒,卡巴至少还能隔离。
5 ?3 {6 n! N m
如果是professional版本的xp,建议在组策略里(gpedit.msc)windows管理-安全设置-软件限制策略-其他规则,右键点击其他规则,选择新路径规则,把
5 h2 V1 U1 x4 n& _3 e) ?: t. o6 w+ L1 WC:\Windows\system32\Com\lsass.exe
, N, V8 g& z( D& r, |8 p3 k1 E3 J1 yC:\Windows\system32\Com\smss.exe
* @2 g; _$ B7 G4 q$ w; [
C:\Windows\system32\drivers\alg.exe
! |: @) f: k8 U4 DC:\Windows\system32\Com\netcfg.dll
/ @) f$ V1 o" qC:\Windows\system32\Com\netcfg.000
9 Z4 S7 Q% ^( u1 D. o$ ?# F
C:\AUTORUN.INF
3 O# v7 j4 I' O' K
C:\pagefile.pif
8 e% Q6 R6 c. c
D:\AUTORUN.INF
% o% q- w- C6 J
D:\pagefile.pif
, f* _ o; u6 _" k8 q; i& P3 YE:\AUTORUN.INF
" m+ l0 g2 _$ [; a" p/ N- p6 U: @
E:\pagefile.pif
* p* I: D; n6 h/ D' {4 c3 RF:\AUTORUN.INF
. ~' [- ?& m- JE:\pagefile.pif
+ Y1 O9 m( r* D9 @ V0 p
F:\AUTORUN.INF
* D3 o* |7 S3 g: d1 u/ B+ {F:\pagefile.pif
1 g5 B+ Z* S$ B) \5 {. b添加进去,不允许其运行。杀毒完了之后仍然需要对各个盘进行免疫,也需要重新安装杀软或者修复。
尤其应该注意的是,winrar的安装文件和我们校园网的客户端已经被病毒感染了,相信也有其他的exe文件被病毒感染了,症状是图标颜色变的异常。需要删除重新下载。& T( ? ?* P) u# @$ `" c# |* X
我知道的就这么多了,还有兵刃根本就对付不了这个病毒,大家就别白费劲了。也有的说瑞星有专杀,但是经我试验发现不可用。江民的几个专杀也不管用。
这个方法也不是百分之百能解决问题的,大家还有什么办法,说出来一起分享。
