[求助] 貌似我的电脑中"磁碟机"了,求助高手帮忙!

今天回来打开电脑,发现启动的速度比以前慢了.于是我便用超级兔子来优化.顺便也检查一下有没有垃圾软件,因为平时都是我女朋友在用这电脑,她对电脑安全方面没什么经验,杀毒肯定只有我来.没想到一检查垃圾软件便发现有"磁碟机".于是我马上把瑞星升级到最新版本,然后重起电脑,进入安全模式对全盘进行查杀.但瑞星的结果却出乎我的意料.居然没找到一个病毒.我又再启动超级兔子,但它还是提示我系统里装有"磁碟机".请问高手这是怎么回事?

貌似中了"磁碟机"是进不了安全模式,瑞星兔子什么的都打不开的.

你的瑞星还可以正常使用？现在江民。金山。瑞星都有专杀工具。你可以到安全模式下查杀一下。本来准备发专杀的链接。太麻烦了。还是你自己搜索一下吧

刚才已经下了专杀,还是没找到"磁碟机"
但超级兔子还是说有
我估计是兔子有问题

现在已经有很多专杀磁碟机的工具了 (金山,瑞星,等等..)，在网上搜索一下就有了，注意要最新版本的专杀，一般我们给用户解决这个病毒的时候最好还是用磁碟机专杀工具解决.

以下手动解决的方案 熟悉后再操作(对用户机器不建议使用)

这个独占boot.ini文件的磁碟机，来来回回测试，虚拟机下重启了一天，偶尔还蓝屏。（破坏虚拟机的VMware Tools工具）



新版XDelBox新增功能

1. 摆脱boot.ini文件的独占，具体不再细说了，有磁碟机做样本测试了就知道了。


2.文件浏览选择功能



面对系统的显示隐藏总是被系统破坏，再加上病毒主体文件名的随机性，往往很难用手工将其清除
这次的磁碟机变种就是如此，在文件输入框内填入：

c:\documents and settings\all users\「开始」菜单\程序\启动

回车，下面列表框即可显示该目录下的所有文件

（若遇到rootkit无法显示，在知道文件名的前提下，使用XDELBOX导入不检查路径功能）


c:\documents and settings\all users\「开始」菜单\程序\启动\~.exe.133218.exe


选中单击，列表框返回原待删除列表，选中的文件已经加入到待删除框内。

单击文字“待删除列表”可切换待删除文件框和文件浏览框，切换后即可实行右键重启删除或者拖入其它文件等操作。

若遇到删除文件后重启，c000021a 蓝屏提示，兄弟重装系统吧。这个病毒太阴险，遇到压缩包解了，感染了文件，再给你放回去，晕啊，想的真周到啊。

还有许多原先大家没提到的，比若破坏系统组策略的软件限制规则

删除的注册表：

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\VMware Tools: "C:\Program Files\VMware\VMware Tools\VMwareTray.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\VMware User Process: "C:\Program Files\VMware\VMware Tools\VMwareUser.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nod32kui: "; "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SecExpert: "C:\Program Files\Terminator\SecMain.exe Hide"

HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes



病毒主体文件：

C:\WINDOWS\system32\Com\lsass.exe
C:\WINDOWS\system32\Com\netcfg.000
C:\WINDOWS\system32\Com\netcfg.dll
C:\WINDOWS\system32\Com\smss.exe
C:\WINDOWS\system32\dnsq.dll
C:\037589.log
C:\AUTORUN.INF
C:\pagefile.pif
f:\pagefile.pif
e:\pagefile.pif
d:\pagefile.pif
D:\autorun.inf
E:\autorun.inf
F:\autorun.inf

还好有时候还会产生c:\documents and settings\all users\「开始」菜单\程序\启动\~.exe随机数字.exe 的文件注意也同时删除。

回帖不能传附件~
地址给你，你自己下载新版XDelBox吧
http://www.dodudou.com/down/index.php?dirpath=./01.原创软件&order=0

[ 本帖最后由 jordanlei 于 2008-3-24 22:20 编辑 ]